Relatório Semanal de Incidentes Cibernéticos (RIC)
Período de Cobertura: 03 a 09 de Dezembro de 2025
Análise completa dos principais incidentes cibernéticos, vulnerabilidades críticas e tendências de ameaças que impactaram o Brasil e o mundo.
Sumário Executivo
Destaques desta Edição
A semana de 03 a 09 de dezembro de 2025 foi dominada por uma onda de golpes de phishing sazonais, a contínua exploração de vulnerabilidades críticas e violações de dados significativas que afetam milhões de indivíduos. Globalmente, a semana registrou 255 ciberataques em 42 países, com o grupo hacktivista pró-Rússia NoName057(16) liderando a atividade com 47 ataques. A violação de dados na 700Credit, que expôs informações altamente sensíveis, incluindo números de Seguro Social de 5,8 milhões de pessoas, e a violação contínua na Conduent, que afeta membros do BlueCross Tennessee, destacam a persistente ameaça de ataques à cadeia de suprimentos.
No Brasil, a situação permanece crítica. A violação de dados do Portal do Parceiro expôs um vasto conjunto de dados corporativos e pessoais (CPF, CNPJ, credenciais), criando um risco sistêmico para o ecossistema B2B do país e abrindo portas para fraudes de faturamento e ataques de engenharia social. O país continua a ser o principal alvo de ataques na América Latina, especialmente contra sistemas Linux e Mac, consolidando sua posição como um epicentro de atividade cibercriminosa na região.
A temporada de festas impulsionou um aumento alarmante de 620% em ataques de phishing em dezembro, com o FBI e outras agências emitindo alertas urgentes sobre golpes sofisticados de "drenagem" de cartões-presente e o uso de IA para criar avaliações online falsas. No cenário de vulnerabilidades, a exploração ativa do oitavo zero-day do Google Chrome em 2025 e a correção de três zero-days pela Microsoft no Patch Tuesday de dezembro sublinham a intensidade da corrida para corrigir falhas antes que sejam exploradas em massa.
Destaques da Semana:
Violação Massiva na 700Credit
Exposição de nomes, endereços, datas de nascimento e SSNs de 5,8 milhões de indivíduos.
Brasil sob Risco Sistêmico
Violação do Portal do Parceiro expõe dados B2B críticos (CPF, CNPJ, credenciais), ameaçando a cadeia de suprimentos.
Phishing de Fim de Ano Aumenta 620%
Alertas urgentes sobre golpes de "drenagem" de cartões-presente e uso de IA para fraudes.
Atividade Hacktivista Intensa
Grupo pró-Rússia NoName057(16) lidera com 47 ataques DDoS na semana.
Corrida dos Zero-Days
Exploração ativa do 8º zero-day do Chrome em 2025 e correção de 3 zero-days pela Microsoft no Patch Tuesday.
Ransomware na Manufatura
Relatório revela que 51% dos fabricantes pagaram resgates em 2025, com um custo médio de US$ 1 milhão.
Brasil como Alvo Principal
País lidera como alvo de ataques contra sistemas Linux e Mac na América Latina.
Incidentes Críticos no Brasil
O Brasil continua a ser um ponto focal para atividades cibercriminosas na América Latina, enfrentando incidentes de alto impacto que expõem a vulnerabilidade de seus ecossistemas digitais.
1. Violação do "Portal do Parceiro" Expõe Ecossistema B2B
Um dos incidentes mais críticos da semana foi a violação de dados do Portal do Parceiro, uma plataforma de gerenciamento de parceiros B2B amplamente utilizada no Brasil. Um ator de ameaça anunciou a venda de um banco de dados que supostamente contém um vasto conjunto de informações corporativas e pessoais, incluindo:
- Identificadores Corporativos e Pessoais: Números de CNPJ e CPF.
- Informações de Contato: Endereços de e-mail e números de telefone.
- Credenciais de Acesso: Dados de login e autenticação.
Este incidente representa um risco sistêmico para a cadeia de suprimentos brasileira. A exposição conjunta de dados de empresas, funcionários e parceiros cria uma base para ataques sofisticados, como fraude de faturamento, comprometimento de e-mail comercial (BEC) e ataques de engenharia social direcionados ao PIX. A violação também representa uma grave falha de conformidade com a Lei Geral de Proteção de Dados (LGPD), expondo a empresa a multas significativas.
2. Brasil Lidera como Alvo de Ataques contra Linux e Mac na América Latina
Um relatório da Kaspersky divulgado na semana destacou o Brasil como o alvo número um de ciberataques contra sistemas operacionais Linux e Mac na América Latina. A empresa de segurança bloqueou 385.000 ataques contra Linux e 180.000 contra Mac no país. Esses números desmistificam a ideia de que sistemas não-Windows são imunes a malwares e indicam que os cibercriminosos estão diversificando seus alvos para acompanhar a crescente adoção dessas plataformas no ambiente corporativo.
3. Confirmação de Ataque de Ransomware Devman
Novas informações confirmaram o ataque do ransomware Devman contra a organização C_NC_R no Brasil, descoberto em 11 de dezembro. O grupo criptografou dados financeiros e de clientes, reforçando a tendência de ataques de ransomware contra setores que lidam com informações sensíveis, onde a pressão para pagar o resgate é maior.
4. Estatísticas de Ataques Semanais Permanecem Altas
Embora os dados mais recentes sejam de novembro, a confirmação de que o Brasil enfrentou uma média de 3.348 ciberataques semanais por organização serve como um lembrete contínuo da intensa pressão sobre as empresas brasileiras. Esse volume de ataques, que supera em muito a média global, exige uma postura de segurança proativa e resiliente.
Incidentes na América Latina
A América Latina continua a ser uma das regiões mais visadas por ciberataques no mundo, com tendências que refletem tanto ameaças globais quanto características locais.
1. América Latina como Epicentro de Ciberataques
Relatórios da Check Point e de outras fontes confirmaram que a América Latina se posicionou como um epicentro global de ciberataques em 2025. A região experimentou um aumento alarmante no volume de incidentes, com o Brasil, Argentina e México entre os países mais afetados. A rápida digitalização, combinada com uma maturidade de segurança cibernética variável, torna a região um alvo atraente para uma ampla gama de atores de ameaças.
2. ENDE Corporación (Bolívia) entre as Vítimas Mais Impactadas
Na análise semanal do Hackmanac, a ENDE Corporación, a empresa nacional de eletricidade da Bolívia, foi listada como a quarta vítima mais impactada globalmente, com um índice de severidade (ESIX©) de 6.36. Este incidente destaca a vulnerabilidade da infraestrutura crítica na região a ciberataques, que podem ter consequências devastadoras para a população e a economia.
3. Persistência de Ameaças Financeiras
A prisão de um vendedor online de cartões ATM clonados nas Filipinas, embora fora da América Latina, reflete um tipo de crime que é prevalente na região. Trojans bancários, clonagem de cartões e fraudes de pagamento continuam a ser uma ameaça significativa, com criminosos locais frequentemente desenvolvendo e distribuindo malwares financeiros sofisticados.
Incidentes Globais Relevantes
A semana foi marcada por violações de dados em larga escala, com um foco particular em fornecedores de serviços que detêm dados de milhões de clientes.
Violação na 700Credit
A fintech e empresa de serviços de dados dos EUA, 700Credit, sofreu uma violação de dados massiva que impactou 5,8 milhões de indivíduos. Os dados roubados incluem informações altamente sensíveis, como nomes, endereços, datas de nascimento e números de Seguro Social (SSNs). Este incidente é particularmente grave porque a 700Credit fornece relatórios de crédito para a indústria automotiva, o que significa que os dados comprometidos podem ser usados para cometer fraudes de identidade e financeiras em larga escala.
Violação na Conduent
Continuando a saga de ataques à cadeia de suprimentos, membros do plano de saúde BlueCross no Tennessee foram notificados de que suas informações pessoais, incluindo SSNs, foram expostas devido a uma violação em um de seus fornecedores, a Conduent. Este incidente, que já levou ao início de ações coletivas, demonstra como uma violação em um único fornecedor de serviços pode ter um efeito cascata, comprometendo os dados de clientes de várias organizações.
Acordo de US$ 177 Milhões da AT&T
Embora relacionado a incidentes passados, o anúncio de que um acordo de US$ 177 milhões para clientes da AT&T afetados por violações de dados em 2024 está programado para dezembro de 2025 serve como um lembrete do custo financeiro e reputacional de longo prazo das violações de dados. O acordo destaca a crescente responsabilização das empresas por falhas na proteção dos dados de seus clientes.
Ransomware Atinge Setor de Manufatura
Um novo relatório da Kiteworks revelou a extensão do impacto do ransomware no setor de manufatura em 2025. De acordo com a pesquisa, 51% dos fabricantes pagaram resgates após ataques, com o valor médio do pagamento atingindo US$ 1 milhão. Além disso, 39% das empresas do setor sofreram roubo de dados, indicando que a dupla extorsão (criptografia de dados e ameaça de vazamento) é agora a norma. Esses números apontam para uma crise de segurança e conformidade no setor.
Golpes
A temporada de festas de fim de ano continuou a alimentar uma explosão de golpes, com os cibercriminosos aproveitando o aumento das compras online e o espírito festivo para enganar as vítimas.
1. Phishing de Fim de Ano Aumenta 620%
Um alerta urgente da Gridinsoft revelou um aumento impressionante de 620% nos ataques de phishing em dezembro de 2025. A empresa de segurança observou que 39% dos usuários já haviam encontrado tentativas de fraude no início da temporada de festas, um número superior aos 35% registrados durante toda a temporada de 2024. Isso indica que "dezembro é o horário nobre para os golpes", com os criminosos intensificando suas campanhas para capitalizar sobre os compradores apressados e distraídos.
2. Alerta do FBI sobre Golpes de "Drenagem" de Cartões-Presente
O FBI e o Procurador-Geral de Washington D.C. emitiram alertas sobre uma tática de golpe sofisticada conhecida como "gift card draining" (drenagem de cartões-presente). Nesse golpe, os criminosos adulteram fisicamente os cartões-presente nas lojas, registrando seus números e PINs. Quando um cliente compra e ativa o cartão, os golpistas usam as informações roubadas para gastar o saldo online antes que a vítima tenha a chance de usá-lo. Este golpe explora a popularidade dos cartões-presente como presentes de fim de ano.
3. Avaliações Falsas de Cinco Estrelas Geradas por IA
Um relatório do The Guardian destacou a crescente prevalência de avaliações online falsas de cinco estrelas, muitas das quais são geradas em massa por IA, bots e fazendas de cliques humanas. Os consumidores são alertados a desconfiar de elogios excessivamente entusiasmados e de padrões de linguagem repetitivos, que podem indicar que uma avaliação não é genuína. Essa tática visa enganar os compradores, fazendo-os adquirir produtos de baixa qualidade ou fraudulentos.
4. Campanha de Phishing Adversary-in-the-Middle (AitM) contra Microsoft 365 e Okta
O Datadog Security Labs publicou uma investigação sobre uma campanha de phishing Adversary-in-the-Middle (AitM) direcionada a usuários do Microsoft 365 e Okta. Nesses ataques, os criminosos se posicionam entre o usuário e o serviço legítimo para interceptar credenciais e tokens de sessão, contornando até mesmo a autenticação multifator (MFA). Isso representa uma ameaça significativa para as organizações que dependem desses serviços para suas operações diárias.
Grupos de Ameaças Ativos e Atividades Relevantes
A semana foi marcada pela atividade persistente de grupos hacktivistas e de ransomware, bem como pela descoberta de novas ferramentas e táticas no arsenal dos cibercriminosos.
01
NoName057(16)
O grupo hacktivista pró-Rússia NoName057(16) foi o ator de ameaça mais ativo da semana, reivindicando a responsabilidade por 47 ataques. Suas operações consistem principalmente em ataques de negação de serviço (DDoS) contra sites de governos e empresas em países que apoiam a Ucrânia. Embora seus ataques raramente causem danos duradouros, eles servem como uma ferramenta constante de perturbação e propaganda.
02
Qilin e Incransom
Os grupos de ransomware Qilin e Incransom continuaram suas campanhas, com múltiplas vítimas listadas no RansomFeed. O Qilin, em particular, demonstrou um alcance global, com vítimas no Canadá, Nova Zelândia, Coreia do Sul e EUA. O Incransom parece estar focando em alvos na América do Norte, incluindo uma cidade na Califórnia e uma empresa de construção em aço no Canadá. A atividade constante desses grupos destaca a ameaça implacável do ransomware.
03
VolkLocker Ransomware
Uma análise do ransomware VolkLocker revelou uma falha de programação significativa: uma chave mestra de descriptografia codificada (hard-coded) no próprio malware. Embora isso permita que as vítimas recuperem seus arquivos sem pagar o resgate, a descoberta também mostra que os desenvolvedores do VolkLocker estão expandindo seu portfólio. Em novembro, eles começaram a anunciar a venda de um trojan de acesso remoto (RAT) e um keylogger por US$ 500 cada, indicando uma transição para um modelo de Malware-as-a-Service (MaaS).
04
Atores de Ameaça Explorando Zero-Days
A exploração ativa do oitavo zero-day do Chrome e dos três zero-days da Microsoft corrigidos esta semana indica a presença de múltiplos atores de ameaça com a capacidade de adquirir ou desenvolver exploits para vulnerabilidades desconhecidas. Esses grupos, muitas vezes patrocinados por estados ou grandes sindicatos do crime, representam o nível mais alto de ameaça, pois podem contornar as defesas tradicionais que se baseiam em assinaturas de ameaças conhecidas.
Métricas e Estatísticas
Os dados da semana de 03 a 09 de dezembro de 2025 pintam um quadro de intensa atividade cibercriminosa, com um alto volume de ataques e violações de dados em larga escala.
Estatísticas Globais de Ciberataques (Hackmanac)
Estatísticas de Ransomware (Global)
Estatísticas de Ataques no Brasil (Kaspersky)
Violações de Dados e Fraudes
Top Vulnerabilidades, IoCs e Alertas Ativos
A semana foi marcada por uma série de alertas críticos sobre vulnerabilidades zero-day e a exploração ativa de falhas em softwares amplamente utilizados.
1
CVE-2025-XXXX: Oitavo Zero-Day do Google Chrome em 2025
Alerta: Em 11 de dezembro, o Google lançou uma atualização de emergência para o Chrome para corrigir seu oitavo zero-day explorado ativamente em 2025. A falha reside no motor JavaScript V8. A CISA emitiu um alerta, instando os usuários do Chrome e de outros navegadores baseados em Chromium (como o Microsoft Edge) a aplicarem a atualização imediatamente para se protegerem contra ataques em andamento.
2
Microsoft Patch Tuesday de Dezembro: Três Zero-Days Corrigidos
Alerta: O Patch Tuesday de dezembro da Microsoft abordou 57 vulnerabilidades, incluindo três zero-days. Um deles, uma falha de elevação de privilégio no Windows (CVE-2025-62221), já estava sendo explorado ativamente. Outro, uma falha de execução remota de código no PowerShell (CVE-2025-54100), foi divulgado publicamente, mas ainda não havia sido explorado. A correção dessas falhas é de alta prioridade.
3
CISA Adiciona Múltiplas Falhas ao Catálogo KEV
Alerta: A CISA adicionou várias vulnerabilidades ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) na semana, indicando que todas estão sob ataque ativo. Além dos zero-days do Chrome e da Microsoft, a lista inclui:
- CVE-2025-58360: Uma falha crítica de injeção de XXE no GeoServer.
- Uma vulnerabilidade não especificada em roteadores da Sierra Wireless.
As agências federais dos EUA têm prazos curtos para corrigir essas falhas, e todas as organizações são fortemente aconselhadas a fazer o mesmo.
4
VolkLocker Ransomware: IoCs e Ferramenta de Descriptografia
IoCs: A análise do ransomware VolkLocker revelou uma chave mestra de descriptografia codificada, o que permitiu a criação de uma ferramenta de descriptografia gratuita. No entanto, os atores por trás do VolkLocker estão agora vendendo outras ferramentas de malware, como RATs e keyloggers. As organizações devem monitorar IoCs associados a este grupo, mesmo que a ameaça de criptografia do VolkLocker tenha sido neutralizada.
5
Phishing AitM contra Microsoft 365 e Okta
IoCs: A campanha de phishing Adversary-in-the-Middle (AitM) contra usuários do Microsoft 365 e Okta utiliza domínios e infraestrutura específicos para interceptar sessões de usuários. As equipes de segurança devem procurar por IoCs relacionados a essa campanha, como domínios de phishing conhecidos e padrões de tráfego de rede suspeitos, para detectar e bloquear esses ataques.
Tendências Emergentes e Recomendações
Tendências Emergentes
A análise dos incidentes da semana revela a consolidação de tendências preocupantes e o surgimento de novas táticas que devem moldar o cenário de ameaças nos próximos meses.
1. A "Comoditização" do Zero-Day
A frequência com que vulnerabilidades zero-day estão sendo descobertas e exploradas, como o oitavo zero-day do Chrome em um único ano, sugere uma tendência preocupante. A "comoditização" de exploits, onde eles se tornam mais amplamente disponíveis no submundo do crime, está encurtando o ciclo de vida de uma vulnerabilidade, desde sua descoberta até sua exploração em massa. Isso aumenta a pressão sobre os fornecedores para lançarem patches mais rapidamente e sobre as organizações para os aplicarem imediatamente.
2. Ataques à Cadeia de Suprimentos como Norma
Os incidentes na 700Credit e Conduent reforçam que os ataques à cadeia de suprimentos não são mais uma ocorrência rara, mas sim uma tática padrão para muitos atores de ameaças. Ao comprometer um único fornecedor de serviços, os invasores podem obter acesso aos dados de dezenas ou centenas de suas empresas clientes. Essa abordagem "atacar um, obter muitos" é altamente eficiente para os criminosos e representa um desafio complexo para a defesa.
3. A Expansão do Alvo para Plataformas Não-Windows
O relatório da Kaspersky, que posiciona o Brasil como o principal alvo de ataques contra Linux e Mac na América Latina, sinaliza uma mudança importante no cenário de ameaças. À medida que as empresas adotam uma gama mais diversificada de sistemas operacionais, os cibercriminosos estão se adaptando, desenvolvendo malwares e técnicas de ataque específicas para essas plataformas. A noção de que usar um Mac ou Linux oferece segurança inerente está se tornando cada vez mais obsoleta.
4. A Sinergia entre Ransomware e Violação de Dados
O relatório sobre o setor de manufatura, que mostra que 39% dos ataques de ransomware também envolveram roubo de dados, confirma a tendência da dupla extorsão. No entanto, a violação do Portal do Parceiro no Brasil leva isso um passo adiante. Nesse caso, o valor principal para os criminosos não está no resgate, mas na própria base de dados, que pode ser vendida ou usada para lançar uma infinidade de outros ataques. Isso indica uma sinergia crescente, onde a violação de dados não é apenas uma tática de pressão, mas o objetivo principal do ataque.
Recomendações Importantes
Com base nos incidentes e tendências observados, as seguintes recomendações são cruciais para fortalecer a postura de segurança das organizações:
1. Adotar uma Estratégia de "Patch Imediato" para Vulnerabilidades Exploradas
- Monitoramento em Tempo Real: A velocidade com que os zero-days do Chrome e da Microsoft foram explorados exige uma mudança de uma mentalidade de "ciclo de patch mensal" para uma de "patch imediato". As organizações devem ter processos para identificar e implantar patches de segurança para vulnerabilidades críticas e exploradas ativamente em questão de horas, não de dias ou semanas.
- Foco em Navegadores e Sistemas Operacionais: Dada a prevalência de explorações de navegadores e sistemas operacionais, garantir que todos os endpoints estejam executando as versões mais recentes e corrigidas desses softwares é uma das medidas de higiene de segurança mais eficazes.
2. Mapear e Proteger a Cadeia de Suprimentos Digital
- Visibilidade de Terceiros: O incidente da 700Credit demonstra que você é tão seguro quanto seu fornecedor menos seguro. As organizações devem mapear sua cadeia de suprimentos digital, identificando todos os fornecedores que têm acesso a seus dados ou sistemas e avaliando rigorosamente sua postura de segurança.
- Cláusulas Contratuais e Direito de Auditoria: Os contratos com fornecedores devem incluir cláusulas de segurança de dados robustas, requisitos de notificação de violação e o direito de auditar os controles de segurança do fornecedor. Não basta confiar; é preciso verificar.
3. Estender a Segurança para Todas as Plataformas de Endpoints
- Proteção para Mac e Linux: O aumento dos ataques contra Mac e Linux significa que as soluções de segurança de endpoint (EDR, XDR) não podem mais se concentrar apenas no Windows. As organizações devem implantar ferramentas de segurança que ofereçam visibilidade e proteção consistentes em todos os sistemas operacionais usados em seu ambiente.
- Gerenciamento Unificado de Endpoints (UEM): Utilize soluções de UEM para aplicar políticas de segurança, gerenciar configurações e implantar patches em uma frota diversificada de dispositivos, incluindo desktops, laptops e dispositivos móveis, independentemente do sistema operacional.
4. Preparar-se para Ataques Baseados em Identidade e Credenciais
- Defesa contra Phishing AitM: A campanha contra usuários do Microsoft 365 e Okta mostra que a MFA tradicional pode ser contornada. As organizações devem explorar formas mais fortes de MFA, como a autenticação baseada em FIDO2, que é resistente a phishing. Além disso, o monitoramento de logs de autenticação para padrões suspeitos (como logins de locais geográficos impossíveis) é crucial.
- Conscientização sobre Fraudes de Fim de Ano: Intensifique a comunicação com os funcionários sobre o aumento de 620% nos ataques de phishing e os golpes específicos de fim de ano, como a "drenagem de cartões-presente". O treinamento deve enfatizar a importância de verificar a legitimidade de e-mails, mensagens de texto e ofertas online antes de clicar em links ou fornecer informações.