insights - RunkIntel

s # Perfil de Ameaças Cibernéticas - LATAM > [!abstract] Visão Geral > Avaliação estratégica das principais ameaças cibernéticas que afetam a América Latina e o Brasil, atualizada trimestralmente pelo RunkIntel. Baseado no framework **CTI-CMM v1.3** (domínio THREAT) e dados de Intel 471, Check Point Research, Breachsense, SOCRadar, Mandiant/GTIG e Broadcom. > [!abstract]- Como Usar Este Relatório > O **Insights LATAM** é um panorama trimestral de ameaças para Brasil e América Latina, compilado a partir de 100+ fontes e dados do vault. Inclui: > - **Top 10 Threat Actors** ranqueados por atividade regional > - **Top CVEs** com impacto confirmado na LATAM > - **Ransomware Tracker Brasil** com vítimas e tendências > - **Previsões 90 dias** baseadas em indicadores estruturais > > Atualizado trimestralmente (Q1-Q4) ou após eventos P1 significativos. Dados verificados via Perplexity Research e fontes primárias. --- ## Panorama LATAM Q1 2026 O primeiro trimestre de 2026 consolida a América Latina como a **região com maior crescimento de ataques cibernéticos no mundo**. Segundo a Check Point Research, organizações na região enfrentam uma média de **3.065 ataques por semana** - um aumento de 26% em relação ao mesmo período de 2025 e 57% acima da média global de 1.955. Os dados do Intel 471 confirmam que o ano de 2025 encerrou com **mais de 450 eventos de ransomware** na região (+78% vs. 2024), e o ritmo de 2026 supera essa marca com projeção de **mais de 8.100 vítimas globais** de ransomware no ano, segundo a Breachsense. O Brasil absorve aproximadamente **30% de todas as vítimas** regionais, seguido por México (14%) e Argentina (13%). O cenário é marcado por três vetores convergentes: (1) a **industrialização do ransomware** com grupos como [[qilin|Qilin]], [[lockbit|LockBit 5.0]] e [[interlock-ransomware|Interlock]] operando em ritmo recorde; (2) a **explosão de banking trojans Android** direcionados ao ecossistema **PIX**, com seis novas famílias identificadas apenas em março de 2026; e (3) a **presença persistente de APTs chineses** ([[g1045-salt-typhoon|Salt Typhoon]], [[g1017-volt-typhoon|Volt Typhoon]]) comprometendo infraestrutura de Telecom e energia na região. O relatório M-Trends 2026 da Mandiant revelou que o tempo entre acesso inicial e movimentação lateral caiu para **22 segundos** em casos avançados - organizações latino-americanas sem automação de resposta (SOAR) enfrentam risco operacional sem precedentes. A maturidade cibernética da região permanece crítica: a OEA avaliou que a maioria dos países permanece no **segundo de cinco estágios** de maturidade, com lacunas severas em proteção de infraestrutura crítica, seguro cibernético e desenvolvimento de profissionais - o déficit regional ultrapassa **300.000 especialistas**. Cada brecha de segurança na região custa em média **US$ 3,81 milhões**, com tempo médio de contenção de **277 dias** (IBM/Ponemon 2025). --- ## Estatísticas do Vault RunkIntel > [!info] Base de Conhecimento - 28 março 2026 | 🟥 Grupos | 🟧 Malware | 🟦 Tools | 🟨 Campanhas | |:---------:|:----------:|:--------:|:------------:| | **331** | **1.086** | **106** | **257** | | 🟥 TTPs | 🟧 CVEs | 🟦 Playbooks | 🟩 Regulações | |:-------:|:-------:|:------------:|:-------------:| | **754** | **348** | **32** | **16** | | 🟨 Regiões | 🟦 Timeline | 🟩 Total de Notas | |:----------:|:-----------:|:-----------------:| | **8** | **30** | **5.411+** | --- ## Top 10 Threat Actors - Ranking LATAM > [!tip] Escala de Atividade > 🟥 **Alta** - atividade confirmada e recorrente contra alvos na região > 🟨 **Média** - atividade esporádica ou indícios de targeting > 🟩 **Baixa** - capacidade conhecida sem atividade recente direta | # | Ator | Origem | Motivação | Atividade | Setores Alvo | |---|------|--------|-----------|:---------:|------| | 1 | [[s0531-grandoreiro\|Grandoreiro]] | Brasil | Financeiro | 🟥 | [[financial\|Financeiro]], [[cryptocurrency\|Cripto]] | | 2 | [[qilin\|Qilin]] | Rússia | Financeiro | 🟥 | [[healthcare\|Saúde]], [[government\|Governo]], [[manufacturing\|Indústria]] | | 3 | [[g0099-blind-eagle-apt-c-36\|Blind Eagle]] (APT-C-36) | Colômbia | Espionagem + Financeiro | 🟥 | [[government\|Governo]], [[financial\|Financeiro]] | | 4 | [[g1045-salt-typhoon\|Salt Typhoon]] | China | Espionagem | 🟥 | [[telecom\|Telecom]], [[government\|Governo]] | | 5 | [[lockbit\|LockBit 5.0]] | Rússia | Financeiro | 🟥 | [[manufacturing\|Indústria]], [[financial\|Financeiro]], [[healthcare\|Saúde]] | | 6 | [[interlock-ransomware\|Interlock]] | Desconhecida | Financeiro | 🟥 | [[technology\|Tecnologia]], [[critical-infrastructure\|Infra Crítica]] | | 7 | [[g0007-apt28\|APT28]] (Forest Blizzard) | Rússia | Espionagem | 🟥 | [[government\|Governo]], [[telecom\|Telecom]] | | 8 | [[g0032-lazarus-group\|Lazarus Group]] | Coreia do Norte | Financeiro + Espionagem | 🟨 | [[cryptocurrency\|Cripto]], [[technology\|Tecnologia]] | | 9 | [[g1017-volt-typhoon\|Volt Typhoon]] | China | Espionagem / Sabotagem | 🟨 | [[energy\|Energia]], [[critical-infrastructure\|Infra Crítica]] | | 10 | [[cl0p\|Cl0p]] | Rússia | Financeiro | 🟨 | [[financial\|Financeiro]], [[technology\|Tecnologia]] | ### Destaques Q1 2026 - **[[qilin\|Qilin]] mantém #2** - líder global de ransomware com 100+ vítimas/mês consecutivos desde outubro/2025. Brasil entrou no Top 10 de países mais afetados em fevereiro/2026 com 23 vítimas. Afiliados recebem 80-85% do resgaté. - **[[lockbit\|LockBit 5.0]] ressurge** - retornou ao Top 10 global em dezembro/2025 após 6 meses inativos. Variante "ChoungDong" com taxa de afiliação reduzida a US$ 500. Vítima brasileira confirmada: Brassuco Alimentos (março/2026). - **[[interlock-ransomware\|Interlock]] promovido** - exploração ativa do [[cve-2026-20131|CVE-2026-20131]] (Cisco FMC, CVSS 10.0) desde janeiro/2026. Técnica ClickFix como vetor de acesso inicial. Sem modelo de afiliados - opera independente. - **[[g0007-apt28\|APT28]] arsenal renovado** - ESET confirma BeardShell + Covenant + SlimAgent ativos desde abril/2024. APT28 explorou [[cve-2026-21509|CVE-2026-21509]] (MSHTML) com 72h de weaponization. Operation GhostMail via Zimbra XSS ([[cve-2025-66376\|CVE-2025-66376]]) impacta alvos governamentais com técnica browser-resident stealer sem artefatos em disco. - **TheGentlemen em ascensão** - de 41 vítimas em janeiro para 78 em fevereiro/2026 (+90%). Novo RaaS a monitorar na região. --- ## Top CVEs com Impacto LATAM | CVE | CVSS | CISA KEV | EPSS | Vendor | Produto | Status | |-----|:----:|:--------:|:----:|--------|---------|--------| | [[cve-2026-20131\|CVE-2026-20131]] | 10.0 | Sim | 0.97 | [[_cisco\|Cisco]] | Secure Firewall Management Center | 🟥 Explorado ativamente por [[interlock-ransomware\|Interlock]] | | [[cve-2026-33017\|CVE-2026-33017]] | 9.3 | Sim | 0.94 | Langflow | Langflow (RCE) | 🟥 IoCs públicos (Sysdig) - rotacionar secrets | | [[cve-2026-33634\|CVE-2026-33634]] | 9.8 | Pendente | - | Aqua Security | Trivy (supply chain) | 🟥 Comprometimento de CI/CD - rotacionar secrets | | [[cve-2026-32746\|CVE-2026-32746]] | 9.8 | Pendente | - | GNU | InetUtils telnetd (RCE) | 🟥 Sem patch disponível | | [[cve-2026-21509\|CVE-2026-21509]] | 8.8 | Sim | - | [[_microsoft\|Microsoft]] | Office - MSHTML | 🟧 APT28 weaponize em 72h | | [[cve-2025-66376\|CVE-2025-66376]] | - | Sim | - | **Zimbra** | Collaboration Suite (XSS) | 🟧 Explorado por [[g0007-apt28\|APT28]] - Operation GhostMail | | [[cve-2026-26110\|CVE-2026-26110]] | 8.4 | Sim | - | [[_microsoft\|Microsoft]] | Office - Preview Pane RCE | 🟧 Sem interação do usuário | | [[cve-2026-3909\|CVE-2026-3909]] | 8.8 | Sim | - | Google | Chrome - Skia OOB write | 🟧 Deadline KEV expirado 27/03 | | [[cve-2026-3055\|CVE-2026-3055]] | 9.3 | Pendente | - | [[_citrix\|Citrix]] | NetScaler ADC/Gateway | 🟨 Patch disponível | | [[cve-2026-4484\|CVE-2026-4484]] | 9.8 | Pendente | - | WordPress | Masteriyo LMS (privesc) | 🟨 Patch disponível | > [!warning] Alerta Operacional > O tempo médio de patch na LATAM excede **45 dias** para vulnerabilidades críticas. **Interlock** explora CVE-2026-20131 semanas antes da divulgação pública - organizações com Cisco FMC devem priorizar remediação imediata. **APT28** demonstrou weaponization do CVE-2026-21509 em 72 horas após divulgação. --- ## Ransomware Tracker Brasil ### Incidentes Ativos - Março 2026 | Grupo | Vítima | Data | Dados | Status | |-------|--------|------|-------|--------| | **[[lockbit\|LockBit 5.0]]** | Brassuco Alimentos | 01/03/2026 | Ameaça de vazamento | Monitorar | | **Coinbasecartel** | JBS Brazil | 05/03/2026 | 3 TB exfiltrados | Monitorar | | **[[interlock-ransomware\|Interlock]]** | Múltiplos setores via [[cve-2026-20131\|CVE-2026-20131]] | Ján-Mar/2026 | Campanha ativa | Em andamento | | **Vect** (novo) | Organização educacional BR | Ján/2026 | 150 GB+ PII | Confirmado | ### Panorama Ransomware Global - Q1 2026 ```mermaid pie title Ransomware - Top Grupos Globais (Fev/2026) "Qilin" : 104 "TheGentlemen" : 78 "Cl0p" : 49 "Play" : 44 "INC Ransom" : 39 "Akira" : 39 "LockBit 5.0" : 34 "DragonForce" : 30 "Outros (44 grupos)" : 263 ``` ### Indicadores Ransomware Q1 2026 | Indicador | Valor | Fonte | |-----------|-------|-------| | Vítimas globais Ján/2026 | 677 (58 grupos ativos) | Breachsense | | Vítimas globais Fev/2026 | 680 (54 grupos ativos) | Breachsense | | Brasil em Fev/2026 | 23 vítimas (Top 10 países) | Breachsense | | Projeção anual 2026 | 8.100+ vítimas (+11% vs. 2025) | Breachsense | | Variantes ativas LATAM (2025) | 79 (vs. 48 em 2024, +65%) | Intel 471 | | Ataques com exfiltração | 74% incluem data theft | Broadcom | --- ## Tendências 90 Dias - Previsões Q2 2026 > [!danger] Previsões Q2 2026 1. **Escalada de fraude PIX** - seis novas famílias Android ([[pixrevolution]], [[beatbanker]], Mirax RAT, Oblivion RAT, SURXRAT, TaxiSpy RAT) operam exclusivamente contra o ecossistema bancário brasileiro. O **Mirax RAT como MaaS a US$ 2.500/mês** indica demanda organizada de mercado - 150 milhões de usuários PIX estão expostos. 2. **Ransomware com afiliados lusófonos em expansão** - [[qilin\|Qilin]] (100+ vítimas/mês), TheGentlemen (+90% em fevereiro), [[interlock-ransomware\|Interlock]] e novos RaaS (Exitium, Gunra, Vect) recrutando operadores brasileiros. Brasil já é Top 10 global em vítimas de ransomware. 3. **Novo ciclo de zero-day em appliances de borda** - [[interlock-ransomware\|Interlock]] explora Cisco FMC ([[cve-2026-20131|CVE-2026-20131]]); padrão emergente de ataques a ferramentas de gestão de rede. [[cl0p\|Cl0p]] segue ciclo previsível de mass exploitation em file transfer. 4. **Expansão do [[g0099-blind-eagle-apt-c-36\|Blind Eagle]] para o Brasil** - phishing em português brasileiro detectado desde janeiro/2026, com temas de instituições financeiras e governo federal. 5. **Compressão do tempo de resposta** - M-Trends 2026 (Mandiant): handoff de initial access para próxima fase em **22 segundos**. Organizações LATAM sem SOAR e automação de resposta perderão a jánela de contenção sistematicamente. 6. **Supply chain em ferramentas de segurança** - [[cve-2026-33634|CVE-2026-33634]] (Trivy supply chain) demonstra que atacantes evoluem para comprometer a própria toolchain de segurança. CI/CD pipelines viram vetor prioritário em 2026. --- ## Setores Mais Visados - LATAM ```mermaid xychart-beta title "Ataques Semanais por Setor - LATAM Q1 2026" x-axis ["Governo", "Saude", "Telecom", "Financeiro", "Educacao", "Energia", "Tecnologia"] y-axis "Ataques/Semana" 0 --> 4500 bar [4200, 3800, 3500, 3200, 4349, 2800, 2500] ``` | # | Setor | Risco | Ameaças Primárias | Tendência | |---|-------|:-----:|------|:----------:| | 1 | 🏛️ **[[government\|Governo]]** | 🟥 Crítico | [[g0099-blind-eagle-apt-c-36\|Blind Eagle]], [[g1045-salt-typhoon\|Salt Typhoon]], [[g0007-apt28\|APT28]], hacktivismo (119 ataques em 2025) | Crescente | | 2 | 🏦 **[[financial\|Financeiro]]** | 🟥 Crítico | [[s0531-grandoreiro\|Grandoreiro]], [[pixpiraté]], [[pixrevolution]], [[lockbit\|LockBit]], [[g0032-lazarus-group\|Lazarus Group]] | Crescente | | 3 | 🏥 **[[healthcare\|Saúde]]** | 🟥 Crítico | [[qilin\|Qilin]], [[lockbit\|LockBit]], [[cl0p\|Cl0p]] - saúde subiu de 4o para 1o em fevereiro/2026 | Crescente | | 4 | 📡 **[[telecom\|Telecom]]** | 🟧 Alto | [[g1045-salt-typhoon\|Salt Typhoon]], [[g1017-volt-typhoon\|Volt Typhoon]] - comprometimento de operadoras confirmado | Estável | | 5 | ⚡ **[[energy\|Energia]]** | 🟧 Alto | [[g1017-volt-typhoon\|Volt Typhoon]] (LOTL), IABs vendendo acesso ao setor | Estável | | 6 | 💻 **[[technology\|Tecnologia]]** | 🟧 Alto | [[g0096-apt41\|APT41]], [[g0032-lazarus-group\|Lazarus Group]], supply chain attacks | Crescente | | 7 | 🏭 **[[manufacturing\|Indústria/Manufatura]]** | 🟨 Médio-Alto | [[qilin\|Qilin]], [[lockbit\|LockBit]], Akira - setor mais atacado globalmente (660 ataques em 2024) | Crescente | > [!info] Dados Intel 471 > Setores mais impactados por IABs na LATAM: administração pública, energia/agricultura e Telecom. O setor público é alvo de 18,57% das ameaças em dark web (SOCRadar 2025). --- ## Indicadores Estruturais - LATAM Q1 2026 ```mermaid graph TB subgraph "Indicadores-Chave" ATK["3.065 ataques/semana por organização LATAM (+26% YoY)"] RAN["680 vítimas ransomware globais/mês (+11% vs. média 2025)"] IAB["200+ IABs ativos em 17 países LATAM (Brasil: 70+ vítimas)"] DDOS["470.677 ataques DDoS Brasil H2/2025 (picos 30 Tbps)"] COST["US$ 3,81M custo médio por brecha (277 dias contenção)"] HACK["119 ataques hacktivistas em 15 países LATAM (Brasil: 34 ataques)"] end style ATK fill:#cc0000,color:#fff style RAN fill:#cc0000,color:#fff style IAB fill:#dd6600,color:#fff style DDOS fill:#dd6600,color:#fff style COST fill:#cc9900,color:#000 style HACK fill:#cc9900,color:#000 ``` | Indicador | Valor | Fonte | Período | |-----------|-------|-------|---------| | Ataques/semana LATAM | 3.065 | Check Point Research | Dez/2025 | | Crescimento YoY | +26% (LATAM), +9% (global) | Check Point Research | 2025 | | Ransomware LATAM 2025 | 450+ eventos (+78% vs. 2024) | Intel 471 | Ján-Dez/2025 | | Variantes ransomware ativas | 79 (vs. 48 em 2024) | Intel 471 | 2025 | | Brasil - % vítimas regionais | ~30% | Intel 471 | 2025 | | IABs ativos na LATAM | 200+ em 17 países | Intel 471 | 2025 | | DDoS Brasil H2/2025 | 470.677 ataques | Netscout | H2/2025 | | Hacktivismo LATAM | 119 ataques, 15 países | Intel 471 | 2025 | | DDoS em entidades LATAM | 90+ organizações | Intel 471 | 2025 | | Credenciais comprometidas | 2,68M (stealer logs) | SOCRadar | Mai/2024-Mai/2025 | | Custo médio por brecha | US$ 3,81M | IBM/Ponemon | 2025 | | Tempo de contenção | 277 dias | IBM/Ponemon | 2025 | | Dwell time global | 14 dias (vs. 11 em 2024) | Mandiant M-Trends 2026 | 2025 | | Handoff acesso inicial | 22 segundos | Mandiant M-Trends 2026 | 2025 | | Maturidade cibernética LATAM | Estágio 2 de 5 | OEA | 2025 | | Déficit profissionais LATAM | 300.000+ | Endeavor | 2025 | | Perdas anuais LATAM | US$ 90M+ | Intel 471 | 2025 | --- ## Top 5 Famílias de Malware - Foco LATAM | # | Malware | Tipo | Alvo | Status | |---|---------|------|------|:------:| | 1 | [[s0531-grandoreiro\|Grandoreiro]] | Banking Trojan (Delphi) | 1.700+ bancos, 60+ países | 🟥 Ativo | | 2 | [[pixpiraté]] | Banking Trojan (Android) | Sistema PIX - Brasil | 🟥 Ativo | | 3 | [[pixrevolution]] | Banking Trojan (Android) | PIX - agent-in-the-loop, streaming de tela | 🟥 Ativo | | 4 | [[brasdex]] | Banking Trojan (Android) | Bancos brasileiros | 🟥 Ativo | | 5 | [[horabot]] | RAT + Email Worm (Windows) | Setor [[financial\|Financeiro]] LATAM | 🟨 Ativo | > [!warning] Wave Android Brasil - Março 2026 > Seis novas famílias Android identificadas: **PixRevolution**, **BeatBanker**, **TaxiSpy RAT**, **Mirax RAT** (MaaS US$ 2.500/mês), **Oblivion RAT** e **SURXRAT**. Distribuição via páginas falsas Google Play impersonando Correios, Nubank, STJ e Sicredi. 150 milhões de usuários PIX potencialmente expostos. --- ## Top 10 TTPs - Frequência LATAM | # | Técnica | Frequência | Atores Principais | |---|---------|:----------:|-------| | 1 | [[t1566-phishing\|T1566 - Phishing]] | 🟥 | [[s0531-grandoreiro\|Grandoreiro]], [[g0099-blind-eagle-apt-c-36\|Blind Eagle]], [[g0032-lazarus-group\|Lazarus Group]], [[lockbit\|LockBit]] | | 2 | [[t1190-exploit-public-facing-application\|T1190 - Exploit Public-Facing App]] | 🟥 | [[g1045-salt-typhoon\|Salt Typhoon]], [[interlock-ransomware\|Interlock]], [[lockbit\|LockBit]], [[cl0p\|Cl0p]] | | 3 | [[t1078-valid-accounts\|T1078 - Valid Accounts]] | 🟥 | [[g0099-blind-eagle-apt-c-36\|Blind Eagle]], [[g1017-volt-typhoon\|Volt Typhoon]], [[qilin\|Qilin]] - credenciais são o vetor #1 de IABs | | 4 | [[t1486-data-encrypted-for-impact\|T1486 - Data Encrypted for Impact]] | 🟥 | [[qilin\|Qilin]], [[lockbit\|LockBit]], [[interlock-ransomware\|Interlock]] | | 5 | [[t1059-command-scripting-interpreter\|T1059 - Command and Scripting Interpreter]] | 🟥 | [[s0531-grandoreiro\|Grandoreiro]], [[g0099-blind-eagle-apt-c-36\|Blind Eagle]], [[g0096-apt41\|APT41]] | | 6 | [[t1027-obfuscated-files\|T1027 - Obfuscated Files]] | 🟨 | [[s0531-grandoreiro\|Grandoreiro]], [[g0099-blind-eagle-apt-c-36\|Blind Eagle]], [[cl0p\|Cl0p]] | | 7 | [[t1185-browser-session-hijacking\|T1185 - Browser Session Hijacking]] | 🟨 | [[s0531-grandoreiro\|Grandoreiro]], [[pixpiraté]], [[brasdex]] | | 8 | [[t1115-clipboard-data\|T1115 - Clipboard Data]] | 🟨 | [[pixpiraté]], [[brasdex]], [[s0531-grandoreiro\|Grandoreiro]] - hijacking PIX | | 9 | [[t1567-exfiltration-over-web-service\|T1567 - Exfiltration Over Web Service]] | 🟨 | [[cl0p\|Cl0p]], [[qilin\|Qilin]], [[interlock-ransomware\|Interlock]] - 74% dos ataques incluem exfiltração | | 10 | [[t1189-drive-by-compromise\|T1189 - Drive-by Compromise]] | 🟨 | [[interlock-ransomware\|Interlock]] (ClickFix), [[g0032-lazarus-group\|Lazarus Group]] | --- ## Panorama de Ameaças - Diagrama ```mermaid graph TB subgraph "Setores LATAM" FIN["Financeiro"] GOV["Governo"] TEL["Telecom"] SAU["Saude"] INF["Infra Critica"] TEC["Tecnologia"] end subgraph "Atores Regionais" GRD["Grandoreiro"] BLE["Blind Eagle"] PIX["Wave Android PIX"] end subgraph "Espionagem China" SAL["Salt Typhoon"] VOL["Volt Typhoon"] A41["APT41"] end subgraph "Ransomware" QIL["Qilin"] LCK["LockBit 5.0"] INT["Interlock"] end subgraph "Coreia do Norte" LAZ["Lazarus Group"] end subgraph "Russia" A28["APT28"] end GRD -->|"Banking Trojan PIX Fraud"| FIN BLE -->|"Espionagem + Roubo"| GOV PIX -->|"6 familias Android 150M usuarios"| FIN SAL -->|"Intercept Comms"| TEL VOL -->|"Pre-posicionamento"| INF A41 -->|"Supply Chain"| TEC QIL -->|"100+ vitimas/mes"| SAU QIL -->|"Ransomware"| GOV LCK -->|"Ransomware"| FIN INT -->|"CVE-2026-20131"| TEC LAZ -->|"Crypto Theft"| FIN LAZ -->|"Supply Chain"| TEC A28 -->|"Arsenal Renovado Zimbra XSS"| GOV A28 -->|"MSHTML RCE"| TEC style FIN fill:#cc0000,color:#fff style GOV fill:#cc0000,color:#fff style SAU fill:#cc0000,color:#fff style TEL fill:#dd6600,color:#fff style INF fill:#dd6600,color:#fff style TEC fill:#dd6600,color:#fff ``` --- ## Métodologia O **Cyber Threat Profile (CTP)** do RunkIntel classifica e ranqueia ameaças por relevância para a região LATAM/Brasil, considerando: - **Atividade confirmada** na região nos últimos 90 dias - **Capacidade técnica** e sofisticação de TTPs - **Impacto potencial** em setores estratégicos da região - **Tendência** de aumento ou redução de atividade - **Dados quantitativos** de Intel 471, Check Point, Breachsense, SOCRadar, Mandiant e Broadcom --- > [!note] Sobre este documento > Atualizado trimestralmente pela equipe RunkIntel. Baseado em inteligência de fontes abertas e dados do vault RunkIntel (331 grupos, 1.086 malware, 106 tools, 257 campanhas, 754 técnicas, 348 CVEs, 32 playbooks, 16 regulações - 5.411+ notas totais). Framework: **CTI-CMM v1.3** (domínio THREAT). > > **Ultima atualização:** 2026-03-28 (W13) - **Proxima revisao:** Abril 2026 --- **Navegação:** [[readme|Hub]] · [[_feed|Feed]] · [[guide-learning|Aprender]] · [[guide-analyst|Analista]] · [[sources|Fontes]] · [[subscribe|Assinar]]