readme - RunkIntel

# RunkIntel ## Inteligência de ameaças aberta e de alto nível O Brasil tem um déficit de **300.000 profissionais de cibersegurança**. Enquanto os ataques crescem a uma velocidade que nenhuma equipe consegue acompanhar sozinha, a maior parte do conhecimento estratégico sobre ameaças continua presa em inglês - em relatórios técnicos, blogs de vendors e bases de dados que a maioria dos analistas brasileiros nunca vai ler. O resultado é previsível: organizações mal-informadas, respostas lentas, brechas evitáveis. O **RunkIntel** existe para mudar essa equação. É uma plataforma aberta e independente de Cyber Threat Intelligence que converte dados brutos de **100+ fontes OSINT** em inteligência estruturada, priorizada e acionável - em português, alinhada ao MITRE ATT&CK, conectada ao CISA KEV e pensada para o contexto real de quem defende redes no Brasil e na América Latina. Não é mais um agregador de notícias. É um **knowledge graph vivo**, alimentado por IA e curado por analistas, publicado abertamente para toda a comunidade. --- ## Números do vault | Indicador | Valor | |-----------|-------| | **Threat actors** | 310+ grupos perfilados (APTs, ransomware, hacktivistas) | | **Técnicas ATT&CK** | 740 técnicas com táticas e procedimentos | | **Vulnerabilidades** | 390+ CVEs com CVSS, EPSS e status CISA KEV | | **Campanhas** | 260+ operações documentadas do reconhecimento ao impacto | | **Malware e Tools** | 1.120+ famílias de malware + 107 ferramentas dual-use | | **Defesas** | 2.600+ controles: mitigações, detecções, data sources, 32 playbooks | | **Market Intel** | 16 setores, vendors, 7 regiões LATAM, 16 regulações e frameworks | | **Fontes monitoradas** | 100+ fontes em 13 categorias (Tier 1-4, LATAM, Governo/CERTs) | | **Eventos na timeline** | 27 marcos históricos da cibersegurança (2017-2026) | | **Frequência de atualização** | Diária (automática) + curadoria editorial semanal | --- ## Como funciona ```mermaid graph TB subgraph entrada["Camada 1 - Coleta"] S1["Skills /intel /cve /threat /cti"] S2["Agentes collector analyst writer"] S3["100+ Fontes OSINT RSS APIs OSINT LATAM CERTs"] end subgraph processamento["Camada 2 - Processamento"] R1["Receitas collect enrich synthesize draft"] R2["Triagem P1-P4 CVSS EPSS KEV LATAM"] R3["Enriquecimento MITRE ATT&CK correlação graph"] end subgraph conhecimento["Camada 3 - Knowledge Graph"] K1["Templates YAML schema por tipo de nota"] K2["Vault Obsidian 7.300+ notas interligadas"] K3["Wikilinks e Dataview relações automáticas"] end subgraph publicacao["Camada 4 - Publicação"] P1["Feed CTI rolling 30 dias"] P2["Relatórios Semanais síntese executiva"] P3["Insights LATAM panorama estratégico"] P4["Obsidian Publish abertura total comunidade"] end S3 --> R1 S1 --> R1 S2 --> R1 R1 --> R2 R2 --> R3 R3 --> K1 K1 --> K2 K2 --> K3 K3 --> P1 K3 --> P2 K3 --> P3 P1 --> P4 P2 --> P4 P3 --> P4 classDef entrada fill:#1a3a5c,color:#fff,stroke:#2980b9 classDef proc fill:#3a1a5c,color:#fff,stroke:#8e44ad classDef know fill:#1a4a2a,color:#fff,stroke:#27ae60 classDef pub fill:#4a2a1a,color:#fff,stroke:#e67e22 class S1,S2,S3 entrada class R1,R2,R3 proc class K1,K2,K3 know class P1,P2,P3,P4 pub ``` --- ## Navegue pela plataforma > [!example]- Inteligência Editorial - o que acontece agora > **Feed CTI** - curadoria priorizada das ameaças ativas dos últimos 30 dias. Cada item tem score, wikilinks, TTPs, mitigação e fontes. > > **Relatórios Semanais** - síntese executiva publicada toda semana. Cobre os principais eventos, campanhas ativas, CVEs críticos e tendências LATAM. > > **Insights LATAM** - panorama estratégico trimestral. Top atores, ransomware tracker, setores mais atacados, previsões. > > **Timeline CTI** - 27 eventos históricos da cibersegurança (2017-2026): WannaCry, SolarWinds, Log4Shell, Colonial Pipeline e mais. > > **Acesse:** [[_feed|Feed CTI]] · [[_weekly|Relatórios Semanais]] · [[insights|Insights LATAM]] · [[_timeline|Timeline]] > [!example]- Threat Intelligence - atores, campanhas e malware > **Threat Actors** - 310+ grupos perfilados: APTs estatais, cibercrime organizado, ransomware-as-a-service, hacktivistas. Com TTPs, campanhas, malware usado e targets. > > **Campanhas** - 260+ operações documentadas, do reconhecimento ao impacto. Correlações com atores, técnicas e vulnerabilidades exploradas. > > **Malware e Tools** - 1.120+ famílias de malware (RATs, loaders, stealers, frameworks C2) + 107 ferramentas dual-use como Cobalt Strike e Mimikatz. > > **Acesse:** [[_groups|Threat Actors]] · [[_campaigns|Campanhas]] · [[_malware|Malware]] · [[_tools|Tools]] > [!example]- TTPs - Táticas, Técnicas e Procedimentos > **740 técnicas MITRE ATT&CK** organizadas por tática: Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, C2, Exfiltration e Impact. > > **Táticas** - visão geral de cada fase do ataque com mapeamento para atores e campanhas reais. > > **Procedimentos** - como as técnicas são aplicadas na prática por grupos específicos. > > **Acesse:** [[_techniques|Técnicas]] · [[_tactics|Táticas]] · [[_procedures|Procedimentos]] > [!example]- Vulnerabilidades - CVEs e exploits > **390+ CVEs** com perfil completo: CVSS, EPSS, status CISA KEV, versões afetadas, patches, exploits públicos. > > Priorização baseada em dados: EPSS percentil + presença no KEV + uso ativo por atores rastreados. > > Cada CVE é linkado a threat actors que exploraram, campanhas documentadas e técnicas MITRE correspondentes. > > **Acesse:** [[_vulnerabilities|Vulnerabilidades]] > [!example]- Defesas - como responder > **44 Mitigações MITRE ATT&CK** (série M) - controles estruturados com mapeamento para técnicas. > > **Detecções** - analytics, data components e estratégias de detecção. Base para regras SIEM e EDR. > > **33 Data Sources** - o que monitorar para detectar técnicas específicas. > > **32 Playbooks IR** - respostas a ransomware, phishing, BEC, supply chain e mais. Formato estruturado para SOAR. > > **Acesse:** [[_mitigations|Mitigações]] · [[_detections|Detecções]] · [[_data-sources|Data Sources]] · [[_playbooks|Playbooks]] > [!example]- Market Intelligence - contexto de mercado > **16 setores verticais** com perfil de ameaças: financeiro, governo, saúde, energia, Telecom e mais. > > **Vendors** - perfis de segurança de vendors com CVEs afetando seus produtos. > > **7 regiões LATAM** - Brasil, México, Argentina, Colômbia, Chile e mais com perfil de ameaças regionais. > > **16 regulações e frameworks** - LGPD, BACEN 4658, NIST CSF, ISO 27001, Zero Trust e mais. > > **Acesse:** [[_sectors|Setores]] · [[_vendors|Vendors]] · [[_regions|Regiões]] · [[_regulations|Regulações]] --- ## Para Você > [!tip]- Comece Por Aqui - Escolha Seu Perfil > | Perfil | Recomendação | Tempo | > |--------|-------------|-------| > | **CISO / Gestor** | Insights LATAM e Relatório Semanal para decisões estratégicas | 15 min/semana | > | **Analista SOC** | Guia do Analista com workflows de ransomware, CVE e LATAM | 30 min setup | > | **Analista CTI** | Feed, Timeline e perfis de threat actors | Contínuo | > | **Vulnerability Manager** | CVEs priorizados por CVSS+EPSS+KEV | 20 min/dia | > | **Estudante** | Trilhas de Aprendizado com 20h+ de conteúdo estruturado | 20h total | > > **Acesse:** [[insights|Insights LATAM]] · [[guide-analyst|Guia do Analista]] · [[_feed|Feed CTI]] · [[_vulnerabilities|Vulnerabilidades]] · [[guide-learning|Trilhas de Aprendizado]] --- ## Relatório da semana | | CTI Weekly - 2026-W13 | |-|----------------------| | **Nível de ameaça LATAM** | 🟥 Alto | | **Período** | 23 a 29 de março de 2026 | | **Destaques** | CVE-2026-33017 Langflow KEV (weaponizado em 20h) · CVE-2025-53521 F5 BIG-IP KEV China-nexo · Trivy supply chain (TeamPCP → Vect Ransomware) · Silver Fox APT confirmado no Brasil · Horabot 5.384 vítimas LATAM · GoPix 90k infecções técnicas APT-level | | **Relatório completo** | [[2026-w13\|Ler W13]] - [[_weekly\|Arquivo semanal]] | --- ## Panorama de ameaças - W13/2026 ```mermaid graph TB W13["W13/2026 Nivel Alto"] W13 --> EST["Atores Estatais"] W13 --> CRI["Cibercrime"] W13 --> CVE["CVEs Criticos - KEV"] EST --> APT28["APT28 GRU BeardShell + GhostMail"] EST --> SF["Silver Fox APT Phishing fiscal Brasil"] EST --> RM["Red Menshen BPFDoor Telecom"] CRI --> LB["LockBit 5.0 SESI Brasil"] CRI --> TCP["TeamPCP Trivy + Telnyx PyPI"] CRI --> GP["GoPix 90k infeccoes MitM"] CVE --> C1["CVE-2025-53521 F5 BIG-IP KEV"] CVE --> C2["CVE-2026-33634 Trivy CI-CD KEV"] CVE --> C3["CVE-2026-33017 Langflow RCE KEV"] style W13 fill:#e74c3c,color:#fff style EST fill:#1a3a5c,color:#fff style CRI fill:#5a1a1a,color:#fff style CVE fill:#4a3a1a,color:#fff style APT28 fill:#2980b9,color:#fff style SF fill:#2980b9,color:#fff style RM fill:#2980b9,color:#fff style LB fill:#c0392b,color:#fff style TCP fill:#c0392b,color:#fff style GP fill:#c0392b,color:#fff style C1 fill:#e67e22,color:#fff style C2 fill:#e67e22,color:#fff style C3 fill:#e67e22,color:#fff ``` --- ## Escala de prioridade CTI | Nível | Critério | |-------|----------| | 🟥 **P1 - Crítico** | KEV ativo + exploit público, campanha ativa LATAM, impacto nacional | | 🟧 **P2 - Alto** | CVSS 9.0+, KEV sem exploit, APT com novos TTPs | | 🟨 **P3 - Médio** | CVSS 7.0+, tendência relevante, malware novo | | 🟦 **P4 - Informativo** | Pesquisa, contexto, conscientização | Toda inteligência publicada é derivada exclusivamente de **fontes abertas (OSINT)**. IoCs são publicados apenas quando já divulgados por fontes públicas e autoritativas. --- ## Cobertura do vault %% ```dataview TABLE WITHOUT ID type AS "Categoria", length(rows) AS "Total" FROM "cti/groups" OR "vulnerabilities" OR "cti/campaigns" OR "ttp/techniques" OR "cti/software" OR "defenses" OR "market/vendors" OR "market/sectors" OR "_intel/timeline" WHERE !contains(file.name, "_") GROUP BY type ``` %%   | Categoria | Total | | ------------------ | ----- | | \- | 58 | | analytic | 1738 | | campaign | 278 | | campaign-profile | 1 | | concept | 1 | | cti-event | 27 | | cve | 405 | | data-component | 136 | | data-source | 33 | | detection-strategy | 690 | | malware | 1167 | | mitigation | 44 | | playbook | 30 | | product | 60 | | sector | 16 | | technique | 740 | | threat-actor | 286 | | tool | 9 |  --- ## Por que isso importa A guerra cibernética é **assimétrica por natureza**. O atacante precisa encontrar uma única brecha; o defensor precisa proteger tudo, o tempo todo. Essa desvantagem estrutural é amplificada quando os defensores não têm acesso ao mesmo nível de inteligência que os atacantes utilizam para planejar suas operações. No Brasil, o problema tem uma camada extra: a barreira do idioma. A maioria dos profissionais de segurança brasileiros - especialmente nas empresas menores, nos órgãos públicos e nas equipes em formação - não tem fluência em inglês técnico suficiente para consumir relatórios de APT, advisories de CISA ou artigos de threat research da forma que eles foram escritos. Isso cria um gap de informação que não é neutro: ele beneficia os atacantes. **O RunkIntel é uma resposta direta a esse problema.** Quatro dados que contextualizam a urgência: - 🟥 **3.065 ataques por semana** em média contra organizações na América Latina - 57% acima da média global (Check Point 2025) - 🟧 **US$ 3,81 milhões** - custo médio de uma brecha de dados na LATAM (IBM Cost of Data Breach 2025) - 🟨 **277 dias** - tempo médio para identificar e conter um incidente na região - 🟦 **Estágio 2 de 5** de maturidade cibernética para a maioria dos países LATAM (OEA Ciberseguridad 2024) A inteligência não resolve esses problemas sozinha. Mas um analista bem-informado detecta mais rápido, responde melhor e justifica investimentos com dados. O RunkIntel quer ser esse insumo - gratuito, aberto, em português, continuamente atualizado. --- ## Comunidade O RunkIntel é um projeto aberto. Inteligência de ameaças de qualidade deve ser acessível a todos. - 🟥 **Reportar erro** - informação incorreta? Nos avise pelo Discord ou e-mail - 🟧 **Sugerir fonte** - especialmente fontes brasileiras e LATAM - 🟨 **Compartilhar** - divulgue para colegas e estudantes - 🟦 **Feedback** - diga o que funciona e o que pode melhorar **Canais:** Discord (*em breve*) · Telegram (*em breve*) · [LinkedIn](https://www.linkedin.com/company/datarunk) · [email protected] [[contribute|Como contribuir]] · [[_about|Sobre o projeto]] · [[faq|FAQ]] --- ## Aprenda e explore | Recurso | Para quem | |---------|-----------| | [[_learn\|Aprenda CTI]] | Guias, trilhas de aprendizado e capacitação | | [[_about\|Sobre o Projeto]] | Governança, licença, termos, privacidade, roadmap | --- > **O RunkIntel nasceu de uma convicção:** boa inteligência de ameaças não deve ser privilégio de quem lê em inglês ou de quem tem orçamento para plataformas premium. Se você trabalha com segurança no Brasil - seja em um grande banco, em uma prefeitura, em uma startup ou ainda estudando para sua primeira certificação - este conteúdo é para você. --- **Navegação rápida:** [[_feed|Feed CTI]] - [[_weekly|Relatórios Semanais]] - [[insights|Insights LATAM]] - [[_timeline|Timeline CTI]] - [[sources|Fontes]] - [[_learn|Aprenda CTI]] - [[_about|Sobre o Projeto]] --- **Legal:** [[license|Licença (CC BY-SA 4.0)]] · [[terms|Termos de Uso]] · [[privacy|Privacidade (LGPD)]] · [[disclaimer|Disclaimer]] · [[contribute|Contribuir]] · [[roadmap|Roadmap]]