2025-q4-ransomware-brasil

# Ransomware no Brasil - Recorde Q4 2025 > [!abstract] Resumo > O quarto trimestre de 2025 registrou níveis recordes de ataques ransomware no Brasil, com aumento de 50% em relação ao trimestre anterior. VPNs comprometidas foram o vetor de 85% dos incidentes, e o setor agrícola emergiu como novo alvo representando 10% dos ataques. **Data:** Q4 2025 (outubro-dezembro) | **Categoria:** ransomware --- ## O que aconteceu O último trimestre de 2025 consolidou o Brasil como um dos países mais afetados por ransomware na América Latina, com um **aumento de 50% no volume de ataques** em relação ao Q3 2025. Dados consolidados de múltiplas fontes - incluindo CERT.br, empresas de resposta a incidentes e relatórios de seguradoras cyber - indicam que o país enfrentou uma escalada sem precedentes. O vetor de acesso inicial predominante foram **VPNs comprometidas**, responsáveis por **85% dos incidentes** documentados. Credenciais de VPN roubadas via infostealers e vendidas em fóruns de access brokers foram o método mais comum. Appliances de VPN sem patches - especialmente Fortinet, Pulse Secure e Cisco - continuaram sendo alvos preferenciais, refletindo uma deficiência crônica na gestão de patches em organizações brasileiras. Um dado particularmente relevante foi a **emergência do setor agrícola como novo alvo**, representando **10% dos ataques** - um segmento historicamente negligenciado em estrategias de cibersegurança no Brasil. O [[agronegócio]], pilar da economia brasileira, apresenta infraestrutura de TI frequentemente desatualizada e equipes de segurança reduzidas, tornando-se alvo atrativo para operadores de ransomware que buscam vítimas com alta capacidade de pagamento e baixa maturidade de defesa. Os setores [[financial]], [[government]] e [[healthcare]] continuaram sendo os mais atacados em termos absolutos, com o [[energy|setor de energia]] também registrando incidentes significativos. --- ## Principais Números ```mermaid pie title Vetores de Acesso Inicial - Ransomware Brasil Q4 2025 "VPNs comprometidas" : 85 "Phishing/email" : 8 "RDP exposto" : 4 "Supply chain" : 2 "Outros" : 1 ``` | Indicador | Valor | |-----------|-------| | Aumento vs Q3 2025 | +50% | | Vetor principal | VPNs comprometidas (85%) | | Setor emergente | Agricultura (10% dos ataques) | | Demanda média de resgaté | $750K - $2M USD | | Tempo médio de recuperação | 21 dias | | Grupos mais ativos | [[lockbit]], [[cl0p]], Akira, Black Basta | --- ## Atores e Ferramentas - **Threat Actors:** [[lockbit]] (operador dominante), [[cl0p]] (foco em exploração de vulnerabilidades), Akira (crescimento acelerado), Black Basta - **Malware:** [[s0154-cobalt-strike]] (principal ferramenta de pós-exploração), infostealers para coleta de credenciais VPN - **CVEs mais explorados:** Vulnerabilidades em appliances VPN (Fortinet, Pulse Secure, Cisco) e servidores de backup - **Ferramentas legítimas abusadas:** PowerShell, PsExec, WMI, ferramentas de acesso remoto legítimas (AnyDesk, TeamViewer) --- ## Impacto O impacto econômico estimado do ransomware no Brasil durante Q4 2025 é significativo, embora números precisos sejam difíceis de consolidar devido à subnotificação: - **Setores mais impactados:** [[financial]] (30%), [[government]] (25%), [[healthcare]] (15%), agropecuária (10%), [[energy]] (8%) - **Organizações afetadas:** Desde PMEs até grandes corporações e órgãos públicos - **Consequências operacionais:** Interrupção de serviços públicos, hospitais operando em modo manual, cadeias de suprimento agrícola paralisadas - **Pagamento de resgates:** Estimativa de que 35% das vítimas pagaram resgaté, com demandas médias entre $750K e $2M USD A principal lição do Q4 2025 é que a **gestão de patches de appliances de borda** (VPNs, firewalls) continua sendo a deficiência mais crítica e explorada no ecossistema brasileiro de cibersegurança. --- ## Recomendações Derivadas - **Prioridade 1:** Patch management rigoroso para appliances VPN - jánela de 48h para vulnerabilidades críticas - **Prioridade 2:** Implementação de MFA resistente a phishing (FIDO2) em todos os acessos VPN - **Prioridade 3:** Backups imutáveis (air-gapped ou object lock) testados regularmente - **Prioridade 4:** Monitoramento de credenciais corporativas em fóruns de access brokers - **Prioridade 5:** Segmentação de rede com zero trust para limitar movimentação lateral --- ## Notas Relacionadas - [[lockbit]] - Grupo de ransomware mais ativo no Brasil Q4 2025 - [[cl0p]] - Segundo grupo mais ativo, foco em exploração de vulnerabilidades - [[lockbit-citrix-bleed-2023]] - Campanha anterior com mesmo padrão de exploração de infra de acesso - [[veeam-ransomware-exploitation-2026]] - Campanha de 2026 que dá continuidade ao padrão de destruição de backups - [[t1190-exploit-public-facing-application]] - Técnica dominante no vetor de acesso via VPN - [[t1486-data-encrypted-for-impact]] - Impacto principal dos ataques ransomware - [[financial]] - Setor mais atacado em termos absolutos - [[government]] - Segundo setor mais atacado - [[healthcare]] - Setor com maior impacto operacional por ataque