# Setor de Educação Universidades, institutos de pesquisa e plataformas de ensino online são alvos prioritários por múltiplos motivos: repositórios de pesquisa estratégica, dados de milhões de estudantes e funcionários, e postura de segurança historicamente mais permissiva. Em 2025, o setor de educação foi o **mais atacado globalmente** com **4.349 ataques semanais por organização** (+12% YoY) (Check Point, ago/2025). O Brasil registrou **9 ataques de ransomware confirmados** ao ensino superior em 2025, crescimento de **125% em relação a 2024** (Comparitech 2026). ## Panorama de Ameaças O ransomware domina as ameaças ao setor. Em 2025, **251 ataques de ransomware** atingiram instituições de ensino globalmente (Comparitech), com o [[qilin|Qilin]] liderando com 37 ataques, seguido por Rhysida (19), INC (16) e RansomHub (14). A demanda média de resgaté foi de **US$464.000** (-33% vs 2024), mas o impacto operacional permanece severo: **3,96 milhões de registros** de estudantes foram expostos em 2025 (+27% YoY). No Brasil, ataques a instituições de ensino superior têm crescimento acelerado. A RNP (Rede Nacional de Pesquisa) - que conecta universidades públicas brasileiras - registra mais de **20.000 tentativas de ataque por mês**. Universidades como USP já foram alvo de grupos de espionagem patrocinados por estados. O [[cl0p|Cl0p]] explorou sistematicamente plataformas de transferência de arquivos (MOVEit, GoAnywhere) amplamente adotadas pelo setor acadêmico para compartilhamento de dados de pesquisa. O [[g0096-apt41|APT41]] e grupos chineses vinculados ao MSS têm como alvo pesquisa em biotecnologia, defesa e inteligência artificial em universidades brasileiras e latino-americanas. ## Visão Geral > [!info] Em revisão > Esta seção está sendo elaborada com contexto histórico, relevância para o Brasil e LATAM. ## Mapa de Ameaças ```mermaid graph TB EDU["Setor de Educacao (Brasil)"] --> RANSOM["Qilin / Rhysida<br/>INC / RansomHub"] EDU --> CLOP["Cl0p<br/>MOVEit / MFT"] EDU --> APT41["APT41<br/>Espionagem Academica"] RANSOM -->|"RDP exposto<br/>sem MFA"| T1133["T1133: External Remote Services"] CLOP -->|"Exploração de plataformas<br/>de transferencia MFT"| T1190["T1190: Exploit App"] APT41 -->|"Phishing contra<br/>pesquisadores"| T1566["T1566: Phishing"] T1133 --> ENC["Criptografia de<br/>Sistemas Academicos"] T1190 --> EXF["Exfiltração de Dados<br/>de Estudantes"] T1566 --> ESP["Roubo de Pesquisa<br/>Estratégica"] ENC --> EXT["Extorsao<br/>media US$464K"] EXF --> EXT ``` ## Ameaças Primarias | Tipo de Ameaça | Risco | Grupos Ativos | |---------------|-------|--------------| | Ransomware em universidades e IES | 🟥 Crítico | [[qilin\|Qilin]], Rhysida, INC, RansomHub, SafePay | | Exfiltração de dados de estudantes | 🟧 Alto | [[cl0p\|Cl0p]], Akira, grupos de dupla extorsão | | Espionagem de pesquisa estratégica | 🟧 Alto | [[g0096-apt41\|APT41]], grupos chineses MSS | | Exploração de plataformas MFT/LMS | 🟧 Alto | [[cl0p\|Cl0p]] (MOVEit), grupos oportunistas | | Credential stuffing em portais EAD | 🟨 Médio | Grupos de infostealer, IABs | ## TTPs Frequentes - [[t1133-external-remote-services|T1133 - External Remote Services]] - acesso via RDP e VPNs sem MFA; vetor dominante em instituições públicas com orçamento de TI limitado - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração de plataformas MFT (MOVEit, GoAnywhere), sistemas de gestão acadêmica e portais LMS como Moodle - [[t1566-phishing|T1566 - Phishing]] - spear-phishing contra pesquisadores com propostas de colaboração falsas; grupos de espionagem imitam instituições parceiras e agências de fomento (FAPESP, CNPq) - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - criptografia de sistemas de gestão acadêmica, prontuários de pesquisa e sistemas de RH; downtime médio de 2-3 semanas - [[t1078-valid-accounts|T1078 - Valid Accounts]] - credenciais roubadas de plataformas EAD comercializadas em mercados de darkweb; amplamente disponíveis por preços baixos ## Incidentes Recentes (2024-2025) - **Universidades brasileiras - 9 ataques confirmados (2025)** - crescimento de 125% vs 2024; ataques por Qilin, Rhysida e grupos sem nome; exfiltração de dados de estudantes e pesquisa (Comparitech 2026) - **Laureaté Education / grupo universitário LATAM (2025)** - listado em múltiplos leak sites; dados de estudantes de países da América Latina expostos - **Cl0p MOVEit - universidades globais (2023)** - campanha explorou CVE-2023-34362 e comprometeu dezenas de universidades; University of California, Johns Hopkins, UNC entre as vítimas; dados de estudantes expostos - **Rhysida - ataques ao ensino superior (2024-2025)** - grupo especializado em hospitais e universidades; negociação de dados de pesquisa proprietária como leverage - **Ataque a IES no Espírito Santo, Brasil (2025)** - instituição de ensino-saúde listada pelo Rhysida no leak site (SOCRadar) ## Estatisticas (2025) | Métrica | Valor | Fonte | |---------|-------|-------| | Ataques semanais/org - global (educação) | 4.349 (+12% YoY) | Check Point ago/2025 | | Total de ataques ransomware ao setor (2025) | 251 ataques | Comparitech 2026 | | Ataques a universidades brasileiras (2025) | 9 confirmados (+125%) | Comparitech 2026 | | Grupo mais ativo no setor | Qilin (37 ataques) | Comparitech 2026 | | Demanda média de resgaté | US$464.000 (-33% vs 2024) | Comparitech 2026 | | Registros de estudantes expostos (2025) | 3,96 milhões (+27%) | Comparitech 2026 | | Tentativas de ataque mensais - RNP Brasil | 20.000+ | FAPESP/RNP | ## Contexto Brasil/LATAM O Brasil possui um ecossistema universitário robusto com relevância estratégica: USP, Unicamp, UFRJ e dezenas de universidades federais conduzem pesquisas em biotecnologia, defesa, energia nuclear e IA - áreas de interesse direto de grupos de espionagem patrocinados por estados como o [[g0096-apt41|APT41]]. A **natureza aberta e colaborativa** das universidades - necessária para a missão acadêmica - dificulta a implementação de controles de segurança rigorosos sem impactar a pesquisa. Plataformas de ensino a distância, massivamente adotadas pós-pandemia, criaram nova superfície de ataque. Credenciais de acesso a plataformas EAD são amplamente comercializadas em mercados de darkweb por preços irrisórios - R$10-50 por login - alimentando ataques de [[t1078-valid-accounts|T1078 - Valid Accounts]]. A RNP (Rede Nacional de Pesquisa), backbone que conecta centenas de instituições acadêmicas brasileiras, é um alvo de alto valor por seu alcance nacional. A [[lgpd|LGPD]] impõe obrigações específicas para dados de alunos menores de 18 anos e requer notificação à [[anpd|ANPD]] em caso de vazamentos. **Espionagem acadêmica** é ameaça crescente e pouco documentada no Brasil: pesquisadores brasileiros em áreas estratégicas (pré-sal, satélites, defesa) são alvos de grupos de espionagem que usam propostas de colaboração como vetor inicial. A plataforma [[cve-2023-34362|CVE-2023-34362]] (MOVEit Transfer) - explorada pelo [[cl0p|Cl0p]] - afetou dezenas de universidades internacionais que compartilhavam dados de pesquisa com parceiros brasileiros. ## Regulação Aplicavel - [[lgpd|LGPD]] - dados de estudantes, funcionários e pesquisadores são dados pessoais; incidentes exigem notificação à ANPD - **Lei 9.394/1996 (LDB)** - referências a proteção de dados em ambiente educacional - **Marco Civil da Internet** - responsabilidade das IES como provedores de acesso e aplicações - **Resolução CNE** - regulamentação do ensino a distância e gestão de dados acadêmicos ## Referências - Comparitech: Education Ransomware Roundup 2025 (ján/2026) - Check Point Research: Education Sector Threat Landscape (ago/2025) - Intel 471: Latin América Cyber Threat Landscape 2025 (fev/2026) - FAPESP/RNP: Segurança em Redes Acadêmicas Brasileiras (2025) - SOCRadar: LATAM Regional Threat Landscape Report 2025