# Setor Financeiro > [!latam] Relevância LATAM > O Brasil concentra **61% das detecções de trojans bancários da América Latina** e o maior sistema financeiro da região. O PIX, com mais de 700 milhões de chaves, criou novos vetores de ataque explorados por botnets como [[s0531-grandoreiro|Grandoreiro]], **Guildma/Astaroth** e **GoPix**. Em julho de 2025, o maior cibercrime financeiro da história brasileira desviou US$148 milhões via credenciais de insider no sistema PIX (Intel 471). Bancos com operações no México enfrentam adicionalmente o [[g1016-fin13|FIN13]] e ataques ao SPEI. Toda instituição financeira na LATAM deve tratar trojans bancários brasileiros como ameaça global - o **Grandoreiro** já visa mais de 1.500 bancos em 60 países. O setor financeiro brasileiro é o mais visado por ciberameaças na América Latina. Com o maior sistema bancário da região e o PIX como infraestrutura de pagamentos instantâneos dominante, o setor concentra 61% das detecções de trojans bancários da LATAM e registrou em 2025 o maior ataque já documentado contra o ecossistema financeiro nacional. ## Panorama de Ameaças > [!info] Atualização - Março 2026 > Aumento de **78% em ransomware** no setor financeiro LATAM (450 eventos em 2025 vs 250 em 2024), com Brasil absorvendo 30% das vítimas regionais. **LockBit 3.0** lidera ataques a instituições financeiras brasileiras. **Grandoreiro** expande alcance para 1.500+ bancos em 60+ países. **Guildma/Astaroth** domina 61% das detecções de trojans LATAM, com nova variante worm via WhatsApp (Boto Cor-de-Rosa). **GoPix** acumula 90k+ tentativas de infecção via malvertising no Google Ads. **Hive0131** mira Colômbia com DCRat. Supply chain attack contra **C&M Software** (jun 2025) desviou US$80-800M do ecossistema PIX - maior cibercrime financeiro da história do Brasil. Mais de 200 operações de Initial Access Brokers ativas em 2025. O Brasil domina o cenário de ameaças ao setor financeiro na LATAM. Entre julho de 2024 e junho de 2025, aproximadamente **24 milhões de brasileiros** foram vítimas de fraudes financeiras envolvendo PIX ou boleto, com perdas estimadas em R$29 bilhões (Fórum Brasileiro de Segurança Pública). Em 2025, o maior ataque já registrado contra o sistema financeiro nacional comprometeu uma fintech conectada ao sistema PIX do Banco Central, desviando aproximadamente **US$148 milhões** de oito instituições via credenciais de insider (Intel 471, 2026). Trojans bancários originados no Brasil - [[s0531-grandoreiro|Grandoreiro]], Mekotio, Guildma, Ousaban - expandiram-se da LATAM para mais de 1.500 instituições bancárias em 60 países da Europa, África, Ásia e Oceania. O Grandoreiro hoje opera globalmente como uma das maiores ameaças de trojan bancário documentadas. ## Visão Geral > [!info] Em revisão > Esta seção está sendo elaborada com contexto histórico, relevância para o Brasil e LATAM. ## Mapa de Ameaças ```mermaid graph TB FIN["Setor Financeiro (Brasil)"] --> GRAND["Grandoreiro<br/>Guildma / Mekotio"] FIN --> LOCKBIT["LockBit 5.0"] FIN --> CLOP["Cl0p"] FIN --> FRAUD["Fraude PIX<br/>Vishing / Deepfake"] GRAND -->|"Phishing PIX, boleto<br/>WhatsApp"| T1566["T1566: Phishing"] LOCKBIT -->|"VPN / RDP<br/>sem MFA"| T1190["T1190: Exploit App"] CLOP -->|"SQLi em MFT<br/>Cleo / MOVEit"| CVE["CVE-2023-34362"] FRAUD -->|"Insider credentials<br/>falsa central"| T1078["T1078: Valid Accounts"] T1566 --> IMP["Roubo de Credenciais<br/>Bancarias"] T1190 --> IMP2["Criptografia / Extorsao"] CVE --> IMP3["Exfiltração de Dados<br/>Financeiros"] T1078 --> IMP4["Desvio via PIX<br/>US$148M - 2025"] ``` ## Ameaças Primarias | Tipo de Ameaça | Risco | Grupos Ativos | |---------------|-------|--------------| | Trojans bancários (PIX/boleto) | 🟥 Crítico | [[s0531-grandoreiro\|Grandoreiro]], Guildma, Mekotio, Ousaban | | Ransomware / Dupla extorsão | 🟧 Alto | [[lockbit\|LockBit]], [[cl0p\|Cl0p]], Akira, RansomHub | | Fraude por insider / credential abuse | 🟥 Crítico | Grupos organizados nacionais (PCC e afiliados) | | Vishing / Deepfake / Falsa central | 🟧 Alto | Redes criminosas organizadas com IA | | Skimming digital / Magecart | 🟨 Médio | Grupos de fraude de cartão | ## TTPs Frequentes - [[t1566-phishing|T1566 - Phishing]] - vetor principal; phishing via WhatsApp, SMS e e-mail com IA - [[t1185-browser-session-hijacking|T1185 - Browser Session Hijacking]] - captura de sessões bancárias online - [[t1115-clipboard-data|T1115 - Clipboard Data]] - roubo de chaves PIX da área de transferência - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração de portais bancários e plataformas MFT - [[t1056-input-capture|T1056 - Input Capture]] - keylogging em transações bancárias - [[t1078-valid-accounts|T1078 - Valid Accounts]] - abuso de credenciais de insider para desvio PIX ## Incidentes Recentes (2024-2025) - **C&M Software / PIX - jul/2025** - maior ataque ao sistema financeiro brasileiro; credenciais de insider desviaram US$148M de 8 instituições via PIX (Intel 471) - **Banco Triângulo / E2 Pay - set/2025** - segundo incidente na mesma fintech; US$5M desviados - **FictorPay - out/2025** - terceiro incidente; US$5M (Kaspersky Financial Sector Report 2025) - **LockBit 3.0 - banco brasileiro - jul/2024** - ataque direcionado a grande instituição financeira explorando infraestrutura virtualizada (Duke/Recorded Future) - **Bankingly - 2024** - vazamento de dados de 135.000 clientes de múltiplos bancos LATAM ## Estatisticas (2025) | Métrica | Valor | Fonte | |---------|-------|-------| | Detecções de trojans bancários no Brasil | 61% do total LATAM | ESET Security Report 2025 | | Crescimento YoY de trojans bancários | +15% em 2024 vs 2023 | ESET | | Aumento de ataques de malware bancário H1/2025 | +220% vs 2024 inteiro | BioCatch 2025 | | Perdas com fraude digital no Brasil (2024) | R$3 bilhões | BioCatch | | Organizações financeiras LATAM com ransomware | 12,6% | Kaspersky 2025 | | Crescimento de ransomware no setor financeiro LATAM | +35,7% (vs 2023) | Kaspersky 2025 | | Ataques DDoS ao setor bancário (Brasil H1/2025) | 6.575 ataques | Netscout TIR 2025 | ## Contexto Brasil/LATAM O Brasil possui o **maior sistema financeiro da América Latina**, com mais de 200 instituições financeiras reguladas pelo BACEN. A adoção massiva do PIX (mais de 700 milhões de chaves cadastradas) criou novos vetores de ataque. Trojan bancários originados no Brasil se tornaram **ameaça global** - o Grandoreiro já visa mais de 1.500 bancos em 60 países, demonstrando a maturidade técnica do cibercrime financeiro brasileiro. O ecossistema criminoso inclui grupos organizados como o **Primeiro Comando da Capital (PCC)**, que evoluiu do crime violento para operações sofisticadas de fraude eletrônica com call centers, identity theft e fraude de pagamentos. Em 2025, IA tornou-se arma central: 80% dos e-mails de phishing já usam geração por IA, e deepfakes de voz/vídeo alimentam golpes de "falsa central" e BEC direcionados ao setor. ## Regulação Aplicavel - [[lgpd|LGPD]] - Lei Geral de Proteção de Dados; incidentes de vazamento exigem notificação à ANPD - **Resolução BCB nº 85/2021** - Política de segurança cibernética para instituições financeiras - **Circular BACEN 3.909/2018** - Requisitos de segurança para o Sistema de Pagamentos Brasileiro - **PCI-DSS** - obrigatório para emissores e adquirentes de cartões - **Basileia III** - requisitos de gestão de risco operacional aplicáveis a riscos cibernéticos ## Referências - [BACEN - Relatório de Estabilidade Financeira](https://www.bcb.gov.br/estabilidadefinanceira/ref) - [FEBRABAN - Pesquisa de Tecnologia Bancária](https://febraban.org.br/) - Intel 471: Latin América Cyber Threat Landscape Report 2025 (fev/2026) - Kaspersky: Financial Sector Cybersecurity Report 2025 (nov/2025) - BioCatch: Digital Banking Fraud Trends in Brazil 2025 (out/2025) - ESET Security Report 2025 - Brazil Banking Trojan Statistics