government - RunkIntel

# Setor Governamental Órgãos de governo são alvos prioritários para espionagem estatal, hacktivismo e ransomware. A Administração Pública é o setor **mais visado na LATAM** segundo múltiplos relatórios de 2025, respondendo por 18,57% das ameaças de dark web e 16,99% dos ataques de phishing na região (SOCRadar 2025). No Brasil, digitalização acelerada via gov.br e PIX ampliou a superfície de ataque enquanto a maturidade de segurança não acompanhou o ritmo. ## Panorama de Ameaças > [!info] Atualização - Março 2026 > **Atualização março 2026:** Qilin é o grupo de ransomware mais ativo contra governo (17% dos ataques). Blind Eagle explora vulnerabilidades Windows contra judiciário colombiano com Remcos RAT. Atores chineses (Vixen Panda, Aquatic Panda) mantêm operações de espionagem contra entidades governamentais brasileiras e peruanas. Brasil lidera incidentes de ransomware em LATAM (9 confirmados no H1 2025). Credenciais de sistemas governamentais vendidas 60% mais baratas que em 2023. Em 2025, o setor governamental registrou **2.666 ataques semanais por organização** globalmente (Check Point, dez/2025), e foi o segundo setor mais atacado no Brasil (Cipher x63 Unit, dez/2025). Grupos APT chineses - VIXEN PANDA, AQUATIC PANDA, LIMINAL PANDA - intensificaram operações contra governos da LATAM, alinhadas aos objetivos estratégicos de Pequim. Em paralelo, hacktivistas realizaram **34 ataques contra o Brasil** em 2025, o país mais afetado por hacktivismo na [[latam|região LATAM]]. O [[g0099-blind-eagle-apt-c-36|Blind Eagle]] mantém operações persistentes contra instituições governamentais colombianas e brasileiras, com uso do [[t1566-phishing|T1566 - Phishing]] como vetor inicial. O [[cert-br|CERT.br]] e o [[ctir-gov|CTIR Gov]] coordenam a resposta a incidentes no setor público federal. A plataforma gov.br centraliza serviços para mais de 200 milhões de cidadãos, tornando-se um alvo de alto valor - incidentes nessa infraestrutura têm impacto direto na confiança pública e na prestação de serviços essenciais. Espionagem envolvendo a própria Agência Brasileira de Inteligência (ABIN) - que teria monitorado autoridades paraguaias durante negociações sobre Itaipu - gerou tensão diplomática e questionamentos sobre supervisão dos serviços de inteligência brasileiros (Intel 471, 2026). ## Visão Geral > [!info] Em revisão > Esta seção está sendo elaborada com contexto histórico, relevância para o Brasil e LATAM. ## Mapa de Ameaças ```mermaid graph TB GOV["Setor Governamental (Brasil)"] --> VT["Volt Typhoon Aquatic Panda"] GOV --> APT28["APT28 / APT29"] GOV --> BLINKE["Blind Eagle"] GOV --> HACK["Hacktivistas NoName057 / KillNet"] VT -->|"LOLBins - evasão de detecção"| T1218["T1218: LOLBins"] APT28 -->|"Spear-phishing servidores publicos"| T1566["T1566: Phishing"] BLINKE -->|"Remcos RAT via vulnerabilidade Windows"| T1078["T1078: Valid Accounts"] HACK -->|"DDoS em portais gov e e-gov"| T1498["T1498: DDoS"] T1218 --> PRE["Pre-posicionamento Persistente"] T1566 --> ESP["Exfiltração de Inteligencia Politica"] T1078 --> ESP T1498 --> INT["Interrupcao de Servicos Publicos"] ``` ## Ameaças Primarias | Tipo de Ameaça | Risco | Grupos Ativos | |---------------|-------|--------------| | Espionagem estatal (China) | 🟥 Crítico | [[g1017-volt-typhoon\|Volt Typhoon]], VIXEN PANDA, AQUATIC PANDA, LIMINAL PANDA | | Espionagem estatal (Russia) | 🟧 Alto | [[g0007-apt28\|APT28]], [[g0016-apt29\|APT29]] | | Ransomware em órgãos públicos | 🟧 Alto | [[lockbit\|LockBit]], Brigada Cyber PMC, RansomHub | | Hacktivismo coordenado | 🟧 Alto | NoName057(16), KillNet, grupos brasileiros | | Espionagem regional (LATAM) | 🟨 Médio | [[g0099-blind-eagle-apt-c-36\|Blind Eagle]], grupos APT locais | ## TTPs Frequentes - [[t1566-phishing|T1566 - Phishing]] - spear-phishing contra servidores públicos; 51% dos ataques de phishing na LATAM miram Brasil - [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]] - LOLBins para evasão; assinatura operacional do Volt Typhoon - [[t1078-valid-accounts|T1078 - Valid Accounts]] - comprometimento de credenciais de acesso remoto; método preferido de IABs - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - ransomware em prefeituras e autarquias com sistemas legados - [[t1114-email-collection|T1114 - Email Collection]] - exfiltração de comúnicações diplomáticas e políticas sensíveis ## Incidentes Recentes (2024-2025) - **Paraguai - 2025** - Brigada Cyber PMC reivindicou roubo de 7 milhões de registros de cidadãos de três sistemas governamentais; pedido de US$7,4M de resgaté (Intel 471, 2026) - **Panamá - 2025** - grupo de ransomware exfiltrou mais de 1,5 TB de dados de entidade governamental (Intel 471, 2026) - **Blind Eagle vs. Colômbia - 2024/2025** - explorou vulnerabilidade Windows para comprometer instituições judiciais e governamentais colombianas; deploy do Remcos RAT - **Governo Federal Brasil - 2024** - múltiplos incidentes de ransomware contra ministérios documentados pelo CTIR Gov - **Espionagem ABIN/Paraguai - 2025** - Operação de coleta de inteligência brasileira contra autoridades paraguaias durante negociações do Itaipu gerou crise diplomática ## Estatisticas (2025) | Métrica | Valor | Fonte | |---------|-------|-------| | Ataques semanais por org (global, governo) | 2.666/semana | Check Point dez/2025 | | Percentual de ameaças dark web ao setor público LATAM | 18,57% | SOCRadar 2025 | | Ataques de phishing direcionados ao setor público LATAM | 16,99% | SOCRadar 2025 | | Ataques hacktivistas ao Brasil (2025) | 34 ataques | Intel 471 2026 | | Setor público como alvo de IABs (LATAM) | 1o lugar | Intel 471 2026 | | APTs chinesas com atividade confirmada na LATAM | VIXEN PANDA, AQUATIC PANDA, LIMINAL PANDA | CrowdStrike 2026 | ## Contexto Brasil/LATAM O governo federal brasileiro opera sob supervisão do **GSI/PR** e o [[cert-br|CERT.br]] / [[ctir-gov|CTIR Gov]] como CSIRT governamental. A plataforma gov.br centraliza serviços digitais de centenas de órgãos, tornando-se alvo de alto valor para atores estatais adversários. China-linked groups - especialmente VIXEN PANDA (ativo desde 2019), AQUATIC PANDA (com reconhecimento documentado contra organizações brasileiras em 2023) e LIMINAL PANDA (com foco em redes de [[telecom|telecomúnicações]] para suporte a coleta de inteligência) - representam a principal ameaça de espionagem estatal à LATAM, alinhados aos objetivos estratégicos de Pequim. A [[anpd|ANPD]] fiscaliza o cumprimento da [[lgpd|LGPD]] nos órgãos públicos, com notificação obrigatória em casos de vazamento de dados de cidadãos. Apenas **7 dos 32 países** da LATAM possuem planos para proteção de infraestrutura crítica contra ataques cibernéticos (CS4CA 2024). A fragmentação da maturidade regional cria assimetrias que atores adversários exploram. ## Regulação Aplicavel - [[lgpd|LGPD]] - aplicável a órgãos públicos no tratamento de dados de cidadãos; notificação à ANPD obrigatória - **Decreto 9.637/2018** - Política Nacional de Segurança da Informação - **Decreto 10.748/2021** - Rede Federal de Gestão de Incidentes Cibernéticos - **Decreto 11.200/2022** - Plano Nacional de Segurança das Infraestruturas Críticas ## Referências - [CTIR Gov](https://www.ctir.gov.br/) - [GSI/PR](https://www.gov.br/gsi/pt-br) - CrowdStrike: 2025 LATAM Threat Landscape Report (mar/2026) - Intel 471: Latin América Cyber Threat Landscape 2025 (fev/2026) - SOCRadar: LATAM Regional Threat Landscape Report 2025