# LATAM e Brasil > [!abstract] Panorama Regional > O Brasil e a América Latina concentram uma parcela crescente das ameaças cibernéticas globais. O Brasil é sistematicamente ranqueado entre os países com maior volume de ataques do mundo, com destaque para banking trojans, ransomware, fraudes financeiras e espionagem estatal. A região combina alta digitalização (PIX, fintechs) com maturidade defensiva ainda em desenvolvimento - gerando um gap significativo entre ameaça e defesa. --- ## Visão Geral O ecossistema de ameaças da América Latina é único no panorama global: a região produziu algumas das famílias de malware bancário mais sofisticadas do mundo, exportadas para alvos na Europa e Ásia. O Brasil, como maior economia regional, concentra mais de 50% dos incidentes cibernéticos da LATAM e é simultaneamente o principal alvo e a principal origem de ameaças financeiras digitais. A convergência entre digitalização acelerada e lacunas defensivas cria uma superfície de ataque expansiva. O ecossistema de pagamentos instantâneos (PIX no Brasil, SPEI no México) e o crescimento das fintechs abriram novos vetores explorados por grupos como [[s0531-grandoreiro|Grandoreiro]], [[mekotio|Mekotio]] e [[horabot|Horabot]]. Simultaneamente, ransomware de origem russa e espionagem de atores estatais elevam o perfil de risco da região. > [!latam] Contexto LATAM > A América Latina registrou mais de 137 bilhões de tentativas de ataques em 2023 (Fortinet), com o Brasil respondendo por 60 bilhões dessas tentativas. O gap entre digitalização e maturidade defensiva posiciona a região como alvo prioritário para grupos que buscam menor resistência operacional comparado a mercados norte-americanos ou europeus. --- ## Panorama de Ameaças ```mermaid graph TB LATAM["America Latina<br/>Panorama de Ameaças 2025-2026"] LATAM --> FIN["Banking Trojans<br/>Grandoreiro, Mekotio<br/>Horabot, Casbaneiro"] LATAM --> RANSOM["Ransomware<br/>LockBit, ALPHV, Play<br/>Governo + Saude"] LATAM --> APT["Espionagem Estatal<br/>Blind Eagle, APT28<br/>Lazarus Group"] LATAM --> HACK["Hacktivismo<br/>Guacamaya, Anonymous<br/>Dados governamentais"] FIN --> BR["Brasil<br/>50%+ incidentes LATAM"] RANSOM --> BR APT --> MX["Mexico + Colombia<br/>Governo + Energia"] HACK --> MX style LATAM fill:#1a1a2e,stroke:#e94560,color:#fff style FIN fill:#16213e,stroke:#e94560,color:#fff style RANSOM fill:#16213e,stroke:#e74c3c,color:#fff style APT fill:#16213e,stroke:#9b59b6,color:#fff style HACK fill:#16213e,stroke:#f39c12,color:#fff style BR fill:#0f3460,stroke:#e94560,color:#fff style MX fill:#0f3460,stroke:#0f3460,color:#fff ``` > Legenda: [[s0531-grandoreiro|Grandoreiro]] · [[mekotio|Mekotio]] · [[horabot|Horabot]] · [[lockbit-ransomware|LockBit]] · [[g0099-blind-eagle-apt-c-36|Blind Eagle]] · [[g0007-apt28|APT28]] · [[g0032-lazarus-group|Lazarus Group]] --- ## Por que LATAM é Alvo Prioritário - **Economia digital em rápida expansão** - base bancária digital entre as maiores do mundo (PIX, Nubank, Inter) - **Superfície de ataque financeiro ampla** - elevada adoção de PIX e carteiras digitais - **Setor público com legado tecnológico** - exposição de dados governamentais e sistemas de saúde pública - **Infraestrutura crítica conectada** - [[energy|energia]], [[telecommunications|telecomúnicações]], água - **Gap atacante-defensor** - ecossistema de cibersegurança em desenvolvimento vs. ameaças sofisticadas --- ## Atores de Ameaça com Foco em LATAM %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", origin AS "Origem", motivation AS "Motivação", status AS "Status", targets-sectors AS "Setores" FROM "cti/groups" WHERE type = "threat-actor" AND (contains(targets-regions, "latam") OR contains(targets-regions, "brazil")) SORT status ASC, file.mtime DESC ``` %% <!-- QueryToSerialize: TABLE WITHOUT ID link(file.link, title) AS "Nota", origin AS "Origem", motivation AS "Motivação", status AS "Status", targets-sectors AS "Setores" FROM "cti/groups" WHERE type = "threat-actor" AND (contains(targets-regions, "latam") OR contains(targets-regions, "brazil")) SORT status ASC, file.mtime DESC --> <!-- SerializedQuery: TABLE WITHOUT ID link(file.link, title) AS "Nota", origin AS "Origem", motivation AS "Motivação", status AS "Status", targets-sectors AS "Setores" FROM "cti/groups" WHERE type = "threat-actor" AND (contains(targets-regions, "latam") OR contains(targets-regions, "brazil")) SORT status ASC, file.mtime DESC --> | Nota | Origem | Motivação | Status | Setores | | ---- | ------ | --------- | ------ | ------- | <!-- SerializedQuery END --> --- ## Campanhas Ativas na LATAM %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", threat-actors AS "Atores", sectors-targeted AS "Setores", dates.start AS "Início", status AS "Status" FROM "cti/campaigns" WHERE contains(regions-targeted, "latam") OR contains(regions-targeted, "brazil") SORT dates.start DESC LIMIT 15 ``` %% <!-- QueryToSerialize: TABLE WITHOUT ID link(file.link, title) AS "Nota", threat-actors AS "Atores", sectors-targeted AS "Setores", dates.start AS "Início", status AS "Status" FROM "cti/campaigns" WHERE contains(regions-targeted, "latam") OR contains(regions-targeted, "brazil") SORT dates.start DESC LIMIT 15 --> <!-- SerializedQuery: TABLE WITHOUT ID link(file.link, title) AS "Nota", threat-actors AS "Atores", sectors-targeted AS "Setores", dates.start AS "Início", status AS "Status" FROM "cti/campaigns" WHERE contains(regions-targeted, "latam") OR contains(regions-targeted, "brazil") SORT dates.start DESC LIMIT 15 --> | Nota | Atores | Setores | Início | Status | | ---- | ------ | ------- | ------ | ------ | <!-- SerializedQuery END --> --- ## Setores Mais Alvejados no Brasil 1. **[[financial|Financeiro]]** - maior frequência de ataques; fraude PIX, credential stuffing, supply chain bancária. Banking trojans como [[s0531-grandoreiro|Grandoreiro]] e [[mekotio|Mekotio]] dominam 2. **[[government|Governo]]** - vazamentos de dados de cidadãos, ataques a sistemas de saúde pública, espionagem política 3. **[[healthcare|Saúde]]** - hospitais públicos sob ransomware; dados de pacientes como alvo de extorsão 4. **[[energy|Energia]] e [[telecommunications|Telecomúnicações]]** - infraestrutura crítica com crescente exposição a ataques destrutivos 5. **[[retail|Varejo]] e E-commerce** - fraude de cartão, skimming digital, phishing sazonal --- ## Contexto Regulatório O Brasil possui um ecossistema regulatório em evolução que impacta diretamente a postura de segurança: - **[[lgpd|LGPD]]** - Lei Geral de Proteção de Dados, com multas de até 2% do faturamento - **[[bacen-4893|BACEN Res. 4.893]]** - política de cibersegurança obrigatória para instituições financeiras - **[[bacen-pix-security|BACEN PIX Security]]** - regulamentação de segurança e antifraude para PIX - **[[nist-csf|NIST CSF 2.0]]** - framework de referência adotado por grandes corporações BR - **[[iso-27001|ISO 27001]]** - certificação voluntária, crescente no setor financeiro --- ## TTPs Predominantes na Regiao | TTP | Contexto LATAM | | --- | -------------- | | [[t1566-001-spearphishing-attachment\|T1566.001]] | Vetor principal de banking trojans e campanhas de phishing | | [[t1059-001-powershell\|T1059.001]] | Execução de payloads em campanhas Horabot e Grandoreiro | | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware contra governo e saúde | | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de aplicações expostas (VPNs, portais gov) | | [[t1078-valid-accounts\|T1078]] | Credential stuffing e credenciais vazadas | --- ## Fontes de Referencia para LATAM - [CERT.br](https://www.cert.br/) - Centro de Estudos, Resposta e Tratamento de Incidentes - [ANPD](https://www.gov.br/anpd/) - Autoridade Nacional de Proteção de Dados - [CTIR Gov](https://ctir.gov.br) - CERT do Governo Federal - [LACNIC CSIRT](https://csirt.lacnic.net) - Coordenacao regional LATAM - [Tempest Security](https://www.tempest.com.br/blog) - CTI brasileiro de referencia --- ← Voltar para **[[_sectors|Setores]]** · **[[_market|Market Intelligence]]**