# Setor de Varejo O varejo - físico e digital - processa volumes massivos de dados de pagamento e informações pessoais de clientes, tornando-o alvo recorrente de grupos motivados financeiramente. Em 2025, **varejo e distribuição** foi o setor com **maior número de vítimas de ransomware na LATAM** (Intel 471, 2026). No Brasil, o varejo eletrônico foi o segundo setor mais afetado por DDoS no H1/2025 (Netscout), e varejistas de eletrônicos de consumo figuraram entre os alvos de maior volume de ataques. ## Panorama de Ameaças O cenário de 2025 é dominado por três vetores: exploração de plataformas de transferência de arquivos B2B, web skimming (Magecart) em e-commerce, e ransomware via credenciais comprometidas. O [[cl0p|Cl0p]] explorou a vulnerabilidade no Cleo File Transfer (dez/2024) - plataformas Harmony, VLTrader e LexiCom - comprometendo dezenas de empresas de varejo e logística que usavam esses sistemas para intercâmbio de dados com fornecedores e parceiros. Web skimmers continuam sendo uma ameaça persistente: grupos Magecart injetam JavaScript malicioso em páginas de checkout para capturar dados de cartão em tempo real. A amplitude de ataque é enorme - qualquer varejista com e-commerce próprio ou em plataformas desatualizadas é potencial vítima. O [[s0531-grandoreiro|Grandoreiro]], trojan bancário de origem brasileira ressurgente em 2025, opera no checkout de e-commerce, interceptando sessões bancárias e redirecionando transações PIX. Apesar de operação policial em 2024, o malware continuou ativo em novas versões distribuídas por afiliados. Infostealers alimentam o ecossistema de ataque ao varejo: credenciais de contas de administradores de plataformas de e-commerce e sistemas de ERP são amplamente vendidas por IABs, que as usam como ponto de entrada para ransomware. ## Visão Geral > [!info] Em revisão > Esta seção está sendo elaborada com contexto histórico, relevância para o Brasil e LATAM. ## Mapa de Ameaças ```mermaid graph TB VAR["Setor de Varejo / E-commerce"] --> CLOP["Cl0p / RansomHub<br/>Cleo File Transfer"] VAR --> MAGE["Grupos Magecart<br/>Web Skimming"] VAR --> GRAND["Grandoreiro<br/>Trojan Bancario"] CLOP -->|"MFT vulnerável<br/>CVE-2024-55956"| T1190["T1190: Exploit App"] MAGE -->|"JavaScript injetado<br/>em checkout"| T1059["T1059: Scripting"] GRAND -->|"Interceptação de<br/>sessao bancaria"| T1185["T1185: Browser Session"] T1190 --> EXF["Exfiltração de Dados<br/>B2B e Clientes"] T1059 --> CARD["Roubo de Dados<br/>de Cartao em Tempo Real"] T1185 --> FRAUD["Fraude PIX /<br/>Redirecionamento"] EXF --> EXT["Extorsao /<br/>Ransomware"] ``` ## Ameaças Primarias | Tipo de Ameaça | Risco | Grupos Ativos | |---------------|-------|--------------| | Ransomware via MFT/EDI vulnerável | 🟥 Crítico | [[cl0p\|Cl0p]], RansomHub, [[qilin\|Qilin]] | | Web skimming (Magecart) em checkout | 🟧 Alto | Grupos Magecart, Silence Group | | Trojan bancário interceptando e-commerce | 🟧 Alto | [[s0531-grandoreiro\|Grandoreiro]], [[mekotio\|Mekotio]] | | Ransomware via credenciais de ERP/PDV | 🟧 Alto | RansomHub, Akira, grupos criminosos | | DDoS em época de alto volume (Black Friday) | 🟨 Médio | NoName057(16), grupos hacktivistas | | Fraude em programas de fidelidade | 🟨 Médio | Grupos de credential stuffing | ## TTPs Frequentes - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração de plataformas MFT (Cleo File Transfer CVE-2024-55956, MOVEit) usadas para troca B2B de dados de pedidos e faturamento; comprometeu dezenas de varejistas em dez/2024 - [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - injeção de JavaScript malicioso em páginas de checkout (Magecart); captura dados de cartão antes da transmissão ao processador de pagamentos - [[t1185-browser-session-hijacking|T1185 - Browser Session Hijacking]] - trojans bancários interceptam sessões de pagamento e redirecionam transações PIX; técnica amplamente usada pelo Grandoreiro - [[t1078-valid-accounts|T1078 - Valid Accounts]] - credenciais de administradores de plataformas Shopify, VTEX, ERP compradas de IABs para acesso inicial antes de ransomware - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - criptografia de sistemas de gestão de estoque, PDV e ERP em período estratégico (véspera de datas comemorativas) para maximizar pressão de pagamento ## Incidentes Recentes (2024-2025) - **Cleo File Transfer - exploração global (dez/2024)** - Cl0p explorou zero-day (CVE-2024-55956) nas plataformas Harmony, VLTrader e LexiCom; dezenas de varejistas e empresas de logística comprometidos com exfiltração de dados de clientes e pedidos (Huntress Research) - **Varejo LATAM - Intel 471 (2025)** - setor registrou maior número de vítimas de ransomware na região; grupos Qilin, The Gentlemen e SafePay mais ativos; Brasil como principal país afetado - **DDoS a varejistas de eletrônicos - Brasil H1/2025** - redes varejistas de eletrônicos de consumo entre alvos de maior volume DDoS no Brasil, com picos de 429 Gbps (Netscout TIR 2025) - **Grandoreiro v.3.0 - Brasil/LATAM (2025)** - nova versão do trojan ressurgiu após operação policial de 2024; infraestrutura distribuída entre múltiplos afiliados; foco em e-commerce e internet banking durante compras - **Américanas S.A. - impacto de credenciais (2024-2025)** - credenciais de funcionários comercializadas em darkweb; incidentes de acesso não autorizado documentados em plataformas de gestão interna ## Estatisticas (2025) | Métrica | Valor | Fonte | |---------|-------|-------| | Varejo como setor mais afetado por ransomware LATAM | 1o lugar | Intel 471 2026 | | DDoS a varejistas de eletrônicos - Brasil H1/2025 | entre setores mais atacados | Netscout TIR 2025 | | Crescimento de infostealers (credenciais varejo) | +58% LATAM | Check Point H1/2025 | | Credenciais de usuários LATAM em stealer logs | >1 bilhão | CrowdStrike 2025 | | E-commerce como % de varejo total Brasil (2025) | 12,5% | Abracomm 2025 | | Ataques de web skimming detectados (global) | +35% YoY | Recorded Future 2025 | ## Contexto Brasil/LATAM O Brasil possui o maior mercado de e-commerce da América Latina, com plataformas como Mercado Livre, Américanas, Magazine Luiza e Shopee processando bilhões em transações anuais. O alto volume de transações via PIX - sistema de pagamento instantâneo com 180 milhões de usuários - criou novos vetores de fraude que trojans bancários regionais como o Grandoreiro e o [[mekotio|Mekotio]] exploram ativamente. Varejistas de médio porte são especialmente vulneráveis: possuem dados valiosos de clientes (CPF, endereço, dados de cartão tokenizados), mas investimento em segurança desproporcional ao risco. Fornecedores de PDV (ponto de venda) com atualizações atrasadas e plataformas de e-commerce desatualizadas representam vetores críticos. A **cadeia de supply chain de pagamentos** - conectando varejistas a processadoras, bancos adquirentes e bandeiras - cria múltiplos pontos de entrada para comprometimento. ## Regulação Aplicavel - [[lgpd|LGPD]] - dados de clientes (CPF, endereço, histórico de compras); notificação à ANPD obrigatória em caso de incidente - **PCI DSS** - padrão de segurança para processamento de dados de cartão de pagamento; obrigatório para varejistas que processam cartões - **Resolução Bacen 4.658/2018** - política de segurança cibernética para instituições financeiras vinculadas ao setor (adquirentes, gateways de pagamento) - **Marco Civil da Internet** - responsabilidade de plataformas de e-commerce na proteção de dados de usuários ## Referências - Intel 471: Latin América Cyber Threat Landscape 2025 (fev/2026) - Huntress Research: Cleo File Transfer Zero-Day Exploitation (dez/2024) - Netscout: Threat Intelligence Report DDoS TIR 2025.1 (set/2025) - Check Point Research: H1 2025 Cyber Attack Statistics - CrowdStrike: 2025 LATAM Threat Landscape Report (mar/2026) - Recorded Future: Magecart and E-Commerce Skimming 2025