# Setor de Tecnologia O setor de TI representa um vetor de ataque estratégico: comprometer um único fornecedor de software ou serviços pode dar acesso a centenas de organizações downstream. Essa multiplicidade de impacto torna empresas de TI, provedores de cloud e desenvolvedores de software alvos prioritários de grupos APT e operadores de ransomware. Em 2025, o setor de **tecnologia, mídia e telecomúnicações** foi o segundo mais visado por initial access brokers (IABs) na LATAM (Intel 471, 2026). ## Panorama de Ameaças A ameaça de supply chain de software intensificou-se em 2025. O [[g0125-silk-typhoon|Silk Typhoon]] (APT chinês, MSS) pivotou para comprometimento de provedores de serviços de TI - ferramentas de gerenciamento remoto, aplicações cloud e plataformas PAM - para acessar vítimas downstream. O [[cl0p|Cl0p]] explorou ativamente vulnerabilidades no Oracle E-Business Suite (CVE-2025-61882) e continuou a campanha de exploração de plataformas MFT. Infostealers tiveram crescimento de **58% na LATAM em 2025** (Check Point H1/2025), com credenciais de desenvolvedores roubadas alimentando tanto ataques de supply chain quanto ransomware. Mais de **1 bilhão de credenciais** de organizações e indivíduos latino-americanos foram recuperadas em stealer logs pelo CrowdStrike em 2025. ## Visão Geral > [!info] Em revisão > Esta seção está sendo elaborada com contexto histórico, relevância para o Brasil e LATAM. ## Mapa de Ameaças ```mermaid graph TB TECH["Setor de Tecnologia"] --> APT41["APT41<br/>Silk Typhoon"] TECH --> CLOP["Cl0p<br/>RansomHub"] TECH --> SALT["Salt Typhoon"] APT41 -->|"Supply chain - build<br/>pipelines / CI/CD"| T1195["T1195.002: Supply Chain"] APT41 -->|"Roubo de código-fonte<br/>e propriedade intelectual"| T1005["T1005: Data from Local"] CLOP -->|"Exploracão Oracle EBS<br/>CVE-2025-61882"| T1190["T1190: Exploit App"] SALT -->|"Espionagem via<br/>provedores de TI"| T1078["T1078: Valid Accounts"] T1195 --> IMP["Comprometimento de<br/>Clientes Downstream"] T1005 --> ESP["Roubo de<br/>Propriedade Intelectual"] T1190 --> EXT["Extorsao em Massa<br/>via MFT"] T1078 --> ESP ``` ## Ameaças Primarias | Tipo de Ameaça | Risco | Grupos Ativos | |---------------|-------|--------------| | Supply chain de software / CI/CD | 🟥 Crítico | [[g0096-apt41\|APT41]], [[g0125-silk-typhoon\|Silk Typhoon]], [[cl0p\|Cl0p]] | | Roubo de credenciais de devs / infostealers | 🟧 Alto | Grupos de infostealer (Lumma, Vidar, Redline) | | Ransomware via MSP / IT providers | 🟧 Alto | RansomHub, [[cl0p\|Cl0p]], [[g1024-akira\|Akira]] | | Espionagem industrial - IP e código-fonte | 🟧 Alto | [[g0096-apt41\|APT41]], [[g1045-salt-typhoon\|Salt Typhoon]] | | Vulnerabilidades em ferramentas de gerenciamento | 🟨 Médio | Exploração de Ivanti, Fortinet, Citrix | ## TTPs Frequentes - [[t1195-002-supply-chain-compromise|T1195.002 - Supply Chain Compromise]] - injeção em ambientes de build e CI/CD; Silk Typhoon visando provedores de serviços - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração de CVEs em plataformas MFT e ferramentas de gestão remota - [[t1005-data-from-local-system|T1005 - Data from Local System]] - roubo de código-fonte e dados proprietários - [[t1078-valid-accounts|T1078 - Valid Accounts]] - credenciais de desenvolvedores e administradores roubadas via infostealers - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - phishing direcionado a engenheiros de software e DevOps ## Incidentes Recentes (2024-2025) - **Oracle E-Business Suite - CVE-2025-61882 (2025)** - Cl0p explorou vulnerabilidade para comprometer dezenas de empresas de TI e universitárias globalmente - **Silk Typhoon - pivot para IT supply chain (H1/2025)** - shift estratégico para comprometimento de ferramentas de gerenciamento remoto e PAM - **Provedores de TI para saúde - Brasil (2025)** - ransomware contra IT providers do setor de saúde causou exfiltração de dados de pacientes - **IFX Networks - Colômbia/LATAM (2023)** - ataque a provedor de web hosting impactou 762 empresas em 17 países; referência histórica para risco de supply chain regional - **Acesso a fintechs via IT providers - Brasil (2025)** - Cipher x63 Unit confirmou exploração de APIs críticas em operadores financeiros via fornecedores de TI ## Estatisticas (2025) | Métrica | Valor | Fonte | |---------|-------|-------| | Crescimento de infostealers na LATAM | +58% | Check Point H1/2025 | | Credenciais LATAM em stealer logs | >1 bilhão | CrowdStrike 2025 | | TMT como setor mais visado por IABs (LATAM) | 2o lugar | Intel 471 2026 | | Cloud security breaches globalmente | 65% das orgs | Check Point Cloud Security Report 2025 | | Ataques de supply chain - H1/2025 | 60% dos grupos APT chineses com foco em IT providers | CyberProof 2025 | ## Contexto LATAM e Brasil O ecossistema de tecnologia brasileiro - com fintechs, startups SaaS e grandes integradores - enfrenta ameaças crescentes. O Brasil foi o país mais visado por IABs na LATAM em 2025, com mais de 70 vitimas identificadas; o setor de tecnologia, mídia e telecomúnicações ficou em segundo lugar nas indústrias mais afetadas por compromissos de acesso. A cadeia de fornecedores de TI para o setor público é especialmente visada: comprometer um integrador pode dar acesso indireto a redes governamentais sem necessitar atacar diretamente órgãos com maior postura de segurança. O [[g0099-blind-eagle-apt-c-36|Blind Eagle]] usa empresas de TI como ponto de entrada para alvos governamentais na LATAM. **Shadow AI** tornou-se risco emergente em 2025: empresas adotando modelos de IA internos sem governança adequada, com 20% das violações globais envolvendo Shadow AI e custo adicional médio de US$670.000 por incidente. ## Regulação Aplicavel - [[lgpd|LGPD]] - Lei Geral de Proteção de Dados - **Marco Civil da Internet** - responsabilidade de provedores de internet e aplicações - **ISO/IEC 27001** - padrão de gestão de segurança da informação - **SOC 2** - controles de segurança para provedores de serviços em nuvem ## Referências - Mandiant: APT41 Dual Espionage and Cyber Crime Operations - Intel 471: Latin América Cyber Threat Landscape 2025 (fev/2026) - CyberProof: 2025 Mid-Year Cyber Threat Landscape Report - CrowdStrike: 2025 LATAM Threat Landscape Report (mar/2026) - Cipher x63 Unit: Brazilian Critical Infrastructure (dez/2025)