# Totvs > Software vendor · Sede: São Paulo, Brasil · Presença LATAM: Sim ## Ecossistema de Produtos e Risco ```mermaid graph TB TOTVS["TOTVS S.A.<br/>Maior ERP do Brasil"] --> ERP["Suite ERP"] TOTVS --> PLAT["Plataformas"] TOTVS --> FIN["Financeiro"] ERP --> PROT["Protheus<br/>Segmento medio-grande"] ERP --> RM["RM<br/>Segmento educação"] ERP --> DATA["Datasul<br/>Industria e agroindustria"] ERP --> LOGIX["Logix<br/>Industria e logistica"] PLAT --> FLUIG["Fluig<br/>BPM e portal corporativo"] PLAT --> CAROL["Carol<br/>Plataforma de dados IA"] FIN --> TOTVS_FIN["TOTVS Financeiro<br/>Credito e pagamentos"] PROT --> INC1["Incidente BlackByte<br/>Set 2024"] INC1 --> IMPACT["Dados clientes<br/>possívelmente expostos"] classDef vendor fill:#1a3a1a,color:#fff,stroke:#27ae60 classDef product fill:#2c3e50,color:#fff,stroke:#34495e classDef incident fill:#5a1a1a,color:#fff,stroke:#e74c3c classDef impact fill:#4a2a00,color:#fff,stroke:#e67e22 class TOTVS vendor class PROT,RM,DATA,LOGIX,FLUIG,CAROL,TOTVS_FIN product class ERP,PLAT,FIN product class INC1 incident class IMPACT impact ``` ## Visão Geral A **Totvs** (TOTS3 na B3) é a maior empresa de tecnologia do Brasil e líder absoluta no mercado de ERP nacional, com mais de 55% de market share no país e aproximadamente 30% em toda a América Latina, segundo dados da Gartner. Fundada em 1983 em São Paulo, a empresa atende mais de 70.000 clientes em 12 setores econômicos - de microempresas a grandes corporações - é considerada infraestrutura crítica para a economia brasileira, dado que seus clientes agregados representam cerca de R$ 1,6 trilhão em receita anual. O portfólio Totvs vai além do ERP tradicional: inclui plataformas de BPM ([[fluig|Fluig]]), dados e IA ([[carol|CAROL]]), e serviços financeiros próprios. A empresa emprega aproximadamente 11.000 pessoas e possui mais de 11 centros de P&D no Brasil, EUA e México. **Dados do vendor:** - Tipo: Software vendor (ERP, plataformas, fintech) - Sede: São Paulo, Brasil - Website: https://www.totvs.com - Bolsa: B3 (TOTS3) - Presença no Brasil/LATAM: Dominante - escritórios em todo o território nacional e em 40+ países - Principais setores atendidos: [[financial|financeiro]], [[government|governo]], [[healthcare|saúde]], [[retail|varejo]], [[manufacturing|indústria]] ## Produtos | Produto | Categoria | Segmento | Relevância CTI | |---------|-----------|----------|----------------| | [[totvs/protheus\|Protheus]] | ERP | Médio e grande porte | Alta - alvo confirmado no incidente BlackByte 2024 | | [[totvs/rm\|RM]] | ERP | Educação e saúde | Alta - presente em universidades federais e hospitais públicos | | [[totvs/datasul\|Datasul]] | ERP | Indústria e agroindustria | Média | | [[totvs/fluig\|Fluig]] | BPM / Portal | Todos os segmentos | Média - gestão de processos, SSO corporativo | | [[totvs/carol\|CAROL]] | Dados / IA | Enterprise | Baixa - recente, superfície em crescimento | > [!abstract]- Dataview - Produtos Totvs (local only) > ```dataview > TABLE title AS "Produto", product-category AS "Categoria", length(cves-affecting) AS "CVEs" > FROM "market/vendors/totvs" > WHERE type = "product" > SORT length(cves-affecting) DESC > ``` ## Superfície de Ataque O portfólio Totvs apresenta uma superfície de ataque excepcional no contexto brasileiro: ### ERP como vetor primário O [[totvs/protheus|Protheus]] é implantado em ambientes on-premise ou híbridos na vasta maioria das instalações de porte médio, com conectividade direta a sistemas bancários (CNAB, boletos), [[lgpd|LGPD]] e eSocial. Configurações legadas, versões desatualizadas e integradores com acesso privilegiado ampliam o risco. - **Integradores de canal**: Mais de 3.000 parceiros comerciais com acesso técnico aos ambientes de clientes - **Exposição via VPN**: Acesso remoto habitual para suporte - vetor explorado pelo [[s1180-blackbyte-ransomware|BlackByte]] no incidente de 2024 - **APIs abertas**: REST APIs do Protheus para integração com portais e sistemas de e-commerce expõe endpoints críticos - **Fluig como SSO**: Plataforma Fluig centraliza autenticação de usuários; comprometimento equivale a acesso a múltiplos sistemas internos ### TTPs relevantes para infraestrutura Totvs - [[t1078-valid-accounts|T1078]] - Credenciais válidas via brute-force ou stealer para acesso VPN - [[t1190-exploit-public-facing-application|T1190]] - Exploração de APIs REST do Protheus expostas - [[t1021-remote-services|T1021]] - Movimento lateral via RDP em ambientes Windows Server legados - [[t1486-data-encrypted-for-impact|T1486]] - Criptografia de dados (ransomware) - [[t1567-exfiltration-over-web-service|T1567]] - Exfiltração de dados antes da criptografia (dupla extorsão) ## Incidentes Conhecidos ### BlackByte Ransomware - Setembro 2024 > [!danger] Incidente Confirmado - Setembro 2024 > A Totvs confirmou públicamente em 30 de setembro de 2024 ter sido vítima de um ataque cibernético reivindicado pelo grupo [[s1180-blackbyte-ransomware|BlackByte Ransomware]]. **O que ocorreu:** Em 30 de setembro de 2024, o grupo [[s1180-blackbyte-ransomware|BlackByte]] públicou o nome da Totvs em seu site de vazamentos na dark web, exibindo oito capturas de tela de diretórios contendo contratos, documentos financeiros e, principalmente, nomes de clientes corporativos - incluindo entidades do **Sistema S** (Senac, Sebrae, Sesc) e empresas estatais. **Vetor de acesso inicial (provavel):** A investigação da [[talos-intelligence|Cisco Talos]] sobre campanhas BlackByte indica que o grupo tipicamente obtém acesso via **credenciais VPN válidas**, seja por força bruta ou credentials previamente comprometidas. O mesmo modus operandi foi observado em ataques anteriores do grupo contra a VMware ESXi ([[cve-2024-37085|CVE-2024-37085]], CVSS 6.8). **Resposta da Totvs:** A empresa comúnicou que seus protocolos de segurança pré-estabelecidos garantiram a continuidade das operações. O nome da empresa foi removido do site de vazamentos do BlackByte horas após a públicação. A remoção é tipicamente associada ao pagamento de resgate, embora a Totvs não tenha confirmado nem negado pagamento. **Impacto potencial:** - Dados de clientes corporativos possívelmente expostos - Contratos e documentos financeiros comprometidos - Risco de ataques secundarios a clientes da Totvs cujos dados foram vazados **Fontes:** [CISO Advisor](https://www.cisoadvisor.com.br/ransomware-blackbyte-tira-totvs-da-lista-de-vitimas/) · [TI Inside](https://tiinside.com.br/30/09/2024/totvs-confirma-ter-sofrido-ataque/) · [CyberMaterial](https://cybermaterial.com/totvs-responds-to-cyberattack-and-data-leak/) ## CVEs Relacionados Não há CVEs públicos catalogados diretamente nos produtos Totvs até a data desta nota. O incidente de 2024 explorou credenciais válidas (sem CVE específico nos sistemas Totvs), combinado com: | CVE | CVSS | Produto (Infraestrutura) | Uso no Incidente | |-----|------|--------------------------|-----------------| | [[cve-2024-37085\|CVE-2024-37085]] | 6.8 | VMware ESXi | Bypass de autenticação - usado pelo BlackByte em ataques do período | ## Relevância para Cibersegurança > [!warning] Por que Totvs importa para defensores brasileiros? A Totvs representa um **multiplicador de risco sistêmico** no contexto brasileiro: 1. **Efeito cascata**: Um comprometimento da infraestrutura central da Totvs ou de seus canais de distribuição pode afetar dezenas de milhares de empresas simultaneamente - incluindo fornecedores do governo, hospitais e utilities. 2. **Dados fiscais sensíveis**: O ERP Protheus processa documentos fiscais (NF-e, SPED), folha de pagamento e dados bancários de centenas de milhares de funcionários de empresas brasileiras. Vazamentos têm implicações diretas sob a [[lgpd|LGPD]]. 3. **Acesso privilegiado de integradores**: O modelo de franquia da Totvs com mais de 3.000 parceiros cria uma superfície de cadeia de fornecimento extremamente ampla. Qualquer parceiro comprometido pode ser usado como pivô para ataque a clientes finais. 4. **Legado e atualizações lentas**: Ambientes Protheus frequentemente operam versões com 3-5 anos de defasagem em grandes empresas, por conta de customizações extensas que tornam upgrades caros e complexos. ## Uso por Atores de Ameaça - [[s1180-blackbyte-ransomware|BlackByte Ransomware]] - Ataque confirmado em setembro de 2024; acesso via VPN com credenciais válidas; dupla extorsão com exfiltração de dados de clientes ## Regulações Aplicáveis | Regulação | Relevância | |-----------|-----------| | [[lgpd\|LGPD]] | Processamento de dados pessoais de empregados e clientes via ERP | | [[esocial\|eSocial]] | Totvs é homologada para transmissão de obrigações trabalhistas | | [[sped\|SPED / NF-e]] | Emissão de documentos fiscais eletrônicos - obrigação legal | | [[bacen-res4893\|BACEN Res. 4.893]] | Clientes do setor financeiro sob regulação do BACEN | ## Advisories e Recursos - [TOTVS Security](https://www.totvs.com/segurança/) - [TOTVS Central de Atendimento](https://centraldeatendimento.totvs.com/) - [TOTVS Investor Relations](https://ri.totvs.com) ## Notas Relacionadas **Incidentes:** [[s1180-blackbyte-ransomware|BlackByte Ransomware]] **CVEs de infraestrutura:** [[cve-2024-37085|CVE-2024-37085 (VMware ESXi)]] **TTPs:** [[t1078-valid-accounts|T1078]] · [[t1190-exploit-public-facing-application|T1190]] · [[t1486-data-encrypted-for-impact|T1486]] **Setores:** [[financial|financeiro]] · [[government|governo]] · [[healthcare|saúde]] · [[retail|varejo]] **Regulações:** [[lgpd|LGPD]] · [[bacen-res4893|BACEN]] **Produto destaque:** [[totvs/protheus|Protheus]]