Brasil lidera a lista de credenciais roubadas; especialista alerta para a convergência entre crime organizado digital e interesses estatais
A América Latina se tornou um alvo prioritário para operações cibernéticas sofisticadas, tanto de grupos criminosos quanto de atores estatais com interesses estratégicos na região. É o que revela o novo relatório da CrowdStrike, divulgado nesta quarta-feira (7), que identificou um aumento de 15% nos ataques de ransomware em relação ao ano anterior e um crescimento consistente em atividades de espionagem digital.
“Vemos uma elevação constante na atividade de adversários que operam com objetivos geopolíticos, mirando governos, telecomunicações, setor militar e infraestrutura crítica”, disse Adam Meyers, vice-presidente sênior de inteligência de ameaças da CrowdStrike. “Ao mesmo tempo, o crime cibernético na região tem se tornado mais profissional, explorando falhas de identidade para invadir organizações inteiras.”
O estudo destaca a atuação de múltiplos grupos de ameaça com diferentes perfis: desde coletivos com motivação financeira até atores com características associadas a campanhas de espionagem e coleta de dados sensíveis. Essas ações não se limitam mais a grandes potências. Segundo Meyers, há uma “convergência inédita entre redes criminosas digitais e estruturas com alinhamento estratégico”.
Um dos sinais mais visíveis dessa nova configuração é o roubo de credenciais em larga escala. A CrowdStrike afirma ter recuperado mais de 1 bilhão de credenciais associadas a indivíduos e organizações da América Latina, o maior volume já observado pela empresa na região. O Brasil lidera esse ranking, seguido por México, Argentina, Colômbia e Peru. “Esses dados são o ponto de partida para campanhas de intrusão baseadas em identidade, que hoje representam 75% dos acessos iniciais a ambientes corporativos comprometidos”, detalhou Meyers.
Leia também: Antes da IA, dados e propósito
As credenciais, muitas vezes obtidas por meio de malwares simples e campanhas de phishing, abastecem mercados subterrâneos de acesso. A CrowdStrike identificou 107 corretores ativos na América Latina vendendo credenciais de 428 organizações. Em paralelo, canais no Telegram e fóruns clandestinos em espanhol atuam como centros de distribuição de malware, tutoriais de ataque e dados vazados.
Grupos de ransomware também seguem atuando na região com métodos cada vez mais sofisticados. LockBit, que recentemente sofreu um vazamento de suas próprias ferramentas, e RansomHub estão entre os coletivos mais ativos. “O ecossistema de extorsão digital está amadurecendo. Hoje, uma única credencial privilegiada pode ser vendida por milhares de dólares e permitir acesso a ambientes inteiros de empresas ou órgãos públicos”, disse Meyers.
A operação desses grupos é sustentada por um modelo industrializado, com divisão clara entre quem desenvolve o malware, quem realiza o ataque e quem comercializa os acessos. Na América Latina, a CrowdStrike monitora ao menos seis grupos com base ou operação ativa na região, identificados com codinomes como OCULAR SPIDER, BLIND SPIDER e SAMBA SPIDER.
O relatório destaca ainda o aumento da atividade de adversários que visam coleta de dados estratégicos, sem fins financeiros imediatos. Segundo a empresa, “a região tem sido alvo de campanhas silenciosas, que visam infiltração prolongada em redes de interesse geopolítico, especialmente em setores ligados à defesa, infraestrutura crítica e negociações multilaterais”.
Para enfrentar esse cenário, a CrowdStrike recomenda uma abordagem baseada em três pilares: inteligência contra ameaças em tempo real, caça proativa a adversários e consolidação das ferramentas de proteção em uma plataforma integrada.
“O adversário não está esperando sua equipe de TI aplicar um patch ou configurar um firewall. Ele já está dentro, explorando acessos esquecidos e identidades negligenciadas”, alertou Meyers. “A defesa precisa sair da postura reativa e se tornar preditiva, baseada em inteligência acionável e resposta coordenada.”
Apesar da complexidade do cenário, o executivo vê espaço para progresso na região: “A conscientização está aumentando, e vemos setores inteiros evoluindo em maturidade cibernética. Mas é urgente levar esse padrão para o restante da economia, especialmente em governos locais e pequenas e médias empresas.”
O relatório da CrowdStrike consolida dados coletados ao longo de 2024 por suas operações globais de inteligência, com foco especial nos vetores de acesso mais comuns, adversários emergentes e padrões de comportamento em ataques reais.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
