Para quem me acompanha o que eu escrevo, deve ter percebido de que este assunto do risco cibernético é um dos que mais me tira o sono, a ponto de me fazer levantar no meio da noite para escrever este texto, que espero que ajude a mais pessoas a pensar no tema e se preparar para estas ameaças.
Para falar do tema queria pegar e usar como base alguns dos resultados que mais me chamaram atenção no recente relatório “Annual Cyberthreat Trends Report – 2024”, publicado pela Deloitte no seu centro de: "Cyber Threat Intelligence (CTI)", publicado agora em março de 2025, que traz uma das análises mais abrangentes e atualizadas que vi mais recentemente do cenário global de ameaças cibernéticas observadas no ano passado, mas que dão um bom alerta do que precisamos fazer este ano para nos proteger delas.
Este estudo reuniu dados provenientes de operações internas da Deloitte, observações de campo, inteligência de fontes abertas, análises comportamentais e colaborações com órgãos governamentais e empresas privadas para oferecer uma leitura estruturada e contextualizada dos principais riscos digitais enfrentados pelas empresas atualmente.
Aonde a mensagem central deste estudo é clara:
As empresas precisam abandonar posturas reativas e estáticas e migrar para abordagens adaptativas, integradas e baseadas em inteligência contínua, a fim de sobreviver e prosperar em um ambiente digital cada vez mais hostil, sofisticado e dinâmico.
O pano de fundo dessa transformação está ancorado em diversos fatores convergentes, como o avanço acelerado da inteligência artificial generativa (IA), a popularização do crime como serviço (Cybercrime-as-a-Service ou CaaS), o enfraquecimento das barreiras geográficas para ataques digitais, a sofisticação dos grupos estatais de espionagem, e a profissionalização das operações cibercriminosas no submundo digital, aonde este estudo aponta que as ameaças cibernéticas não são apenas uma preocupação da área de tecnologia da informação, mas são um risco estratégico corporativo, até mesmo devido os impactos operacionais, financeiros, reputacionais e regulatórios de altíssima magnitude.
Vou tentar falar abaixo um pouco mais dos pontos que mais me chamaram atenção deste estudo:
A evolução dos fatores de ameaça:
Queria começar falando das principais tendências de fatores de ameaça que impactaram diversas indústrias ao longo de 2024, com destaque para a evolução dos ataques de ransomware, o aumento no comprometimento de terceiros, a reconfiguração de operações maliciosas subterrâneas e a resiliência das atividades de malware, mostrando uma mudança estrutural no risco cibernético, que não pode mais ser abordado apenas como um desafio tecnológico, mas como um problema sistêmico que demanda vigilância contínua, inteligência integrada e resposta coordenada.
- Ransomware e a consolidação do modelo como serviço e o aumento da letalidade:
O ransomware manteve-se, pelo quarto ano consecutivo, como o vetor de ataque mais prevalente e destrutivo segundo o estudo, aonde a principal mudança observada foi a consolidação do modelo Ransomware-as-a-Service (RaaS), que permitiu a democratização do crime cibernético. Esse modelo opera de forma semelhante a um ecossistema corporativo, no qual desenvolvedores criam a infraestrutura e ferramentas, enquanto afiliados, muitas vezes com baixo conhecimento técnico, executam os ataques. Em 2024 surgiram mais de 30 novos grupos de ransomware, com destaque para o RansomHub, que sozinho alegou mais de 500 vítimas em múltiplos setores.
Esse modelo fragmenta o ciclo de ataque em etapas especializadas, com agentes diferentes responsáveis por: obter acesso inicial (via compra em fóruns ou ataques direcionados), explorar e movimentar-se lateralmente na rede, e roubar os dados sensíveis, e implantar o virus e fazer a criptografia para executar a extorsão.
Como resultado os ataques estão se tornando cada vez mais rápidos, direcionados e difíceis de rastrear, pois os "afiliados" mudam frequentemente de grupo, dificultando a atribuição confiável de autoria. A adoção de IA e técnicas de ofuscação avançadas aumentou a capacidade dos grupos de contornar defesas tradicionais, inclusive soluções de detecção baseadas em assinatura.
Além disso o ransomware evoluiu de uma ameaça baseada unicamente na criptografia de dados para ataques multifásicos, incluindo a chamada "extorsão tripla", que é a criptografia de dados, roubo de informações confidenciais e ataque de negação de serviço (DDoS) como tática adicional de pressão, assim como a publicação programada em sites de vazamento: com cronômetros que ameaçam a divulgação dos dados se o resgate não for pago, e a exploração de vulnerabilidades conhecidas e zero-day como vetor de entrada, muitas vezes via VPNs ou falhas não corrigidas.
E para combater isto, sua empresa vai precisar trabalhar com a segmentação da rede e controle de lateralidade, fazer backups isolados e testados regularmente, e ter simulações de ransomware nos testes de continuidade de negócios, assim como integrar os times de risco, jurídico, comunicação e segurança para resposta coordenada.
- Comprometimento de terceiros e o elo fraco como vetor de contaminação sistêmica:
O segundo fator relevante é o comprometimento de terceiros, que cresceu de forma acentuada em 2024, em que nesse modelo os atacantes buscam acessar o ambiente-alvo por meio de integrações legítimas com fornecedores, parceiros comerciais, APIs ou sistemas contratados, aproveitando-se da confiabilidade implícita entre as partes. Em muitos casos o ambiente da empresa atacada possui integrações com sistemas de terceiros que não seguem os mesmos níveis de segurança ou que possuem práticas mais vulneráveis, criando pontos de entrada indiretos para o invasor.
Entre os casos conhecido estão o uso do chamado zero-day exploits para comprometer softwares utilizados por múltiplas empresas simultaneamente, e os ataques a provedores de serviços gerenciados (MSPs) com acesso a diversas infraestruturas de clientes, com o vazamento de dados massivos com posterior venda ou leilão de informações em fóruns da dark web.
O impacto desses ataques é multiplicado, pois pode afetar simultaneamente cadeias inteiras de valor, criando um risco sistêmico horizontalizado. A resposta apassa por ter auditorias periódicas de segurança em terceiros críticos, e a adoção de frameworks de risco de terceiros (conhecidos como pela sigla "TPRM" ou Third Party Risk Management) com critérios de segurança cibernética, e cláusulas contratuais robustas de notificação, mitigação e contenção de incidentes.
- Tendências de malware com a persistência, adaptação e empacotamento:
Apesar das ações policiais em nível internacional que levaram à desarticulação de algumas operações de malware como o caso do RedLine Stealer, desmontado em outubro de 2024, em que o estudo mostra que a atividade maliciosa persistiu devido à disponibilidade de amostras anteriores, à rápida adaptação das variantes e ao uso de serviços de empacotamento (Packer-as-a-Service) como o HeartCrypt, que permite esconder código malicioso dentro de binários legítimos.
Destacam-se as famílias de infostealers, voltadas ao roubo de dados sensíveis como credenciais, tokens de sessão, informações bancárias e documentos corporativos. O malware LummaStealer por exemplo apresentou crescimento expressivo ao longo do ano, explorando técnicas evasivas e exfiltração em tempo real.
As recomendações aqui são a adoção de soluções de EDR com análise comportamental e heurística avançada e o monitoramento contínuo de anomalias em endpoints e servidores de arquivos, com a integração com bases de Threat Intelligence que detectam variantes em empo real.
- Reconfiguração do submundo digital e a descentralização e blindagem das operações:
Queria falar agora de algumas das tendências observadas no submundo cibernético, onde operações criminosas estão cada vez mais descentralizadas, profissionalizadas e resilientes. A pressão exercida por operações coordenadas como a “Operation Cronos”, que desarticulou parte da infraestrutura da LockBit, e forçou uma migração das atividades para fóruns privados com convite, canais cifrados e redes distribuídas.
A adoção de modelos corporativos por parte dos grupos (com divisão de funções, suporte técnico, parcerias e programas de afiliação) contribuiu para uma maior escalabilidade. Os pagamentos agora utilizam moedas digitais voltadas à privacidade, como Monero e stablecoins em mixers, dificultando a rastreabilidade.
As medidas recomendadas para as empresas neste casos são o monitoramento estruturado de fóruns da dark web, e parcerias com provedores de CTI (Cyber Threat Intelligence) especializados e a participação em iniciativas de compartilhamento de informação (ISACs e CERTs).
Técnicas de acesso inicial e os vetores táticos preferenciais dos agentes de ameaça:
No campo da segurança cibernética, o acesso inicial representa o momento crítico do comprometimento, no qual o invasor rompe a primeira barreira e obtém entrada em sistemas corporativos, redes internas ou ambientes em nuvem. Esse estágio é especialmente perigoso porque é a partir dele de que o atacante pode escalar privilégios, se mover lateralmente, exfiltrar dados ou preparar payloads de ataque como ransomware, espionagem ou sabotagem.
O estudo mostou de que em 2024 quatro técnicas de acesso inicial dominaram o cenário, sendo utilizadas em múltiplos setores e por diferentes perfis de agentes: criminosos, hacktivistas e grupos estatais, que vou tentar comentar.
- Engenharia social e o elo humano como porta de entrada:
A engenharia social segue como sempre um dos vetores mais perigosos e eficazes para obtenção de acesso inicial, sendo identificada como tendência dominante em diversos incidentes investigados pelas equipes de resposta a incidentes.
O destaque de 2024 foi a combinação do chamado: "vishing" (voice phishing) com ataques de Business Email Compromise, aonde nessa abordagem, o atacante registra previamente um domínio falso que simula o da empresa-alvo. Em seguida entra em contato com a central de suporte técnico do fornecedor ou parceiro da empresa, se passando por um funcionário autorizado. A ligação visa convencer o atendente a resetar a senha de um colaborador legítimo, usando e-mails falsos como prova de identidade.
Esse tipo de ataque apresenta alto índice de sucesso por três razões principais, como a pressão social e urgência, em que o invasor cria um senso de emergência para forçar o suporte a agir sem questionar, depois a confiança na veracidade do domínio, com os domínios falsificados são visualmente idênticos aos originais, confundindo mesmo analistas experientes, e por fim a falta de autenticação multifator no atendimento humano, que é a verificação da identidade em canais não automatizado, que é ainda algo comum de se ver.
As implicações são sérias, pois as credenciais obtidas dessa forma dão acesso legítimo e autorizado aos sistemas, dificultando a detecção precoce.
Aquio as medidas recomendadas são implantar protocolos de verificação dupla em atendimentos de suporte (ex.: ligação de retorno, tokens secundários), e o treinamento contínuo e simulações realistas de engenharia social com feedback e análise de erros, e o monitoramento de domínios falsos registrados (typosquatting e lookalike domains) com ferramentas de inteligência digital.
- Exploração de VPNs com credenciais vazadas e o colapso da confiança no perímetro virtual:
Um vetor amplamente observado em 2024 foi o uso de credenciais roubadas ou vazadas para autenticação em redes privadas virtuais (VPNs). Esse método substituiu, em muitos casos, os ataques por força bruta, sendo mais silencioso, rápido e difícil de detectar.
As credenciais utilizadas vêm normalmente de brechas de dados divulgadas em fóruns da dark web, e de venda por corretores de acesso, ou de phishing e campanhas de malware com keyloggers e de engenharia social direta com suporte técnico, como descrito acima.
Com essas informações o atacante se autentica na VPN da empresa como um usuário legítimo, em que se não houver MFA eficaz ou segmentação de rede, o criminoso pode obter acesso direto a sistemas críticos ou ativos sensíveis.
O estudo mostrou de que em alguns ataques, os agentes utilizaram serviços em nuvem por assinatura como proxy para evitar detecção em firewalls, substituindo ferramentas open-source conhecidas (como Cobalt Strike) por serviços legítimos que geram menos alertas.
Aqui as medidas recomendadas são monitorar logins em VPN por geolocalização, horários e dispositivos não autorizados, depois sempre exigir MFA baseado em risco adaptativo, que bloqueia acesso mesmo com credenciais válidas se o padrão comportamental for anômalo, e limitar acesso via VPN por função, tempo e dispositivo, com políticas de confiança zero (Zero Trust), e integrar a VPN com Sistemas de Detecção e Resposta Estendidos (XDR) para visibilidade e correlação com outros indicadores de comprometimento.
- Phishing com IA generativa e o volume, precisão e velocidade como diferencial de ataque:
Um fenômeno preocupante surgiu com força em 2024 que fou a utilização de modelos de linguagem (LLMs) para geração automatizada de campanhas de phishing em larga escala. Hoje se sabe de que os atacantes conseguem criar 1.000 e-mails de phishing em menos de duas horas por apenas US$ 6, utilizando serviços de IA disponíveis em ambientes pouco regulados ou plataformas maliciosas.
Esses e-mails não apenas evitam erros gramaticais ou traduções mal feitas, comuns nos ataque do passado, mas também são agora altamente personalizados com nomes, cargos e contextos reais da vítima (obtidos por engenharia de OSINT), e cronologicamente coerentes, com linguagem específica para o setor ou área do destinatário, e criados com anexos ou links dinâmicos, mascarados e direcionados a páginas de captura de credenciais com visual idêntico ao sistema legítimo.
O impacto foi severo, pois houve um aumento de 1.265% nos ataques de phishing observados pelo estudo em 2024.
As medidas recomendadas aqui são adotar soluções de segurança de e-mail com análise semântica por IA, e utilizar autenticação de e-mails (SPF, DKIM, DMARC) com quarentena rigorosa de mensagens suspeitas, assim como promover campanhas internas de simulação de phishing com mensuração de resiliência por área, função e tempo de resposta, e criar indicadores de risco dinâmicos com base no nível de exposição pública de cada colaborador (funções de liderança, por exemplo).
- Exploração de vulnerabilidades conhecidas e zero-day e as falhas ignoradas como porta de entrada:
O último vetor de acesso inicial identificado no estudo foi a exploração direta de vulnerabilidades técnicas em sistemas, aplicações web e dispositivos conectados. Apesar do conhecimento disseminado sobre a importância da gestão de patches, os atacantes continuam explorando falhas com mais de cinco anos, além de vulnerabilidades zero-day ainda não corrigidas.
Em dezembro de 2024 o grupo Clop foi observado explorando duas falhas zero-day simultaneamente, afetando dezenas de empresas globalmente. Muitos dos alvos, segundo o relatório, não haviam aplicado atualizações críticas em softwares ERP, servidores web ou soluções de backup.
O risco é ainda maior quando os sistemas legados ou customizados não recebem patches automaticamente, e também em ambientes de produção não são testados após atualizações críticas, e aonde as falhas são ignoradas com base em julgamentos subjetivos de baixo risco, sem análise formal de impacto.
Aqui as medidas recomendadas são implantar programas de gestão de vulnerabilidades baseados em risco, com priorização por CVSS, criticidade de ativos e exposição externa, e monitorar continuamente a exposição digital (attack surface management) com scanners internos e externos, assim como automatizar o ciclo de detecção, avaliação e correção de vulnerabilidades, com revisão semanal por um comitê técnico de risco.
O domínio do acesso inicial é um dos mais críticos na cadeia de ataque. O estudo mostra que os atacantes estão cada vez mais orientados por eficiência operacional, automação, evasão de controles tradicionais e uso da engenharia humana e comportamental como arma principal.
Por isto que a prevenção exige uma arquitetura de defesa por camadas, que combinem tecnologias, processos e comportamento humano, assim como principalmente uma cultura corporativa que valorize a segurança como responsabilidade compartilhada, e sempre a capacidade de detectar sinais fracos antes que o ataque se consolide.
A nova era do ransomware com a fragmentação, profissionalização e escalada do impacto:
O estudo também resaltou de que o ransomware permanece como o vetor de ataque mais dominante e destrutivo no cenário global de ciberameaças. Contudo diferentemente de anos anteriores, a dinâmica operacional dos grupos de ransomware passou por uma profunda reconfiguração em 2024, marcada por três eixos fundamentais, que são a profissionalização das operações criminosas por meio do modelo Ransomware-as-a-Service (RaaS) com cadeia logística própria, e a fragmentação dos grandes grupos em coletivos menores, ágeis e resilientes, que escapam mais facilmente da repressão policial internacional, con a escalada do impacto financeiro, reputacional e sistêmico dos ataques, com o crescimento de técnicas como extorsão múltipla, publicações programadas e ataques coordenados a cadeias de fornecimento.
Essa nova configuração posiciona o ransomware não mais como um ataque episódico, mas como um modelo de negócios criminoso consolidado, sofisticado e altamente lucrativo, com riscos que extrapolam a tecnologia e tocam diretamente a governança, o compliance, o jurídico, o seguro e a alta administração das empresas. Vou tentar detalhar mais abaixo.
- O crescimento e sofisticação do modelo Ransomware-as-a-Service (RaaS):
O RaaS se consolidou em 2024 como o principal motor de expansão do ransomware. Nesse modelo os desenvolvedores, aqui como os comandantes, oferecem kits de ransomware prontos para uso (até com suporte técnico, atualizações, painéis de gestão de vítimas e negociação automatizada), enquanto afiliados, diria que os soldados, muitas vezes sem conhecimento técnico profundo, executam os ataques e dividem os lucros com os operadores da infraestrutura.
O grupo RansomHub, citado noestudo como o mais ativo do ano, mostra bem essa lógica, ao conseguir mais de 500 vítimas confirmadas e atuação em mais de 40 países, sua estrutura permite que afiliados retenham 90% do valor do resgate, o que aumenta o incentivo para recrutamento massivo de agentes ao redor do mundo.
As características típicas do novo RaaS são basicamente os sistemas de reputação e performance para afiliados, com rankings de sucesso e programas de fidelidade, e o uso de infraestrutura legítima (ex.: serviços cloud comerciais) para evitar detecção, com a automação completa das fases do ataque, incluindo entrega de payloads, exfiltração de dados, publicação em sites de vazamento e geração de mensagens de resgate personalizadas, e também modelos modulares com integração a painéis de negociação, criptografia por chave única, detecção de honeypots e antiforenses.
A implicação para as empresas é clara, pois já não basta monitorar grupos tradicionais, aonde o ciclo de vida do ransomware agora permite constante entrada de novos atores oportunistas, exigindo inteligência tática e capacidade de resposta em tempo real.
- A fragmentação pós-desmantelamento e o efeito “hidra” da repressão estatal:
Ações internacionais de repressão a grandes grupos, como a Operation Cronos, que visou a LockBit, desestabilizaram temporariamente os ecossistemas de ransomware, mas geraram um efeito colateral preocupante que é esta fragmentação desses coletivos em pequenos subgrupos, muitas vezes ainda mais ágeis, invisíveis e agressivos.
O estudo mostrou de que a desmobilização de um grupo como o ALPHV/BlackCat resultou no surgimento de pelo menos cinco novos grupos operando com base no mesmo código-fonte, com pequenas adaptações, nova identidade visual e atuação em fóruns fechados. Entre os emergentes citados estão o El Dorado / BlackLock, Fog / Project Mist, Lynx, APT73/BASHE, com atuação híbrida (financeira e política).
Esses grupos adotam uma abordagem de operar em células independentes, similar ao que vemos com o terrorismo descentralizado, na qual os núcleos são autônomos, compartilham apenas ferramentas e inteligência, mas operam sem hierarquia rígida. Isso dificulta significativamente os esforços de interrupção, pois as operações são reconstruídas rapidamente, com baixa dependência de lideranças centrais.
- Técnicas modernas de extorsão e a escalada da letalidade operacional:
O ransomware contemporâneo não se baseia mais apenas na criptografia de dados. Em 2024 a Deloitte observou um crescimento substancial em táticas de extorsão múltipla e ataques coordenados, com o objetivo de maximizar a pressão psicológica e financeira sobre as vítimas.
Entre as principais táticas estão as chamadas Double e triple extortion, que além da criptografia dos dados e da exfiltração para vazamento, os atacantes realizam, e a publicação programada, aonde sites de vazamento controlados pelos grupos passam a divulgar partes dos dados comprometidos com contadores regressivos, aumentando a pressão para o pagamento rápido, e os desdobramentos legais e regulatórios em que as empresas vítimas de ransomware são frequentemente acionadas por reguladores, acionistas e parceiros comerciais, especialmente se houver:
Para ter uma idéia do impacto financeiro direto o valor médio de incidentes de ransomware alcançou US$ 4,91 milhões em 2024, segundo a Deloitte, e as empresas de médio porte (receita entre US$ 100 mi e US$ 1 bi) foram as mais visadas, representando 48% das vítimas, e mais de 62% dos ataques identificados não envolveram malware com comportamento detectável por antivírus tradicionais.
- Alvos prioritários e os critérios de seleção e setorialização dos ataques:
Os grupos de ransomware passaram a utilizar critérios objetivos para priorizar vítimas, com base na capacidade de pagamento (análise contábil e reputacional), no baixo índice de maturidade em segurança (identificado por scanners automatizados), e na exposição pública de e-mails, domínios e integrações vulneráveis.
Os setores mais visados em 2024 foram os de nanufatura e cadeia de suprimentos global com alta dependência de sistemas, os de saúde e hospitais que tem baixa tolerância a interrupções e dados sensíveis, e os de serviços financeiros de médio porte que tem margens operacionais altas e dependência digital, além do de educação e ensino superior, que tem normalmente baixa maturidade em TI, alta exposição de dados acadêmicos e de pesquisa.
- Recomendação estratégica e a abordagem integrada para mitigar riscos de ransomware:
O estudo propõe uma abordagem de defesa contra ransomware baseada em cinco pilares interdependentes:
Inteligência de ameaças (Threat Intelligence): monitoramento ativo das TTPs (Técnicas, Táticas e Procedimentos) dos grupos, bem como dos domínios usados para vazamento e canais de comunicação clandestinos.
Segmentação da rede e controle de lateralidade: dividir a infraestrutura digital em zonas estanques com controle granular de acesso, limitando movimentos após a entrada inicial.
Backups resilientes e testados: soluções de backup isoladas da rede principal (air-gapped), com testes periódicos de restauração sob condições realistas.
Plano de resposta multidisciplinar: envolver jurídico, comunicação, compliance, segurança e governança na elaboração e simulação de um playbook de resposta a ransomware.
Simulações regulares e testes de crise: conduzir exercícios técnicos e estratégicos que simulem ataques reais, inclusive com participação da alta liderança e conselhos.
O ransomware evoluiu para se tornar um modelo de negócio digital hostil, automatizado, resiliente e globalizado, que opera como uma indústria do crime estruturada e lucrativa. Em 2024 sua capacidade de adaptação superou significativamente a evolução das defesas tradicionais, exigindo das empresas novos modelos mentais e operacionais para resposta e resiliência.
O desafio não é apenas tecnológico, mas organizacional, jurídico, reputacional e estratégico. Conselhos de administração e alta liderança executiva devem reconhecer que o risco de ransomware é hoje um risco de continuidade do negócio, e tratá-lo com a prioridade e os investimentos compatíveis à sua natureza disruptiva.
Panorama do submundo digital e a descentralização, evasão e reconfiguração constante:
Uma das mais relevantes conclusões doestudo que eu achei foi esta de que o submundo cibernético se tornou mais resiliente, descentralizado e sofisticado em sua estrutura operacional. A repressão estatal e a cooperação internacional entre agências de segurança pública e empresas privadas têm, sem dúvida causado disrupções importantes em fóruns e plataformas ilícitas. Contudo como revela o estudo, essas ações não eliminaram o risco cibernético, mas o transformaram, dispersando atores, técnicas e infraestruturas, dificultando a rastreabilidade e reforçando a capacidade de evasão dos grupos maliciosos.
Esse movimento é descrito como uma "reconfiguração sistêmica" do cibercrime aonde os grandes fóruns e marketplaces fechados deram lugar a estruturas distribuídas, baseadas em redes privadas, plataformas cifradas e operações transitórias, dificultando a infiltração por parte de autoridades e analistas de threat intelligence. O modelo atual de crime digital se sustenta em quatro pilares principais que vou tentar detalhar abaixo.
- Fragmentação dos fóruns e migração para redes privadas cifradas:
Até meados da década de 2010, a maior parte das atividades cibercriminosas estava concentrada em grandes fóruns públicos (como Darkode, Exploit.in, RaidForums, BreachForums), que funcionavam como hubs de venda de dados, malware, acessos remotos e serviços ilegais, mas com o aumento da repressão judicial, intensificada entre 2019 e 2023, levou ao fechamento ou comprometimento da maioria desses ambientes. Mas em resposta os criminosos migraram para ambientes mais fechados, criptografados e controlados por convites.
O estudo mostra que em 2024, os principais fóruns utilizados pelos operadores de ameaças, operam em ambientes segregados na dark web com protocolos de anonimato como Tor e I2P e utilizam criptografia de ponta a ponta (E2EE) para todas as interações, e ainda adotam sistemas de verificação entre pares, nos quais apenas membros com reputação elevada podem convidar novos usuários, e também até possuem políticas rígidas de acesso e banimento que dificultam infiltração de agentes da lei ou pesquisadores.
Esses fóruns são responsáveis por intermediar a venda de malware e kits de ransomware prontos para uso (RaaS, Stealer-as-a-Service, Loader-as-a-Service), e da comercialização de acessos privilegiados (RDP, VPN, painéis de CMS e ERP), e também de promover leilões de bancos de dados corporativos e pessoais vazados, e até anúncios de campanhas ativas de extorsão e recrutamento de afiliados para ataques conjuntos.
Implicação para as empresas esta bastante nesta invisibilidade operacional desses ambientes torna essencial o investimento em provedores externos especializados em inteligência de ameaças com capacidade de infiltração estruturada e acesso a canais privativos. A coleta de indicadores de comprometimento (IOCs) e padrões comportamentais desses fóruns é hoje um dos pilares centrais da defesa preditiva cibernética.
- Evolução dos modelos de pagamento e uso de stablecoins, mixers e evasão regulatória:
Com o aumento da regulação sobre criptomoedas públicas como Bitcoin e Ethereum, que são rastreáveis por blockchains públicas os grupos criminosos passaram a utilizar meios de pagamento mais difíceis de rastrear e auditar.
Podemos destacar três elementos que viabilizam essa nova forma de evasão financeira, que são primeiro as stablecoins privadas (ex.: USDT e USDC em blockchains paralelas), que mantêm paridade com moedas fiduciárias e são aceitas globalmente em mercados ilegais, depois o uso de "mixers" e serviços de obfuscação de transações, como: Tornado Cash e coinjoin pools, que embaralham os fluxos financeiros entre milhares de carteiras, impedindo o rastreamento direto, e por fim o uso de redes blockchain privadas e wallets autogeridas, que não exigem KYC e operam fora do alcance de sanções.
Além disso muitos operadores de ransomware agora impõem prazo de pagamento com desconto, exigem pagamento em moeda diferente da negociada (ex.: monero, dash), e ameaçam elevar o valor da extorsão com o passar do tempo.
A medida de mitigação aqui é de que os departamentos de riscos e compliance devem estreitar laços com equipes de segurança cibernética para monitorar movimentações financeiras atípicas em criptoativos, apoiar investigações internas e alinhar políticas de resposta a incidentes com reguladores (BACEN, CVM, COAF). A criação de parcerias com plataformas de blockchain analytics (como Chainalysis, Elliptic, TRM Labs) é recomendada para rastreabilidade técnica e apoio legal à contenção de perdas.
- Blindagem da infraestrutura digital e o bulletproof hosting, técnicas antiforenses e servidores efêmeros:
O estudo aponta que os grupos cibercriminosos têm investido em infraestruturas altamente resilientes e blindadas, com o objetivo de dificultar a identificação, interrupção e atribuição dos ataques. Essa blindagem se apoia em três elementos operacionais, começando pelos serviços de hospedagem blindada, que são provedores de infraestrutura localizados em países com baixa cooperação jurídica internacional ou legislação permissiva, que oferecem serviços dedicados a operadores ilícitos com garantias contratuais de não interrupção de operação mesmo diante de denúncias, além do uso de técnicas antiforenses, incluindo o uso de ferramentas que apagam registros de log, encriptam evidências automaticamente, desativam agentes de auditoria ou executam autodestruição de payloads quando detectam ambientes de sandboxing ou honeypots e os chamados servidores efêmeros e comunicação temporária, como o uso de instâncias em nuvem que se autodestroem após determinado tempo de uso ou volume de tráfego, e servidores C2 (comando e controle) rotativos, com alterações automáticas de endereço IP e geolocalização.
Essas técnicas tornam as campanhas mais difíceis de rastrear, mesmo por times SOC (Security Operation Center) avançados, e reduzem o tempo de resposta possível das equipes de contenção de incidentes.
Aqui algumas das medidas recomendadas são a adoção de estratégias de threat hunting proativas, que busquem indicadores de presença lateral ou atividade suspeita mesmo na ausência de alertas diretos. Além disso é fundamental integrar ferramentas de XDR (eXtended Detection and Response) com motores de correlação comportamental e inteligência de ameaças externa.
- Renascimento por rebranding e a cultura da continuidade criminosa sob nova identidade:
Mesmo quando grupos são desmantelados ou têm infraestrutura exposta, o relatório mostra que as operações são retomadas rapidamente com rebranding completo. Isso significa que, embora um grupo como ALPHV possa ter sua identidade exposta e seus servidores confiscados, seus integrantes reaparecem com novo nome, domínio, painel de leaks, mas com o mesmo modus operandi, TTPs e até base de afiliados.
O rebranding inclui alteração do nome do grupo e logotipo, e uma nova narrativa visual e retórica para o site de vazamentos, e a inclusão de novas funcionalidades e interfaces para negociação e o remanejamento dos canais de contato e carteiras de criptoativos.
Exemplo disto são os grupos como RansomHub, El Dorado/BlackLock, e Fog, que são citados pela Deloitte como sucessores operacionais de estruturas anteriores desmobilizadas. Em alguns casos, a mudança é estratégica para driblar sanções ou ações judiciais iminentes.
Risco crítico para empresas é de confiar apenas em listas de grupos conhecidos é insuficiente. A identificação de características técnicas persistentes (como padrões de criptografia, tempo de execução, servidores C2 utilizados, linguagens de programação) passa a ser mais relevante do que o nome do grupo. Para isso, são essenciais ferramentas de TI baseadas em YARA rules, análise de hashes, rastreio de metadados e fingerprints operacionais.
O submundo digital não é mais um ambiente caótico e desorganizado: ele se tornou uma infraestrutura paralela, com alta adaptabilidade, base tecnológica moderna, racionalidade econômica e evasão sistemática da repressão. Os cibercriminosos operam com foco em escala, eficiência, resiliência e lucratividade. Esse novo paradigma impõe desafios enormes à ciberdefesa tradicional, especialmente para organizações que ainda operam com posturas passivas, reativas e tecnicamente fragmentadas.
A única forma de mitigar esse tipo de ameaça é tratar a inteligência de ameaças como uma função corporativa contínua, com integração entre segurança da informação, risco operacional, jurídico, compliance e governança, criando uma arquitetura de resiliência baseada em antecipação, adaptação e colaboração interinstitucional.
Perfis de agentes de ameaça e a diversificação, hibridização e convergência de interesses:
A análise de ameaças cibernéticas exige, cada vez mais, a compreensão do perfil e da motivação dos atores maliciosos, e não apenas das técnicas empregadas nos ataques. O estudo aponta para um cenário em que os agentes de ameaça se tornaram mais variados, adaptáveis e interconectados, operando de forma híbrida em muitos casos e com motivações que vão muito além da simples obtenção de lucro.
Esse novo panorama demonstra que, para além da taxonomia técnica dos vetores (como ransomware, phishing, malware, exploits), é imprescindível compreender quem está por trás dos ataques, por que estão atacando e como adaptam suas táticas conforme o alvo, o momento geopolítico e a visibilidade pública.
O relatório categoriza os principais perfis de agentes maliciosos em quatro grupos distintos, cujas motivações, alvos, técnicas e riscos para as empresas variam significativamente, que vou tentar detalhar mais.
- Grupos cibercriminosos e o lucro, eficiência e especialização tática:
Os grupos cibercriminosos tradicionais seguem motivados por ganhos financeiros diretos. Operam de maneira profissionalizada, com infraestrutura própria, divisão de funções (como em um modelo empresarial), metas, sistemas de reputação, atendimento a clientes (inclusive suporte técnico a vítimas) e análise de retorno sobre investimento (ROI) de campanhas.
Em 2024, os grupos mais ativos foram o Clop, especializado em extorsão via ransomware e exploração de vulnerabilidades zero-day, o LockBit (até sua desmobilização em operação internacional), que operava como o maior provedor de RaaS do mundo, e o RansomHub que é o grupo emergente com afiliação agressiva e base global, e o El Dorado, Lynx, Fog, que são os sucessores de grupos desmobilizados, com forte presença em campanhas contra manufatura, saúde e instituições públicas.
Características operacionais sçao os ataques coordenados com coleta prévia de inteligência sobre a vítima, com o uso de malware proprietário ou altamente customizado, e o roubo de dados antes da criptografia, e a pressão jurídica, financeira e reputacional por meio de vazamento público e mídia.
Risco principal aqui é sempre a paralisação operacional, com a perda de dados críticos, vazamento de propriedade intelectual, sanções regulatórias, danos reputacionais e extorsão financeira.
A resposta recomendada são os programas de threat intelligence focados em IOCs específicos por grupo com a simulações de ransomware com base em TTPs reais (MITRE ATT&CK) e principalmente os planos de resposta a incidentes com cláusulas específicas para extorsão, negociação e contato com autoridades.
Atores estatais e a espionagem, sabotagem e geopolítica:
Os chamados Atores de Ameaça Persistente Avançada (APTs) patrocinados por Estados-nação representam um tipo de ameaça diferente, mais furtiva, duradoura e complexa. Suas motivações vão desde espionagem estratégica, roubo de propriedade intelectual, monitoramento político até disrupção de infraestrutura crítica.
Esses grupos são caracterizados por ter operações de longa duração (às vezes anos) com movimentação lateral lenta e cuidadosa, com o uso de ferramentas altamente sofisticadas e muitas vezes únicas, e o emprego de esteganografia, backdoors persistentes e canais de comando e controle não convencionais, com um alto nível de evasão e dissimulação, inclusive com falsas flags (técnicas para simular autoria de outros grupos).
Grupos destacados no estudo são: o APT29 (Midnight Blizzard), que é grupo vinculado ao serviço secreto russo (SVR), com foco em setores como diplomacia, energia e tecnologia, utilizando spear phishing com temas de política externa e esteganografia, e o Volt Typhoon, que é um grupo associado à China, especializado em exploração de infraestrutura crítica nos EUA, com foco em persistência e movimentação silenciosa em sistemas de controle industrial, além do Salt Typhoon, que é outro grupo vinculado à China, com foco em propriedade intelectual, instituições financeiras e espionagem cibernética.
Aqui o risco principal esta no comprometimento prolongado sem detecção, perda de ativos estratégicos, exposição de negociações sensíveis, interrupção de operações críticas e risco geopolítico indireto.
Neste caso as resposta recomendada são o monitoramento de indicadores de persistência e comportamento lateral, com a implementação de ferramentas de detecção avançada baseadas em comportamento (UEBA, EDR com IA), e parcerias com fornecedores de threat intelligence geopolítica especializada, com principalmente a segmentação de redes críticas e simulações de ataque tipo APT com tempo prolongado de execução.
"Hacktivistas" e a motivação política, ideológica e campanhas públicas:
O chamado "hacktivismo" ressurgiu com força em 2024, influenciado por guerras, polarizações políticas e movimentos sociais globais. Esses grupos têm como objetivo principal a exposição pública de ideologias, defesa de causas específicas, retaliação contra governos ou empresas que representem determinado posicionamento político, econômico ou ambiental.
Entre os grupos identificados estão o CyberVolk, que é ligado a grupos pró-Rússia, com uso de botnets, campanhas DDoS e vazamentos públicos como forma de retaliação contra países da OTAN, e o NoName057(16), que é uma organização distribuída que incentiva ações individuais com recompensa em criptomoeda para ataques bem-sucedidos, além de sempre os demais grupos espontâneos ligados a causas ambientais, direitos humanos, privacidade digital e outras bandeiras ideológicas.
As táticas mais comuns usads aqu são o chamado: defacement de sites corporativos e institucionais, com campanhas de DDoS coordenadas, muitas vezes com incentivo por meio de aplicativos móveis (como DDosia), e a exposição pública de dados corporativos ou internos com mensagens ideológicas.
O risco principal aqui são os danos à reputação, perda de confiança pública, interrupção de serviços digitais, exploração midiática, litígios e boicotes.
Enquanto que a resposta recomendada neste caso é a implementação de soluções de mitigação DDoS baseadas em nuvem e edge, com o monitoramento de narrativas públicas em fóruns, redes sociais e canais de Telegram vinculados a causas sensíveis, e o reforço de medidas de hardening de sites institucionais, e a comunicação de crise alinhada com compliance, jurídico e gestão de reputação.
- Ameaças internas e a negligência, sabotagem e abuso de privilégios:
Apesar de menos visíveis nas manchetes, os insiders continuam sendo um dos vetores mais perigosos de comprometimento cibernético, por sua combinação de acesso legítimo com possível motivação maliciosa ou descuido. e podemos separa-los em 3 perfis: os maliciosos intencionais, que são os colaboradores que, por motivação pessoal, ideológica ou financeira, deliberadamente exfiltram, apagam ou sabotam ativos de informação da empresa, tem ainda os que são negligentes ou desatentos, que são os usuários que mesmo sem má-fé, cometem erros operacionais (como cliques em links maliciosos, uso de senhas fracas ou armazenamento de dados em plataformas não autorizadas), e por fim te ainda os comprometidos externamente, que são os colaboradores que têm suas credenciais roubadas ou manipuladas via engenharia social para ações maliciosas em nome da empresa.
Casos típicos incluem o download não autorizado de grandes volumes de dados, e o uso de ferramentas de transferência de arquivos (ex.: WeTransfer, Google Drive) não monitoradas, com a abertura de portas de acesso remotol, e o compartilhamento de senhas ou tokens de autenticação.
O risco principal aqui é o vazamento de dados confidenciais, comprometimento de processos internos, interrupção de operações críticas, riscos legais e regulatórios.
As resposta recomendada são a implementação de políticas de acesso baseado em risco e privilégio mínimo, com o uso de monitoramento comportamental (UEBA) para detectar desvios em tempo real, e as tradicionais campanhas regulares de conscientização com simulações e feedback, e também a integração entre GRC, segurança da informação, RH e canais de denúncia estruturados com tratamento sigiloso e rastreável.
A diversidade e a convergência entre os perfis de ameaças observadas em 2024 apontam para um novo modelo de gestão de risco cibernético, no qual a natureza do atacante e sua motivação são tão importantes quanto a técnica utilizada. Um mesmo vetor de ataque pode ter origens distintas como um phishing, pode ser parte de um golpe financeiro ou o ponto de partida de uma campanha de espionagem estatal. Portanto as empresas precisam desenvolver uma matriz de risco cibernético que considere os perfis de agentes, a criticidade dos ativos, a visibilidade pública e o contexto geopolítico.
A capacidade de mapear, entender e antecipar o comportamento desses agentes é uma vantagem estratégica e requer investimento contínuo em inteligência de ameaças, análise comportamental e colaboração com ecossistemas externos como as agências governamentais, empresas de threat intelligence e comunidades técnicas.
Recomendações estratégicas e implicações práticas para defesa cibernética eficaz:
O relatório da Deloitte conclui com uma mensagem contundente de que as ameaças cibernéticas não são mais um risco isolado da área de tecnologia, mas um risco estratégico multidimensional, que afeta diretamente a continuidade do negócio, a reputação institucional, o valor para o acionista e a conformidade regulatória. Diante da escalada de sofisticação dos grupos criminosos, da hibridização de técnicas e da volatilidade do ambiente geopolítico, torna-se urgente adotar uma estratégia de defesa baseada em inteligência, adaptabilidade e resiliência integrada.
Para isso a proposta é ter um conjunto de medidas estruturantes e interdependentes, que devem ser aplicadas de forma holística, não apenas como medidas técnicas pontuais, mas como parte de uma arquitetura de ciberdefesa corporativa robusta.
- Adoção de uma arquitetura baseada em inteligência de ameaças:
A primeira e mais fundamental recomendação é que as empresas desenvolvam uma postura de segurança guiada por inteligência de ameaças (Threat Intelligence-Driven Security). Isso significa sair do modelo reativo baseado em alertas e incidentes isolados, e adotar um modelo proativo, preventivo e analítico, centrado na antecipação de vetores de ataque com base em dados reais, contextualizados e atualizados continuamente.
Ações práticas recomendadas são primeiro estabelecer uma função dedicada de Threat Intelligence com profissionais treinados, acesso a fontes abertas (OSINT), fontes fechadas (dark web, fóruns privados), bases de CTI comerciais (ex.: Recorded Future, Mandiant, Intel 471) e parcerias com entidades setoriais, depois produzir e atualizar constantemente relatórios de risco cibernético por tipo de ameaça, setor, geografia e tipologia de atacante, assim como integrar a inteligência de ameaças ao ciclo de defesa com a priorização de vulnerabilidades, desenho de controles, resposta a incidentes, e desenvolvimento de resiliência organizacionalm e por fim utilizar frameworks de referência como o MITRE ATT&CK para mapear TTPs específicas dos grupos mais relevantes ao seu setor.
- Fortalecimento do controle de acesso privilegiado e proteção de credenciais:
Diante do aumento no uso de credenciais comprometidas e exploração de VPNs como vetores iniciais de ataque, é necessário reforçar os mecanismos de gestão de identidade e acesso (IAM), autenticação multifator (MFA) e Zero Trust.
Ações práticas recomendadas são a implantação de políticas rigorosas de privilégio mínimo, com auditoria contínua de usuários com acesso administrativo, com a utilização de soluções de PAM (Privileged Access Management) para rastrear e controlar acessos sensíveis, e estabelecer autenticação multifator adaptativa baseada em contexto e risco, com bloqueio de acessos incomuns por geolocalização, horário ou dispositivo, e também realizar varreduras periódicas de credenciais vazadas na surface, deep e dark web, com rotatividade compulsória de senhas e tokens afetados.
- Reforço da resiliência humana e a capacitação, simulações e cultura de segurança:
O elo humano segue sendo o vetor mais explorado por atacantes, seja por meio de phishing, engenharia social ou uso indevido de credenciais. Assim uma estratégia eficaz de cibersegurança deve conter um pilar específico de educação, simulação e mudança cultural.
Ações práticas recomendadas aqui são implantar campanhas contínuas de conscientização com foco em comportamento seguro, não apenas compliance formal, além de executar simulações realistas de phishing, vishing e BEC, com métricas de desempenho por área, função e tempo de reação, e também criar trilhas de capacitação por perfil de usuário (ex.: liderança, TI, jurídico, atendimento ao cliente) com foco nos riscos específicos que enfrentam, e reforçar a cultura de reporte, com canais de comunicação seguros, acessíveis e sem retaliação, para que colaboradores denunciem comportamentos suspeitos.
- Visibilidade ampliada sobre a superfície de ataque estendida:
Com a proliferação de integrações digitais, cloud, APIs e fornecedores terceirizados, a superfície de ataque das empresas se expandiu para além dos muros internos, tornando essencial sua identificação, monitoramento e controle contínuo.
Ações práticas recomendadas neste caso é utilizar plataformas de ASM (Attack Surface Management) para mapear ativos expostos publicamente e identificar riscos associados (ex.: domínios não monitorados, APIs abertas, ativos esquecidos), e integrar avaliações contínuas de riscos de terceiros (TPRM) ao processo de onboarding e monitoramento de fornecedores, além de aplicar testes de penetração regulares e varreduras externas automatizadas, inclusive em ambientes de cloud e SaaS e classificar os ativos digitais por criticidade e exposição, e priorizar sua proteção com base em risco.
- Investimento em tecnologias de detecção e resposta estendidas (XDR e MXDR):
Frente à evasão das técnicas tradicionais de segurança, torna-se essencial adotar tecnologias que correlacionem sinais fracos, dados de diversas fontes e permitam detecção em tempo real, mesmo quando os vetores utilizados escapam de antivírus e firewalls convencionais.
Ações práticas recomendadas neste caso são de implantar soluções de XDR (Extended Detection and Response), capazes de integrar logs e eventos de endpoints, redes, e-mails, identidade e aplicações, assim como avaliar o uso de serviços de detecção gerenciada (MXDR), com equipes especializadas 24x7, principalmente para empresas que não possuem SOC interno, e priorizar a correlação de eventos por comportamento (UEBA), em vez de dependência apenas de assinaturas ou listas de indicadores estáticos, além de estabelecer processos de contenção automatizados (SOAR) para reduzir tempo de resposta em incidentes críticos.
- Integração da cibersegurança com continuidade de negócios, jurídico e comunicação:
A resposta a incidentes hoje não pode mais estar restrita à área de tecnologia. Com a escalada do impacto financeiro, regulatório e reputacional de ataques, é fundamental uma governança multidisciplinar, com participação ativa da alta administração.
Ações práticas recomendadas neste caso é de estabelecer comitês de crise cibernética com participação de TI, jurídico, compliance, comunicação, relações com investidores, RH e liderança executiva, assim como criar e testar regularmente playbooks de resposta a ataques cibernéticos, com foco em ransomware, vazamento de dados e ataques à cadeia de suprimentos, além de carantir que os planos de continuidade de negócios e disaster recovery estejam atualizados e contemplem cenários cibernéticos plausíveis, e também mapear obrigações regulatórias poís e definir responsáveis por comunicação de incidentes.
O relatório da Deloitte deixa claro que a defesa cibernética moderna exige integração, inteligência e governança contínua. A complexidade e a velocidade dos ataques superaram a capacidade das abordagens tradicionais baseadas apenas em tecnologia. O futuro da segurança cibernética depende da capacidade de adaptação das empresas, da maturidade dos seus modelos de resposta e, sobretudo, da compreensão estratégica da cibersegurança como alavanca de continuidade e valor organizacional.
As empresas que tratarem a segurança como um diferencial competitivo, e não como mera despesa técnica, estarão melhor posicionadas para enfrentar não apenas os ataques que virão, mas para demonstrar resiliência, transparência e compromisso com a sustentabilidade de longo prazo.
Da detecção à resiliência estratégica e uma nova era de defesa cibernética:
O panorama revelado pelo relatório da Deloitte Cyber Threat Intelligence é claro de que as ameaças cibernéticas evoluíram para uma dimensão estratégica, multidisciplinar e assimétrica, exigindo que as organizações repensem profundamente seus modelos de defesa, suas estruturas de governança e suas práticas de gestão de risco tecnológico.
A natureza dos ataques registrados em 2024 não é apenas mais técnica, mas estrutural, econômica, comportamental e geopolítica. O ransomware passou a operar como um serviço multinacional de extorsão; as técnicas de acesso inicial se sofisticaram com apoio da inteligência artificial generativa; os fóruns do submundo digital tornaram-se redes distribuídas e resilientes; os agentes maliciosos diversificaram-se e misturaram motivações financeiras, ideológicas e estratégicas; e a defesa tradicional, baseada apenas em perímetros e ferramentas pontuais, mostrou-se insuficiente para mitigar um cenário tão dinâmico.
A resposta eficaz a esse novo ambiente de riscos requer ações estruturantes em múltiplos níveis, e não apenas investimentos em ferramentas.
Os seis eixos estratégicos que emergem da análise do relatório, e que devem guiar os conselhos e a alta administração, são os seguintes:
Resiliência não é mais um diferencial mas é pré-requisito de continuidade:
Os conselhos de administração precisam tratar a segurança cibernética como um risco transversal à organização, integrando-a à agenda de continuidade do negócio, estratégia corporativa e responsabilidade fiduciária. O risco cibernético impacta diretamente a reputação, os resultados financeiros, a exposição jurídica e a confiança dos stakeholders. Empresas resilientes são aquelas que identificam suas fragilidades com realismo, e que assim antecipam cenários de risco por meio de inteligência contínua, e por isto estão preparadas para responder e se recuperar rapidamente, e mantêm processos críticos funcionando sob ataques ou falhas sistêmicas.
A governança de segurança deve ser multidisciplinar e ativa:
A eficácia da segurança cibernética não depende apenas da área de tecnologia. Envolve decisões e posturas de todas as áreas-chave: riscos, auditoria interna, jurídico, compliance, comunicação e recursos humanos. Os comitês de auditoria e risco devem receber relatórios regulares sobre o panorama de ameaças e exposições, e assim avaliar o nível de maturidade da função de segurança (com base em frameworks como NIST CSF, ISO/IEC 27001, CIS Controls), e garantir que a função de cibersegurança tenha autonomia, orçamento e capacidade técnica para agir com independência, e validar a existência de planos de resposta a incidentes e testar sua eficácia periodicamente.
A inteligência de ameaças deve ser institucionalizada como função permanente:
A coleta, análise e disseminação de informações sobre ameaças não pode ser episódica. É necessário institucionalizar a inteligência de ameaças (Cyber Threat Intelligence – CTI) como uma capacidade core da organização, com o monitoramento de fontes abertas e fechadas, e o acesso a informações sobre grupos de ransomware, campanhas de phishing, domínios falsificados, malware emergente e infraestrutura criminosa, com a geração de relatórios executivos periódicos com análise de impacto e recomendação de ações, e a integração com times de resposta a incidentes, gestão de vulnerabilidades, continuidade de negócios e comunicação.
A superfície de ataque precisa ser constantemente reavaliada:
Em um ambiente de APIs abertas, múltiplos fornecedores, ambientes híbridos e integração em tempo real, a superfície de ataque de uma organização não é mais fixa nem visível por completo internamente. É fundamental adotar abordagens contínuas de Attack Surface Management (ASM), e de Third Party Risk Management (TPRM), assim como o mapeamento e classificação de ativos expostos externamente, e também o monitoramento de risco digital (DRP) com foco em ativos não gerenciados (shadow IT, domínios inativos, endpoints esquecidos).
Simulações e testes de resiliência devem se tornar rotina institucional:
A segurança cibernética moderna exige preparação constante, não apenas procedimentos escritos. Empresas maduras executam sempre simulações de ransomware com envolvimento do comitê executivo, com testes de engenharia social (phishing, vishing, pretexting) para medir maturidade humana, e exercícios de crise cibernética que integram jurídico, comunicação, tecnologia e operações, assim como análises pós-incidente com documentação de lições aprendidas e revisão de procedimentos.
A cultura organizacional é o primeiro e último firewall:
Nenhuma tecnologia substitui o comportamento seguro de colaboradores, líderes e terceiros. Criar uma cultura de segurança ativa, colaborativa, vigilante e responsável é o fator mais difícil e mais duradouro na construção de resiliência. Isso exige uma educação contínua com base em ameaças reais, com indicadores de maturidade comportamental por área, e métricas de reporte voluntário, engajamento e responsabilidade, para um alinhamento da segurança à estratégia de negócios, e não apenas à conformidade técnica.
Achei este estudo um tremendo alerta técnico e institucional de que os riscos cibernéticos de 2024 marcaram o início de uma nova era, em que as fronteiras digitais são difusas, os atacantes operam como empresas, e a resposta defensiva exige agilidade, coordenação e antecipação constante.
Para empresas que desejam não apenas se defender, mas competir com resiliência e confiança no mundo digital, é hora de tratar a cibersegurança não como um problema de TI, mas como uma estratégia de negócios essencial, guiada por inteligência, cultura, governança e preparo real para o pior, sem abandonar a visão de longo prazo e a confiança como ativos fundamentais.