O setor financeiro ocupa a segunda posição no ranking global de ataques cibernéticos, de acordo com um relatório da Verizon. O documento registrou 3.336 incidentes no segmento em 2025, com 927 resultando em vazamentos de dados confirmados. Na América Latina, foram 657 casos, sendo 413 com vazamentos. O cenário no Brasil acompanha a tendência, com o Banco Central reportando, somente em 2024, 12 incidentes de vazamentos de chaves Pix. Os números mostram a exposição de um segmento que lida com ativos e informações de clientes.

A recorrência dos ataques levanta uma questão sobre a abordagem da segurança pelas lideranças. A proteção dos sistemas e dados é vista por parte dos gestores como um centro de custo, não como um pilar para a sustentação do negócio. Essa visão ignora que o custo de um incidente de segurança é, em média, superior ao investimento preventivo. O relatório “Cost of a Data Breach” da IBM, de 2024, aponta que o prejuízo médio de um ataque no setor financeiro foi de US$ 6,08 milhões.

“A cibersegurança é tratada como uma despesa por empresas que ainda não têm um grau elevado de maturidade em segurança da informação. As companhias que já estão em um patamar mais elevado enxergam a cibersegurança como um investimento”, afirma Rodrigo Rocha, gerente de arquitetura de soluções da CG One, empresa de tecnologia focada em segurança da informação, proteção de redes e gerenciamento integrado de riscos.

A evolução dos riscos e os impactos nos negócios

Os riscos para as instituições financeiras abrangem desde ataques de negação de serviço (DDoS), que buscam a indisponibilidade de plataformas e o prejuízo de imagem, até o roubo de informações e o desvio de valores de contas de clientes. “Nos últimos anos, as táticas dos atacantes ganharam complexidade, com o desenvolvimento de ransomwares como LockBit e Conti, ataques à cadeia de suprimentos que comprometem plataformas de autenticação de fintechs, exploração de APIs e o uso de inteligência artificial generativa e deepfakes em ações de engenharia social”, explica Rocha.

Um ataque bem-sucedido pode resultar em perda de credibilidade junto a clientes e ao mercado, além de perdas financeiras diretas. Há também o impacto regulatório, com a possibilidade de aplicação de multas pela Autoridade Nacional de Proteção de Dados (ANPD) em caso de descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD).

A estratégia de defesa como caminho

Não existe uma única tecnologia que funcione como solução definitiva para a proteção do ecossistema financeiro. A eficácia da defesa está na implementação de um plano de médio e longo prazo, com o objetivo de elevar a maturidade em segurança da informação de forma contínua.

Para Rocha, as organizações podem utilizar frameworks de mercado para avaliar o nível de maturidade atual e traçar um plano de evolução. “A proteção de uma empresa, de qualquer segmento, depende da execução de um plano estruturado, com parceiros e soluções que ajudem nessa jornada”, finaliza o especialista da CG One.

Os ataques de ransomware estão longe de desacelerar. No último ano, foram registradas 11.796 vítimas diretas desse tipo de ciberataque ao redor do mundo, 1,3 vítimas por hora, segundo dados do BTTng da Apura Cyber Intelligence, plataforma de inteligência em ameaças cibernéticas. O impacto vai além dos números: empresas paralisadas, serviços essenciais comprometidos e milhões de pessoas expostas a riscos iminentes.

A onda de ataques abrange qualquer empresa de todos os segmentos, desde a saúde até os serviços públicos. Em maio passado, a Ascension Healthcare, uma das maiores operadoras de saúde dos EUA, foi alvo de um ataque cibernético que comprometeu sistemas críticos, incluindo registros médicos e comunicação interna. Hospitais ficaram sem acesso a informações essenciais por semanas, forçando equipes a recorrerem a procedimentos manuais. “Isso gerou riscos reais, com erros relatados no Kansas e em Detroit, que poderiam ter resultado em graves consequências médicas”, explica Anchises Moraes, Especialista de Theat Intel da Apura.

A Ascension não divulgou oficialmente o grupo por trás do ataque, mas investigações apontam para o Black Basta. Sete dos vinte e cinco mil servidores foram comprometidos, e 5,6 milhões de indivíduos receberam notificações sobre o possível vazamento de dados.

No Brasil, a TOTVS foi alvo do grupo BlackByte, com relatos de que dados da empresa foram acessados. A companhia informou seus acionistas, garantindo a continuidade dos serviços, mas sem dissipar completamente a incerteza. Já a Sabesp sofreu um ataque do grupo RansomHouse, que não apenas roubou dados, mas também os publicou posteriormente.

O futuro dos ataques: alvos menores, impactos maiores

Se antes os criminosos miravam grandes corporações exigindo valores exorbitantes, a tendência é que ataques menores, porém em massa, ganhem força em todo o mundo, incluindo o Brasil. Pequenas e médias empresas se tornaram alvos fáceis, já que possuem menos recursos para segurança e maior propensão a pagar resgates. “Elas têm mais dificuldade em recuperar dados roubados ou encriptados, tornando-se presas ideais para esses criminosos”, alerta Anchises.

A expansão internacional do grupo de cibercriminosos conhecido como Scattered Spider acendeu um sinal de alerta entre empresas latino-americanas. Especialistas em segurança apontam que, embora não haja registros confirmados de ataques desse grupo no Brasil ou vizinhos até o momento, seu alcance global e métodos sofisticados representam um risco iminente para organizações na região.

Com táticas de engenharia social elaboradas e capacidade de driblar defesas tradicionais, o Scattered Spider tem mirado grandes empresas em diversos países. “A questão não é mais ‘se’ seremos atacados, mas de ‘quando’ e ‘como’, afirma Felipe Guimarães, Chief Information Security Officer da Solo Iron. “As táticas empregadas pelo grupo exploram fragilidades universais, presentes em empresas em todo o mundo – o que inclui as empresas latino-americanas”, pondera o especialista.

Um dos maiores riscos é que os setores visados pelo Scattered Spider no exterior também são pilares econômicos na América Latina. O grupo historicamente focou suas ações em empresas de telecomunicações, terceirização de processos de negócios (BPO) e grandes empresas de tecnologia – indústrias que possuem ampla presença na região. Nos últimos tempos, foi observado um aumento de interesse do grupo pelo setor financeiro global, o que inclui bancos e instituições presentes no Brasil e países vizinhos.

“Isso significa que companhias latino-americanas, seja diretamente ou através de filiais e parceiras, podem entrar na mira à medida que o Scattered Spider amplia seu raio de atuação. Mesmo empresas que não operam internacionalmente devem se precaver, pois os criminosos podem enxergar organizações locais como pontes de entrada para fornecedores ou clientes globais, ou simplesmente como alvos lucrativos por si sós, caso identifiquem falhas de segurança exploráveis”, pontua Guimarães.

Na mira das agências de inteligência

Relatórios do FBI e da Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA descrevem o Scattered Spider como “especialista em engenharia social”, empregando diversas técnicas para roubar credenciais e burlar autenticações.

Entre os métodos documentados estão phishing por e-mail e SMS (smishing), ataques de vishing (ligações telefônicas fraudulentas) em que os criminosos se passam por equipe de TI da própria empresa, e até esquemas elaborados de SIM swap – quando convencem operadoras de telefonia a transferir o número de celular de uma vítima para um chip sob controle deles. Essas táticas permitem interceptar códigos de autenticação multifator (MFA) enviados via SMS ou aplicativos, dando aos invasores as chaves para acessar sistemas internos.

Alguns incidentes recentes no cenário latino-americano já envolveram vetores parecidos, como uso de ferramentas legítimas em ataques e exploração de credenciais vazadas, o que reforça a necessidade de vigilância. Em 2024, por exemplo, houve casos de gangues de ransomware operando na região que abusaram de softwares legítimos e brechas em procedimentos internos de empresas, aplicando práticas muito similares ao do Scattered Spider.

Estratégias de mitigação

Diante da crescente ameaça representada por grupos como o Scattered Spider, Guimarães recomenda a adoção de estratégias com foco especial em fortalecer métodos avançados de autenticação multifator (MFA), preferencialmente resistentes a phishing, como chaves físicas de segurança ou soluções baseadas em certificados digitais. Técnicas como MFA com validação numérica e a restrição do uso de SMS para autenticação são essenciais para reduzir o risco de engenharia social e ataques por fadiga de notificações, muito usados pelo grupo.

Além disso, a adoção de uma abordagem mais robusta em relação à gestão de identidades e acessos (IAM) é uma estratégia muito importante na contenção desse tipo de ameaça. “As identidades digitais estão se tornando uma nova superfície de ataque; por isso, é fundamental que as empresas implementem políticas rígidas de gestão de identidades, controle granular de acessos e monitoramento contínuo das atividades dos usuários”, destaca.

“Também é muito importante o controle rigoroso sobre ferramentas de acesso remoto e a implantação de monitoramento avançado. É recomendável que as organizações restrinjam o uso dessas ferramentas por meio de listas autorizadas e adotem sistemas robustos como EDR e DLP para identificar rapidamente atividades suspeitas”, finaliza o especialista.

Tokens e senhas já não são os métodos favoritos para acessar dispositivos ou contas pessoais. Dando lugar às impressões digitais, reconhecimento facial e até à análise da voz, os sistemas biométricos representam a nova fronteira na autenticação de transações.

Mais de 4,2 bilhões de dispositivos móveis já utilizam algum tipo de biometria ativa, segundo a Juniper Research, e a previsão é que, até o final de 2026, 57% de todas as transações digitais globais serão validadas por esses métodos. No Brasil, a adesão à tecnologia também já é uma realidade palpável. Uma pesquisa da Accenture mostra que 73% dos consumidores brasileiros se sentem mais seguros usando biometria do que os tradicionais códigos numéricos em aplicativos bancários e carteiras digitais.

E, infelizmente, isso também atrai a atenção dos criminosos cibernéticos. “Com o avanço das tecnologias biométricas, especialmente o reconhecimento facial, empresas e governos vêm reforçando sistemas de segurança com identificações automáticas de indivíduos. No entanto, esse movimento é acompanhado pelo cibercrime na busca por técnicas sofisticadas, alimentadas por Inteligência Artificial, capazes de burlar os sistemas de autenticação”, explica Anchises Moraes, Head de Threat Intelligencena Apura Cyber Intelligence S.A.

Segundo o especialista em cibersegurança, criminosos utilizam desde impressoras de alta resolução até softwares para falsificar características biométricas, desafiando a proteção tecnológica de aplicativos bancários, serviços públicos e plataformas financeiras.

Esses ataques podem ser classificados em cinco níveis de complexidade. O nível 1 utiliza fotos digitais de alta resolução, vídeos em HD e até máscaras de papel, enquanto o nível 2 se baseia em bonecos realistas e máscaras 3D de látex ou silicone. Já no nível 3, os fraudadores recorrem a artefatos ultra-realistas e cabeças de cera. O nível 4 envolve a alteração de mapas faciais 3D para enganar os servidores de autenticação quanto à “prova de vida”. O estágio mais avançado, nível 5, inclui a injeção digital de imagens e vídeos diretamente nos dispositivos, ou mesmo o uso de deepfakes altamente convincentes, levando sistemas a aceitar a fraude como se fosse atividade orgânica do usuário legítimo.

Fraudes com deepfake e uso de identidades digitais sintéticas têm crescido no Brasil. Relatórios, como o da Deloitte publicado pelo portal Infochannel, apontam que o prejuízo econômico com fraudes movidas por inteligência artificial pode chegar a R$ 4,5 bilhões até final de 2025. Crescimentos de mais de 800% no uso de deepfakes já foram observados.

Na China, um caso emblemático escancarou o potencial destrutivo desses golpes. Um empregado de uma estatal foi induzido a transferir US$ 622 mil (cerca de R$ 3,1 milhões) após conversar por vídeo com quem acreditava ser seu próprio CEO. O fraudador usou deepfake em tempo real para replicar a imagem e voz da liderança da empresa, produzindo uma situação de extrema urgência para forçar as transferências. O golpe usou vídeos públicos do executivo para criar o avatar, e golpes similares vêm sendo relatados desde então.

Anchises esclarece, portanto, que as empresas de cibersegurança têm apostado em múltiplas camadas de proteção para mitigar essas ameaças. Uma das principais estratégias é a adoção de sistemas multimodais: combina-se dados de vídeo, áudio, sensores de temperatura, profundidade e análise comportamental, dificultando a ação dos golpistas. Sistemas avançados também integram detecção de deepfakes em tempo real e biometria comportamental, que monitora detalhes como velocidade de digitação, pressão sobre o touchscreen e até a forma como o dispositivo é manuseado.

Outras táticas envolvem técnicas de desafio e resposta  dinâmico, com desafios imprevisíveis gerados por IA (como pedir para piscar apenas um olho ou falar informações contextuais não planejadas), e a junção de provas de vida (“liveness”) passivas com ativas – mixando análises automáticas de vídeo com interações em tempo real. Ademais, cresce o monitoramento sistemático de vazamentos: equipes especializadas vasculham a dark web e bases de dados abertas em busca de imagens e perfis reciclados em novas tentativas de fraude. Apesar da sofisticação dos ataques, a resposta das empresas também evolui, demonstrando que a guerra pela identidade digital está apenas começando.

“Por isso se faz fundamental o trabalho desenvolvido pela Apura em conjunto com outras empresas de cibersegurança, ao monitorar as redes em busca de possíveis ameaças e, quando, infelizmente, um ataque for bem-sucedido, avaliar minuciosamente todos os fatores envolvidos para desenvolver e aprimorar ainda mais as táticas defensivas contra cibercriminosos que querem explorar as vulnerabilidades do uso de biometrias”, finaliza o especialista da Apura Cyber Intelligence.

Sobre a Apura Cyber Intelligence, acesse: https://apura.com.br

https://www.identy.io/pt-br/fraudes-causadas-por-ia-podem-causar-prejuizos-economicos-de-cerca-de-r-45-bilhoes-ao-brasil-em-2025

Um novo estudo divulgado pela Mimecast revelou um dado alarmante sobre segurança da informação: 95% das falhas de segurança registradas em 2024 foram causadas por erro humano. Este número, por si só, lança uma luz sobre uma realidade que, apesar dos impressionantes avanços tecnológicos e da crescente sofisticação dos ataques virtuais, persiste como nosso maior calcanhar de Aquiles: a deficiência em educação digital. No Brasil, esse desafio se agiganta, expondo um abismo preocupante entre a tecnologia disponível e o comportamento dos usuários.

A segurança cibernética, em sua essência, depende fundamentalmente do comportamento humano. De nada adianta termos as mais robustas muralhas digitais se, por dentro, as portas são inadvertidamente abertas por aqueles que deveriam ser os primeiros a protegê-las. Observamos no dia a dia uma série de práticas inseguras que persistem justamente pela falta de conhecimento básico sobre os riscos digitais.

O usuário, muitas vezes, não sabe como se proteger online. Erros como o uso da mesma senha em múltiplas plataformas, a suscetibilidade a golpes de phishing elementares, o compartilhamento excessivo de informações pessoais nas redes sociais e a confiança ingênua em mensagens que apelam para a urgência ou emoção são incrivelmente comuns. Esta vulnerabilidade não é um acaso, mas o reflexo direto de uma base educacional que ainda não incorporou a segurança digital como pilar essencial.

Uma questão social

O problema é sistêmico e se manifesta em diversas esferas. Nas escolas, onde a cidadania digital deveria ser cultivada desde a infância, o tema da cibersegurança é frequentemente negligenciado ou tratado de forma superficial. As universidades, por sua vez, ainda falham em integrar de maneira robusta a segurança cibernética nos currículos, até mesmo nos cursos de Tecnologia da Informação. Muitos profissionais chegam ao mercado sem as noções básicas para proteger os sistemas e dados com os quais irão trabalhar, uma lacuna que deveria ser impensável na era digital.

Uma pesquisa do DataSenado comprovou que a atenção deve estar nos mais jovens e com formação incompleta. Segundo o estudo, 27% das pessoas que perderam dinheiro em crimes digitais estão na faixa de 16 a 29 anos, e 35% possuem ensino médio completo, seguido por 29% com ensino superior incompleto.

No ambiente corporativo, a mentalidade reativa ainda predomina. Embora algumas empresas invistam em treinamentos, a maioria só se mobiliza após a ocorrência de um incidente de segurança, quando o prejuízo já está consolidado. Falta a cultura da prevenção, do investimento contínuo na capacitação dos colaboradores para que se tornem uma linha de defesa ativa, e não um ponto de falha.

Vemos, inclusive, resistência por parte da população em adotar medidas simples, mas eficazes, como a autenticação de dois fatores ou o uso de senhas fortes. Essa hesitação muitas vezes nasce da percepção de que tais medidas são incômodas ou da falsa sensação de que “isso só acontece com os outros”, um perigoso equívoco alimentado pela falta de entendimento sobre a real dimensão dos riscos.

Desafios da modernidade

O cenário se torna ainda mais complexo com o avanço da inteligência artificial, que potencializa ameaças como deepfakes e golpes de engenharia social cada vez mais personalizados e convincentes. Diante disso, a educação digital precisa evoluir. Não basta apenas ensinar a técnica de como usar uma ferramenta de segurança; é crucial desenvolver o pensamento crítico, a capacidade de identificar manipulação emocional e desinformação. Precisamos formar cidadãos digitais conscientes, capazes de discernir e agir com prudência no ambiente online.

Para começar a mudar esse panorama, o primeiro passo é tratar a cibersegurança como um direito e um dever fundamental da cidadania digital. Isso implica uma ação coordenada que envolva instituições públicas liderando campanhas nacionais de conscientização, a inclusão efetiva do tema nos currículos escolares desde os anos iniciais, a capacitação de servidores públicos e a criação de políticas públicas que incentivem a educação digital para todos os segmentos da população. A mídia tem um papel crucial na disseminação de informação de qualidade, e o setor privado deve assumir sua responsabilidade na formação contínua de seus colaboradores e na promoção de uma cultura de segurança.

Ignorar a educação digital é deixar a porta aberta para ameaças que podem comprometer não apenas dados pessoais e financeiros, mas a própria infraestrutura crítica do país e a confiança nas interações digitais. Investir em conhecimento e conscientização é, hoje, a estratégia mais inteligente e eficaz para fortalecer nossas defesas e construir um Brasil digitalmente mais seguro e resiliente.

Em um dos painéis mais aguardados do Cyber Security Summit 2025, o especialista Yuri Diógenes, PhD em Cybersecurity, professor da Universidade do Texas em Dallas e líder global de ciberdefesa na Microsoft, encerrou o evento com uma palestra contundente sobre o novo cenário dos conflitos internacionais. Sob o tema “Quando as Fronteiras Ficam Nebulosas: Ciberataques de Estados-Nação em Conflitos Modernos”, o especialista mostrou como o ciberespaço se consolidou como o quinto domínio da guerra moderna — ao lado da terra, do ar, do mar e do espaço — e advertiu que empresas e governos já estão sendo afetados diretamente por esse tipo de ataque.

“Quando há um embate entre Estados, o primeiro ataque não é mais militar, é cibernético. Ele vem em forma de campanhas de desinformação, ataques distribuídos e sabotagem digital. O ciberespaço se tornou a nova linha de frente dos conflitos modernos”, afirmou Diógenes.

Segundo levantamento da Microsoft apresentado durante a palestra, uma em cada três infraestruturas críticas no mundo já foi alvo de ataques conduzidos por grupos vinculados a Estados-nação. Desde 2020, o número desses incidentes cresceu mais de 200%, impulsionado por tensões políticas e disputas regionais. O especialista destacou que o Brasil também pode sofrer efeitos colaterais de ofensivas direcionadas a outros países, especialmente em cadeias globais de suprimento.

Ao apresentar exemplos da guerra Rússia-Ucrânia e de ataques recentes no Oriente Médio, Diógenes mostrou que os ataques digitais tornaram-se o primeiro passo das ofensivas militares. “Antes de tanques cruzarem fronteiras, já vemos ofensivas cibernéticas contra infraestruturas críticas e sistemas de defesa. É um playbook de guerra que combina poder cibernético e força cinética”, explicou.

Ele lembrou ainda que setores privados também são alvos frequentes, mesmo fora das zonas de conflito. “Quando um provedor de soluções é comprometido, todas as organizações que confiam naquela cadeia são vítimas em potencial. A infiltração em um elo estratégico pode causar efeitos em cascata na economia global”, destacou.

IA e desinformação: a nova face dos ataques

O pesquisador também alertou para o uso crescente da inteligência artificial (IA) em campanhas de desinformação e manipulação social. De acordo com ele, entre janeiro de 2024 e outubro de 2025 houve um crescimento exponencial de ataques que utilizam IA em alguma etapa da operação. “A IA vem sendo usada para criar desinformação em massa, explorando fontes que parecem confiáveis, veículos de comunicação, personalidades e até familiares. O resultado é um caos informacional difícil de conter”, afirmou.

Entre os exemplos citados, estão deepfakes hiper-realistas, clonagem de vozes e manipulação de vídeos e áudios para fraudes e disseminação de fake news. “O cidadão comum não tem ferramentas para diferenciar o real do falso. Isso aumenta a vulnerabilidade social e política das democracias”, alertou.

Ao encerrar sua apresentação, Diógenes reforçou que o risco cibernético é, hoje, uma extensão do risco geopolítico e da competitividade nacional, exigindo uma mudança na postura das lideranças empresariais. “Gerenciar risco cibernético é gerenciar a competitividade nacional. O que acontece na Europa ou no Oriente Médio pode afetar diretamente o mercado brasileiro. As empresas precisam estar preparadas para impactos indiretos e colaterais”, afirmou.

Para o especialista, o caminho passa por três pilares: visibilidade, colaboração e mentalidade estratégica. “Segurança não pode ser apenas um tema operacional. Precisa estar na mesa de decisão executiva. Quando os conflitos se espalham para o ciberespaço, a preparação define a resiliência”, concluiu.​

A escalada de tensões entre Irã e Israel ganha um novo e perigoso capítulo no ciberespaço. Um relatório divulgado pela Check Point Research revela que o grupo de ciberespionagem iraniano conhecido como Educated Manticore, com ligações diretas ao Corpo da Guarda Revolucionária Islâmica (IRGC-IO), intensificou campanhas direcionadas contra acadêmicos, jornalistas e especialistas de tecnologia israelenses.

Alvos: Especialistas e Acadêmicos de Prestígio

De acordo com a investigação, o Educated Manticore concentrou esforços em atacar profissionais de alto nível, incluindo professores de ciência da computação de universidades renomadas de Israel, pesquisadores de cibersegurança e jornalistas. As ações, sofisticadas e cuidadosamente planejadas, fazem parte de uma ofensiva de espionagem digital que visa obter acesso indevido a contas de e-mail e outros serviços críticos.

Os invasores se passam por pesquisadores, executivos ou analistas de empresas de cibersegurança fictícias, estabelecendo contato inicial por e-mail ou até mesmo por mensagens no WhatsApp. Com uma comunicação polida, bem estruturada e aparentemente legítima — muitas vezes auxiliada por inteligência artificial —, os criminosos buscam conquistar a confiança das vítimas e direcioná-las para links maliciosos.

Phishing Personalizado e Engenharia Social Avançada

Uma vez estabelecido o contato, os alvos são conduzidos para falsas páginas de login do Gmail, Outlook ou Yahoo, desenvolvidas com tecnologia moderna baseada em Single Page Applications (SPA) usando React. Essas páginas simulam com precisão o fluxo de autenticação de grandes provedores de e-mail, incluindo etapas de autenticação multifator (2FA), captura de senhas e códigos de verificação.

Além disso, o kit de phishing desenvolvido pelo grupo conta com keyloggers ocultos, capazes de registrar todas as teclas digitadas, mesmo que o usuário não finalize o processo. As informações são transmitidas em tempo real para os servidores dos atacantes, potencializando o roubo de credenciais e comprometendo ainda mais as contas das vítimas.

Um aspecto que chamou atenção dos analistas foi o uso de convites falsos do Google Meet, hospedados no próprio serviço Google Sites, o que dá uma aparência ainda mais legítima às páginas maliciosas. Ao clicarem nas imagens desses convites, as vítimas são redirecionadas a sites sob o controle dos atacantes.

Infraestrutura Robusta e Expansão da Campanha

A infraestrutura da Educated Manticore é ampla e bem estruturada. Desde janeiro de 2025, o grupo registrou mais de 130 domínios diferentes — muitos relacionados a temas como tecnologia, comunicação e educação —, utilizados para hospedar as páginas de phishing e gerenciar as operações clandestinas. A maioria desses domínios foi registrada através do provedor NameCheap.

Os especialistas também identificaram uma sobreposição significativa com outra célula de operações, conhecida como GreenCharlie, o que sugere uma possível ramificação ou subgrupo da Educated Manticore atuando de forma coordenada.

Entre os domínios maliciosos monitorados estão sendly-ink[.]shop, idea-home[.]online, live-meet[.]info, bestshopu[.]online, entre muitos outros. Além disso, diversos endereços IP associados à operação foram mapeados, fortalecendo as evidências de uma infraestrutura técnica bem organizada.

Ameaça Persistente e Alerta Global

Apesar da crescente exposição e dos esforços da comunidade de segurança cibernética, o Educated Manticore segue atuando com rapidez e agressividade, demonstrando grande capacidade de adaptação e evasão. A campanha atual, ao explorar o contexto geopolítico e acadêmico, representa uma ameaça grave à integridade das instituições israelenses e ao ecossistema global de cibersegurança.

“Esses ataques evidenciam como o ciberespaço se tornou um dos principais campos de batalha no atual conflito Irã-Israel”, alertam os pesquisadores da Check Point. A expectativa é de que o grupo continue investindo em táticas de roubo de identidade e coleta de informações, principalmente de indivíduos envolvidos em ambientes acadêmicos, científicos e tecnológicos estratégicos.

Indicadores de Comprometimento (IOCs)

A Check Point Research divulgou uma lista de domínios e endereços IP associados à infraestrutura maliciosa do Educated Manticore. Profissionais e empresas de tecnologia são fortemente aconselhados a implementar medidas de monitoramento e bloqueio desses indicadores em suas redes.

Entre os principais IOCs identificados estão:

Endereços IP:

• 185.130.226[.]71

• 45.12.2[.]158

• 45.143.166[.]230

• 91.222.173[.]141

• 194.11.226[.]9

Domínios Notórios:

• sendly-ink[.]shop

• idea-home[.]online

• live-meet[.]info

• bestshopu[.]online

• live-message[.]online

A lista completa de domínios e IPs está disponível no relatório técnico da Check Point.

Conclusão

O caso do Educated Manticore reforça o papel crítico da cibersegurança no cenário geopolítico atual. A sofisticação técnica, combinada a uma estratégia agressiva de engenharia social, demonstra que grupos apoiados por Estados seguem explorando vulnerabilidades humanas e tecnológicas para alcançar seus objetivos de espionagem.

Especialistas recomendam vigilância redobrada, treinamentos contínuos de conscientização e o uso de autenticação forte e verificada, especialmente entre profissionais que atuam em áreas sensíveis de tecnologia e pesquisa.

Um ataque cibernético supostamente realizado pelo grupo “Lip Stitchers” comprometeu a rede de comunicação de 116 navios pertencentes à República Islâmica do Irã, segundo informações exclusivas obtidas pela Iran International. As embarcações afetadas estariam ligadas às empresas estatais National Iranian Tanker Company (NITC) e Islamic Republic of Iran Shipping Company (IRISL) — ambas sancionadas por Estados Unidos, Reino Unido e União Europeia por seu envolvimento em operações logísticas estratégicas e, segundo acusações, apoio a grupos como os houthis no Iêmen.

O grupo hacker declarou que sua ofensiva teve como objetivo “cegar o regime iraniano em um momento crítico de ataques militares americanos contra posições houthis”. Segundo o comunicado, 50 navios da NITC e 66 da IRISL foram isolados, perdendo a capacidade de se comunicar com portos, outras embarcações e centros de comando em terra. Ainda de acordo com os hackers, o restabelecimento total dessas redes pode levar semanas, forçando as embarcações a recorrerem a meios limitados e alternativos de comunicação.

O ataque coincide com o sexto aniversário de atuação do Lip Stitchers, marcado pela inauguração de uma nova página no Telegram. O grupo — já conhecido por revelar dados sobre a Guarda Revolucionária Iraniana e sua unidade cibernética — afirma ter apoio de insiders dentro do próprio governo iraniano.

Cegueira Tática no Mar

Ao comprometer a conectividade de 50 navios da National Iranian Tanker Company (NITC) e 66 da Islamic Republic of Iran Shipping Line (IRISL), o grupo Lip Stitchers impôs um blackout operacional em plena zona cinzenta das tensões no Oriente Médio. A ausência de conectividade em embarcações comerciais e militares modernas não representa apenas a perda de comunicação, mas um colapso da visibilidade tática e da sincronização logística.

Em ambientes marítimos, a comunicação satelital via VSAT, AIS, rádio VHF/HF e canais criptografados é vital não só para a navegação e coordenação, mas para o mascaramento de operações clandestinas, como o transporte de armas para os houthis no Iêmen, como denunciado. Ao isolar os navios, os atacantes não apenas desorganizam o fluxo de exportações de petróleo iraniano, mas também interrompem potenciais corredores de suprimento para grupos aliados do regime.

Sistemas de comunicação sob ataque

Apesar da escassez de informações públicas detalhadas sobre a arquitetura das redes de comunicação dos navios iranianos, sabe-se que as embarcações da NITC e da IRISL operam com um complexo sistema híbrido, que combina:

1. Comunicações via satélite (VSAT): tecnologia fundamental para navegação e troca de dados em alto-mar, especialmente em missões estratégicas. Acredita-se que o Irã use satélites nacionais e parcerias com países como Rússia e China para blindar comunicações críticas.
2. Radiocomunicações VHF e HF: ainda amplamente utilizadas para comunicação de curta distância, especialmente entre navios e portos próximos nas rotas do Golfo Pérsico, Mar Mediterrâneo e Sudeste Asiático.
3. Redes criptográficas militares: presentes em embarcações controladas pela Guarda Revolucionária (IRGC) e em petroleiros envolvidos em missões sensíveis, como evasão de sanções ou transporte de armamentos. Essas redes são projetadas para resistir a interceptações e ataques, mas também têm sido alvo de ciberataques sofisticados.

Comunicações como Alvo Estratégico

A NITC, com seus mais de 46 superpetroleiros e capacidade superior a 15 milhões de toneladas, opera como artéria principal das exportações iranianas. Esses navios frequentemente desligam seus sistemas de rastreamento AIS para driblar sanções internacionais e ocultar rotas em águas internacionais como tática para burlar sanções e dificultar a vigilância internacional, o que torna suas comunicações criptografadas e satelitais ainda mais críticas. Ao cortar esse elo, o grupo expõe a fragilidade de uma estrutura de comando e controle marítimo que depende de uma mescla de soluções legadas, tecnologias de parceiros como Rússia e China, e sistemas proprietários potencialmente inseguros.

A vulnerabilidade dessas redes – acentuada por restrições tecnológicas impostas por sanções e pela presença de hardware não auditado – faz delas alvos altamente viáveis para grupos sofisticados com conhecimento interno, como sugerido pelo Lip Stitchers.

A National Iranian Tanker Company comanda a maior frota de petroleiros do Oriente Médio, composta por mais de 46 navios-tanque com capacidade combinada superior a 15 milhões de toneladas. Essas embarcações são peças-chave na logística de exportação do petróleo iraniano — uma das principais fontes de receita do regime.

Guerra Cibernética Não-Estatal

O que torna essa operação emblemática é sua natureza transnacional, com motivação ideológica e possível colaboração interna, como afirmou o grupo em seu canal no Telegram. Não se trata apenas de um ato de protesto digital, mas de uma operação com timing geopolítico calculado: ocorreu durante ataques americanos contra posições houthis, potencializando seu efeito estratégico e midiático.

O impacto é amplificado pelo fato de que, no ciberespaço, atores não-estatais podem atingir Estados-nação com uma eficácia antes exclusiva das grandes potências. E no caso do Irã, que já enfrentava pressão econômica e militar, o colapso parcial de sua frota de transporte energético representa um enfraquecimento sensível de sua capacidade de projeção regional.

Vulnerabilidades e sanções

As crescentes sanções internacionais têm restringido o acesso do Irã a tecnologias de ponta, limitando atualizações críticas em suas redes navais e sistemas de comunicação. Após episódios de comprometimento de comunicações do Hezbollah em 2024, o próprio IRGC iniciou inspeções de segurança nos equipamentos utilizados por embarcações civis e militares.

A recente ofensiva do grupo Lip Stitchers indica que, apesar das medidas defensivas do regime, vulnerabilidades persistem — especialmente na camada cibernética que sustenta a capacidade logística naval iraniana. Com os navios afetados temporariamente isolados e operando sob risco elevado, o episódio acende um alerta sobre o crescente papel da guerra cibernética nas disputas geopolíticas do Oriente Médio.

Considerações

O ataque do Lip Stitchers é um alerta global. Ele demonstra que, na era da conectividade ubíqua, a superfície de ataque se estende até os mares. A maritimização do ciberconflito amplia o domínio de operações para além de redes terrestres e satélites, introduzindo um novo tipo de guerra naval silenciosa: não feita com torpedos, mas com pacotes de dados.

Para estrategistas e decisores, este episódio reforça a urgência de:

• Modernizar redes de comunicação embarcadas com foco em resiliência e segmentação;

• Implementar Zero Trust Marítimo, com autenticação e monitoramento contínuos;

• Investir em inteligência cibernética naval preventiva, integrando informações de threat hunting com geopolítica;

• Avaliar continuamente a cadeia de suprimentos cibernética dos sistemas embarcados, inclusive nos componentes adquiridos de parceiros estatais.

O mar, outrora refúgio para operações clandestinas, agora é palco de uma nova corrida armamentista digital. E quem controlar os dados das águas, controlará o destino das nações que por elas navegam.