Boletim Diário de Cibersegurança – Brasil e mundo em alerta
O cenário de cibersegurança segue em ebulição, com novas vulnerabilidades críticas sendo exploradas ativamente por criminosos, ataques a infraestruturas energéticas na Europa e, no Brasil, um vácuo regulatório que ainda deixa dúvidas sobre quem responde, na prática, por incidentes que afetam serviços essenciais. Ao mesmo tempo, o mercado local de segurança cresce rapidamente – o que atrai tanto profissionais qualificados quanto empresas de fachada tentando aproveitar a onda.
A seguir, um panorama detalhado dos principais fatos, riscos e medidas de mitigação que precisam ser considerados por administradores de TI, gestores de risco e decisores de negócios.
—
Brasil ainda sem marco robusto de responsabilização em incidentes críticos
Apesar de avanços importantes como a LGPD e normas setoriais emitidas por reguladores específicos (como setor financeiro e telecomunicações), o Brasil ainda não dispõe de um marco legal sólido e unificado que estabeleça, de forma clara, responsabilidades civis, administrativas e eventualmente criminais em caso de incidentes cibernéticos envolvendo infraestruturas críticas.
Hoje, a responsabilização acaba fragmentada entre legislações genéricas, regulações setoriais e contratos individuais. Isso gera:
– Insegurança jurídica sobre quem responde por danos em ataques que afetam serviços essenciais (energia, água, saúde, transporte, comunicações).
– Incentivos fracos para investimento sistemático em resiliência cibernética, já que as consequências legais ainda são pouco previsíveis.
– Dificuldade de coordenação entre órgãos públicos, empresas privadas e operadores de infraestrutura em um contexto de crise.
Enquanto outros países consolidam marcos específicos para segurança de infraestruturas críticas, o Brasil ainda debate modelos de governança, formas de reporte obrigatório de incidentes e padrões mínimos de proteção. Isso coloca pressão adicional sobre as próprias empresas, que precisam ir além do que a lei exige hoje e adotar boas práticas internacionais se quiserem reduzir riscos jurídicos, técnicos e reputacionais no médio e longo prazo.
—
Cuidado com empresas de cibersegurança de fachada
Com a explosão da demanda por serviços de proteção digital, surgiram no mercado brasileiro diversas empresas que se apresentam como especialistas em cibersegurança, mas não possuem equipe técnica qualificada nem metodologias estruturadas. Em muitos casos, tratam-se apenas de revendedores improvisados de ferramentas ou consultorias genéricas que se rotularam como “cyber” para ganhar espaço.
Riscos ao contratar esse tipo de fornecedor:
– Diagnósticos superficiais, baseados em varreduras automatizadas, sem análise contextual.
– Relatórios cheios de jargões, mas sem plano de ação viável, priorização de riscos ou orientações práticas.
– Exposição adicional de dados sensíveis, caso a empresa não tenha controles internos adequados.
– Falsa sensação de segurança para a alta gestão, que acredita ter tratado o problema sem, de fato, reduzir sua superfície de ataque.
Antes de fechar contrato, é essencial:
– Verificar a experiência comprovada da equipe técnica (certificações, histórico de projetos, contribuições na área).
– Exigir escopo claro, entregáveis objetivos e critérios de sucesso mensuráveis.
– Avaliar se a empresa tem práticas mínimas de segurança para lidar com informações do cliente.
– Desconfiar de “pacotes milagrosos” que prometem proteção total com soluções prontas e baratas.
—
Nova certificação de Cibersegurança Ofensiva no mercado brasileiro
A crescente maturidade do setor também tem trazido iniciativas positivas. Uma delas é a chegada de novas certificações focadas em cibersegurança ofensiva, voltadas à formação de profissionais especializados em testes de invasão (pentest), Red Team, exploração de vulnerabilidades e simulação de ataques reais contra ambientes corporativos.
Esse tipo de certificação:
– Ajuda a padronizar um nível mínimo de conhecimento técnico para quem atua em segurança ofensiva.
– Amplia a empregabilidade de profissionais brasileiros, inclusive em mercados internacionais.
– Contribui para elevar o nível das avaliações de segurança, tornando-as mais realistas e alinhadas a técnicas usadas por atacantes de fato.
Para organizações, contratar profissionais com certificações reconhecidas em cibersegurança ofensiva reduz o risco de pentests mal conduzidos, que podem causar indisponibilidades desnecessárias ou deixar brechas relevantes de fora do escopo. É importante, porém, não tratar a certificação como único critério: experiência prática, capacidade de comunicação e entendimento do negócio continuam sendo diferenciais decisivos.
—
SmarterMail corrige vulnerabilidade crítica de execução remota (CVE-2026-24423)
A SmarterTools lançou uma rodada importante de correções para sua plataforma de e-mail SmarterMail, fechando falhas graves que permitiam a execução remota de código sem autenticação. A principal vulnerabilidade, catalogada como CVE-2026-24423, alcançou pontuação CVSS 9,3, o que a coloca entre as falhas mais críticas da escala.
O problema afetava versões anteriores ao Build 9511. Um invasor podia fazer com que a instância vulnerável do SmarterMail se conectasse a um servidor HTTP malicioso sob seu controle. Esse servidor, por sua vez, respondia com comandos que eram interpretados e executados diretamente pela aplicação, abrindo caminho para tomada de controle do servidor de e-mail.
Na mesma atualização, liberada em 15 de janeiro de 2026, foi corrigida outra falha igualmente crítica: a CVE-2026-23760, que já estava sendo explorada ativamente por agentes maliciosos. Esse fator elevou sensivelmente a urgência da aplicação de patches, já que, além do risco teórico, havia evidências concretas de campanhas em andamento mirando a plataforma.
—
Falha de gravidade média com impacto em NTLM e SMB (CVE-2026-25067)
Além das duas vulnerabilidades críticas, a SmarterTools também tratou um problema classificado como gravidade média, identificado como CVE-2026-25067. Embora sua pontuação seja inferior às demais, o impacto prático não pode ser subestimado, especialmente em ambientes Windows.
Essa brecha permitia que entradas base64 manipuladas fossem interpretadas como caminhos de sistema de arquivos. Em cenários Windows, isso podia forçar a aplicação a iniciar conexões SMB com servidores remotos, potencialmente controlados por invasores. O resultado: possibilidade de coerção de credenciais e abuso de autenticação de rede via NTLM relay, o que pode abrir portas para movimentos laterais e escalonamento de privilégios.
As vulnerabilidades foram identificadas por especialistas das empresas watchTowr, CODE WHITE GmbH e VulnCheck, reforçando o papel da pesquisa independente na descoberta responsável de falhas. Todas as correções foram consolidadas até o Build 9518 do SmarterMail, lançado em 22 de janeiro de 2026.
—
Medidas recomendadas para administradores do SmarterMail
Diante da combinação de vulnerabilidades críticas em exploração ativa e falhas que afetam mecanismos de autenticação, administradores de sistemas que utilizam SmarterMail devem:
– Atualizar imediatamente para o Build 9518 ou superior.
– Revisar logs de acesso e eventos em busca de comportamentos anômalos desde antes da data de divulgação das falhas.
– Verificar configurações de autenticação e compartilhamentos de rede, especialmente em ambientes Windows.
– Avaliar a necessidade de rotação de credenciais sensíveis, incluindo contas de serviço e senhas administrativas.
– Reforçar segmentação de rede, restringindo o acesso do servidor de e-mail a apenas o estritamente necessário.
Em ambientes onde houver qualquer suspeita de comprometimento, a abordagem mais prudente é tratar o servidor como potencialmente violado, aplicar procedimentos de resposta a incidentes e, se preciso, reconstruir a infraestrutura a partir de backups confiáveis.
—
Ivanti corrige duas vulnerabilidades críticas no EPMM (CVE-2026-1281 e CVE-2026-1340)
Outra frente de preocupação vem da Ivanti, que liberou atualizações emergenciais para o Endpoint Manager Mobile (EPMM). Duas falhas críticas, CVE-2026-1281 e CVE-2026-1340, receberam pontuação CVSS 9,8 e permitem execução remota de código sem autenticação, o que as coloca entre os cenários de maior risco para ambientes corporativos.
As vulnerabilidades afetam diversas versões do EPMM e estão ligadas a recursos de:
– Distribuição de aplicativos internos.
– Configuração de transferência de arquivos em dispositivos Android.
A gravidade do problema levou autoridades internacionais a colocarem pelo menos uma dessas falhas em listas oficiais de vulnerabilidades ativamente exploradas, o que indica que grupos maliciosos já estavam utilizando exploits em ataques reais no momento da divulgação.
Segundo a Ivanti, outras soluções da empresa, como Ivanti Neurons e Ivanti Sentry, não foram impactadas por essas falhas específicas. Ainda assim, o EPMM é frequentemente integrado a ambientes complexos de mobilidade corporativa, o que amplia o potencial de danos em caso de exploração bem-sucedida.
—
Persistência por web shells e reverse shells e recomendações de resposta
Caso as vulnerabilidades no EPMM sejam exploradas, o invasor pode obter execução arbitrária de código no dispositivo ou servidor alvo, comprometendo não apenas a ferramenta de gestão, mas também dados sensíveis presentes nos dispositivos móveis gerenciados.
A Ivanti destacou que métodos comuns de persistência observados em incidentes incluem:
– Instalação de web shells em servidores expostos.
– Configuração de reverse shells para manter um canal de controle discreto sobre o ambiente.
Para reduzir riscos, a orientação é:
– Aplicar os patches entregues em formato RPM o quanto antes, lembrando que eles não persistem após upgrades de versão e precisam ser reaplicados.
– Analisar logs de acesso do Apache em busca de padrões suspeitos de requisições, parâmetros anômalos ou acessos em horários inusitados.
– Revisar configurações administrativas, políticas de autenticação, perfis de dispositivos e fluxos de distribuição de aplicativos móveis em busca de alterações não autorizadas.
– Em caso de indício de comprometimento, restaurar o ambiente a partir de backup confiável ou reconstruir a infraestrutura, redefinir senhas, revogar certificados públicos e revisar contas de serviço e chaves de acesso.
Essa abordagem mais rígida pode parecer drástica, mas é coerente com o nível de risco associado a falhas que permitem RCE sem autenticação em componentes centrais de gestão de endpoints.
—
Grupo ligado ao FSB ataca infraestrutura energética da Polônia
No cenário geopolítico, a Polônia relatou uma série de ataques cibernéticos coordenados contra sua infraestrutura energética, atribuídos a um grupo de hackers apoiado pelo serviço de inteligência russo. Os incidentes, ocorridos em 29 de dezembro de 2025, miraram:
– Mais de 30 usinas de geração de energia eólica e solar.
– Uma empresa do setor industrial.
– Uma central de cogeração responsável pelo fornecimento de calor para quase meio milhão de pessoas.
De acordo com o CERT local, os ataques são atribuídos ao grupo conhecido como Static Tundra, também chamado em outros relatórios de Berserk Bear, Dragonfly e Energetic Bear, todos tradicionalmente associados ao FSB, o Serviço Federal de Segurança da Rússia.
—
Objetivo destrutivo e uso de malwares de wipe
A motivação aparente das operações era a destruição de sistemas e dados. Ainda que a produção de energia em si não tenha sido interrompida, houve impacto relevante na comunicação entre as usinas e o operador da rede de distribuição, o que poderia, em outros cenários, abrir brechas para problemas de estabilidade no fornecimento.
Na central de cogeração, houve uma tentativa específica de sabotagem voltada a afetar o fornecimento de aquecimento à população. As medidas de proteção existentes e a atuação das equipes técnicas impediram que o serviço fosse de fato interrompido, mas o episódio reforça a intenção de causar danos físicos e sociais, indo além do mero roubo de dados.
Os invasores conseguiram:
– Comprometer redes internas de diversas organizações envolvidas.
– Corromper firmwares de dispositivos.
– Deletar arquivos de sistema.
– Implantar malwares destrutivos, como o DynoWiper, detectado por empresas especializadas em segurança.
Malwares do tipo wiper são particularmente perigosos em infraestruturas críticas, pois, em vez de buscar benefício financeiro direto, visam tornar sistemas inoperantes, apagando dados e comprometendo a capacidade de recuperação.
—
Lições para o Brasil: proteção de infraestruturas críticas
Os ataques à infraestrutura energética polonesa e outros casos recentes em setores de saúde, transporte e saneamento ao redor do mundo mostram que:
– Infraestruturas críticas deixaram de ser apenas alvo teórico e passaram a compor a rotina de operações ofensivas conduzidas por Estados-nação e grupos apoiados por eles.
– A fronteira entre conflito cibernético e impacto físico é cada vez mais tênue: ataques digitais podem causar apagões, interrupções em serviços médicos, falhas em sistemas de abastecimento e efeitos cascata em toda a economia.
– A ausência de um marco robusto de responsabilização e de exigência mínima de controles torna países e empresas mais vulneráveis, tanto tecnicamente quanto institucionalmente.
Para o Brasil, isso reforça a urgência de:
– Estabelecer obrigações claras de reporte de incidentes em infraestruturas críticas.
– Definir responsabilidades explícitas entre operadores privados, órgãos reguladores e instâncias de coordenação de segurança nacional.
– Incentivar avaliações independentes regulares (incluindo testes de intrusão em ambientes industriais e SCADA, onde aplicável).
– Investir na formação de equipes multidisciplinares que entendam tanto de tecnologia quanto de operação de sistemas industriais e de utilidade pública.
—
Caminhos práticos para quem atua na linha de frente
Independentemente do porte da organização, algumas diretrizes gerais ajudam a reduzir exposição a riscos como os descritos neste boletim:
– Gestão rigorosa de vulnerabilidades: manter inventário atualizado, aplicar patches rapidamente para falhas críticas e priorizar sistemas expostos à internet e componentes de gerenciamento central.
– Segregação de ambientes: separar redes administrativas, usuários finais, ambientes industriais (OT) e sistemas de gestão, limitando o impacto de uma eventual invasão.
– Monitoramento contínuo: correlacionar logs de aplicações, sistemas operacionais, firewalls e proxies para identificar padrões anômalos e possíveis sinais de exploração.
– Planos de resposta e continuidade: ter procedimentos claros para isolar sistemas comprometidos, recuperar serviços e comunicar stakeholders, inclusive reguladores, quando aplicável.
– Treinamento e conscientização: ensinar equipes técnicas e de negócio a reconhecerem sinais de ataques, especialmente em funções sensíveis como administração de e-mail, gestão de mobilidade e operação de infraestruturas essenciais.
Em um ambiente em que vulnerabilidades críticas são descobertas e exploradas em questão de dias, e no qual atores estatais e grupos avançados miram alvos estratégicos, a combinação de tecnologia adequada, processos maduros e profissionais qualificados deixa de ser diferencial competitivo e passa a ser questão de sobrevivência operacional.