Durante o evento Protect Tour, realizado em São Paulo, executivos da Proofpoint detalharam as descobertas mais recentes da empresa sobre o cenário de ameaças no Brasil. Segundo Marcelo Bezerra, especialista em cibersegurança da companhia, o grupo TA2725 continua sendo o mais ativo da América Latina e o segundo no ranking global.
A atuação do grupo envolve campanhas de phishing que combinam e-mails fraudulentos com páginas falsas de instituições conhecidas. Esses ataques têm como objetivo o roubo de credenciais bancárias, senhas e tokens, com posterior controle remoto dos dispositivos das vítimas. "Eles se organizaram de forma profissional, com divisão clara de funções. Há quem desenvolva ferramentas, quem as use, e até quem revenda dados ou execute a retirada de dinheiro com apoio do crime organizado", afirmou Rogério Morais, vice-presidente da Proofpoint para América Latina e Caribe.
A Proofpoint destaca que, apesar da evolução dos ataques, o vetor humano segue sendo o elo mais explorado. "Monitoramos os ataques que começam com engenharia social, como e-mails maliciosos ou mensagens com senso de urgência, que induzem o usuário ao erro", explica Bezerra. Ele também reforça que a Proofpoint investe em inteligência de ameaças e usa IA para interpretar o contexto dos e-mails, não apenas as palavras, o que permite identificar tentativas de fraude mais sofisticadas.
A empresa ainda ressalta a importância da análise contextual para detectar fraudes mais sutis, como os casos de Business Email Compromise, em que criminosos simulam comunicações legítimas para solicitar transferências bancárias. Segundo os executivos, há um esforço constante em atualizar as tecnologias de proteção, uma vez que os cibercriminosos também evoluem rapidamente.
"Hoje, o e-mail é peça-chave no processo de negócio das empresas. Não se trata mais de spam ou incômodos — são ataques direcionados a processos críticos, como o pagamento de fornecedores", alerta Morais. A Proofpoint também destaca a relevância de sua rede global, com mais de 2 milhões de clientes e parcerias que possibilitam o compartilhamento de informações sobre ataques, reforçando a segurança de toda a cadeia.
O levantamento indica que aproximadamente 70% das cargas de trabalho de IA em nuvem analisadas contêm pelo menos uma vulnerabilidade não corrigida. Entre elas, destaca-se a CVE-2023-38545, falha crítica relacionada ao uso da ferramenta cURL, presente em 30% das cargas inspecionadas. A falha permite execução remota de código e acesso completo ao sistema.
Outro ponto de alerta é o uso crescente de ferramentas de gerenciamento remoto por agentes de ameaça, especialmente o ScreenConnect, empregado recentemente pelo TA2725 em campanhas no México. Essas ferramentas, normalmente utilizadas por administradores de TI, estão sendo exploradas para obter acesso inicial, roubar dados e instalar malwares, inclusive ransomware. De acordo com a pesquisa, Fleetdeck, Atera e ScreenConnect substituem soluções antes mais comuns, como o NetSupport.
Além dos riscos técnicos, a pesquisa reforça a importância da educação do usuário. "Uma estratégia eficaz de cibersegurança começa pelas pessoas", afirmou Marcos Nehme, diretor de vendas da Proofpoint, ao destacar que o fortalecimento da segurança passa por capacitação, monitoramento de atividades suspeitas e proteção das plataformas de e-mail corporativo.
