Boletim Diário de Cibersegurança – edição Brasil
Brasil segue sem um marco robusto de responsabilização por incidentes cibernéticos em infraestruturas críticas, enquanto ataques avançados e falhas graves em softwares amplamente utilizados continuam a ser explorados em ritmo acelerado. Em paralelo, o mercado nacional vê crescer o número de empresas de cibersegurança de fachada, ao mesmo tempo em que surgem novas certificações em cibersegurança ofensiva voltadas ao público brasileiro. O cenário exige atenção redobrada de gestores, administradores de TI e responsáveis por compliance.
—
SmarterMail corrige falha crítica de execução remota sem autenticação
A SmarterTools disponibilizou uma rodada importante de atualizações de segurança para o SmarterMail, sua solução de e-mail corporativo, depois da descoberta de múltiplas vulnerabilidades graves. O destaque é a falha identificada como CVE-2026-24423, com pontuação CVSS 9,3, que permitia execução remota de código (RCE) sem qualquer necessidade de login.
O problema afetava versões anteriores ao Build 9511. Nessas versões, um invasor conseguia forçar a aplicação a se conectar a um servidor HTTP malicioso. A partir daí, esse servidor mal-intencionado fornecia comandos que eram tratados como instruções legítimas pelo SmarterMail vulnerável, possibilitando o controle remoto do servidor de e-mail.
A atualização liberada em 15 de janeiro de 2026 também tratou outra brecha crítica, a CVE-2026-23760, que já vinha sendo ativamente explorada por criminosos digitais, elevando o nível de urgência para a aplicação dos patches. Em cenários de e-mail corporativo, isso significa risco direto a caixas de mensagens, credenciais, dados sensíveis e, em muitos casos, à própria infraestrutura interna da organização.
Além desses problemas críticos, a empresa corrigiu ainda uma vulnerabilidade de severidade média, catalogada como CVE-2026-25067. Essa falha permitia o abuso de caminhos não autenticados, abrindo espaço para ataques como coerção de credenciais e NTLM relay, técnica frequentemente utilizada para autenticação indevida em ambientes Windows.
O vetor de ataque se baseava em entradas codificadas em base64, que eram interpretadas como caminhos de sistema de arquivos. Em servidores Windows, essa interpretação forçada desencadeava requisições SMB para endereços controlados pelos atacantes. Essa interação de rede podia expor hashes de credenciais ou permitir outros tipos de exploração direcionada.
As vulnerabilidades foram identificadas por especialistas das empresas watchTowr, CODE WHITE GmbH e VulnCheck, demonstrando a importância da pesquisa de segurança independente. Segundo a SmarterTools, todas as brechas foram completamente corrigidas até o Build 9518, disponibilizado em 22 de janeiro de 2026.
Para administradores de sistemas, a mensagem é clara: em um cenário com múltiplas falhas críticas, algumas já exploradas no mundo real, é imprescindível aplicar imediatamente as atualizações até o Build 9518 ou superior. Adiar o patch abre uma janela de oportunidade para compromissos completos da infraestrutura de e-mail, muitas vezes usada como ponto de entrada para ataques mais profundos na rede.
—
Ivanti EPMM: duas falhas críticas em exploração ativa
A Ivanti também precisou reagir rapidamente após a descoberta de duas vulnerabilidades críticas em sua plataforma Endpoint Manager Mobile (EPMM), amplamente usada para gestão de dispositivos móveis corporativos. As falhas, identificadas como CVE-2026-1281 e CVE-2026-1340, receberam pontuação CVSS 9,8 e permitem execução remota de código não autenticada.
Os problemas afetam múltiplas versões do EPMM e estão ligados, principalmente, a funcionalidades de distribuição de aplicativos internos e à configuração de transferência de arquivos em dispositivos Android. Na prática, um invasor remoto poderia explorar essas brechas para executar comandos arbitrários, comprometendo o servidor EPMM e, potencialmente, os dispositivos móveis sob sua gestão.
Devido à gravidade e à comprovação de exploração ativa, uma das vulnerabilidades foi incluída no catálogo oficial de falhas exploradas no mundo real de uma agência de segurança dos Estados Unidos, o que costuma servir de alerta global a organizações públicas e privadas.
A Ivanti ressaltou que outras soluções da empresa, como Ivanti Neurons e Ivanti Sentry, não foram afetadas por essas vulnerabilidades. Os patches foram distribuídos por meio de pacotes RPM, mas com um ponto de atenção: as correções não permanecem aplicadas automaticamente após upgrades de versão do EPMM, exigindo que os administradores reapliquem os patches sempre que atualizarem o sistema.
Em caso de exploração bem-sucedida, o atacante poderia estabelecer persistência por meio da instalação de web shells ou reverse shells, ganhando controle contínuo sobre o ambiente. Dessa forma, além da própria plataforma EPMM, ficam em risco dados sensíveis dos dispositivos gerenciados, como informações corporativas, credenciais e configurações de segurança.
A Ivanti orientou os clientes a:
– Revisar cuidadosamente os logs de acesso do Apache em busca de padrões suspeitos relacionados às CVEs mencionadas.
– Checar configurações administrativas, políticas de autenticação e regras de push de aplicativos móveis, verificando alterações que não tenham sido aprovadas por administradores legítimos.
– Em caso de qualquer sinal de comprometimento, restaurar o ambiente a partir de backups confiáveis ou, se necessário, reconstruir a infraestrutura afetada.
– Redefinir senhas, revogar certificados públicos possivelmente expostos e revisar o conjunto de contas de serviço e privilégios associados.
—
Ataques a infraestrutura energética na Polônia atribuídos a grupo ligado ao FSB
Na esfera geopolítica, o governo da Polônia atribuiu a um grupo de hackers apoiado pelo serviço de inteligência russo uma série de ataques coordenados contra o setor de energia do país. As ações ocorreram em 29 de dezembro de 2025 e atingiram mais de 30 usinas eólicas e solares, uma empresa industrial e uma central de cogeração responsável pelo abastecimento de calor a quase meio milhão de pessoas.
De acordo com o CERT Polska, os ataques foram conduzidos por um grupo conhecido como Static Tundra, que também aparece em outros relatórios sob nomes como Berserk Bear, Dragonfly e Energetic Bear, todos tradicionalmente associados ao Serviço Federal de Segurança da Rússia (FSB). O objetivo aparente das ações era a destruição de sistemas e dados, em um contexto de guerra híbrida e pressão sobre infraestruturas críticas europeias.
Embora a produção de energia em si não tenha sido interrompida, houve falhas de comunicação entre as usinas e o operador da rede de distribuição, o que poderia, em um cenário mais grave, dificultar o controle e o monitoramento em tempo real da malha energética. Na central de cogeração, houve uma tentativa de sabotagem que, felizmente, não conseguiu interromper o fornecimento de calor aos usuários finais.
Os invasores conseguiram comprometer redes internas, corromper firmwares, apagar arquivos de sistema e implantar malwares destrutivos, incluindo o DynoWiper, identificado por pesquisadores de segurança. Esse tipo de malware é desenhado para apagar dados e tornar sistemas inoperantes, ao contrário de campanhas focadas apenas em espionagem ou roubo de informações.
O episódio reforça a tendência de ataques cibernéticos a infraestruturas críticas, nas quais, muitas vezes, o alvo não é apenas a TI tradicional, mas também os ambientes OT (Operational Technology) e sistemas industriais. A combinação de acesso remoto, firmware corrompido e malwares destrutivos aponta para um nível de preparo avançado e forte motivação política.
—
Brasil: lacuna regulatória e responsabilização por incidentes em infraestruturas críticas
Enquanto ataques a setores de energia, telecomunicações e transporte explodem ao redor do mundo, o Brasil ainda não dispõe de um marco robusto e específico de responsabilização para incidentes cibernéticos em infraestruturas críticas. Há normas setoriais, resoluções de órgãos reguladores e diretrizes gerais de segurança da informação, mas o arcabouço segue fragmentado.
Na prática, isso deixa zonas cinzentas em temas como:
– Dever de reporte de incidentes em prazos definidos.
– Padrões mínimos de proteção e segmentação de redes OT/IT.
– Responsabilidades contratuais entre operadores, fornecedores e terceiros.
– Penalidades claras para negligência grave em segurança cibernética.
Para empresas que operam nesses setores, adotar boas práticas internacionais (como segmentação rígida entre redes operacionais e corporativas, planos de resposta a incidentes e testes regulares de resiliência) deixa de ser diferencial competitivo e passa a ser medida de sobrevivência. Mesmo sem exigência legal detalhada, reguladores e o mercado tendem a punir duramente organizações que negligenciam o gerenciamento de risco cibernético.
—
Cuidado com empresas de cibersegurança de fachada
Em paralelo ao aumento de ataques, o mercado brasileiro de cibersegurança cresce rapidamente — e com ele surgem empresas de fachada ou consultorias com qualificação questionável, que exploram o medo de incidentes para vender soluções milagrosas.
Alguns sinais de alerta para identificar fornecedores pouco confiáveis:
1. Promessas irreais
Garantias de “segurança 100%”, “blindagem total” ou “imunidade a ataques” são tecnicamente falsas. Segurança é sempre gestão de risco, não eliminação absoluta de ameaças.
2. Ausência de equipe técnica comprovada
Falta de nomes de especialistas, currículo dos responsáveis ou histórico de projetos é um forte indicativo de baixa maturidade ou atuação apenas comercial.
3. Relatórios superficiais
Laudos que se limitam a checklists genéricos, sem detalhes de metodologia, evidências ou recomendações específicas para o ambiente avaliado, indicam serviço de baixo valor real.
4. Foco apenas em ferramentas, não em processos
Propostas que giram exclusivamente em torno da venda de um produto (antivírus, firewall, SIEM), sem falar de governança, políticas, treinamento e resposta a incidentes, tendem a não resolver o problema de fundo.
Ao selecionar uma empresa de cibersegurança, é importante avaliar certificações reconhecidas, experiência prática, referências de clientes, postura ética e capacidade de dialogar com áreas técnicas e de negócios, não apenas com o departamento de compras.
—
Nova certificação de Cibersegurança Ofensiva para o mercado brasileiro
A crescente complexidade dos ataques tem impulsionado também a busca por profissionais especializados em cibersegurança ofensiva — área que inclui testes de invasão (pentest), red teaming e simulações avançadas de ataque.
Nesse contexto, surge uma nova certificação de Cibersegurança Ofensiva voltada ao mercado brasileiro, com foco em:
– Técnicas modernas de exploração de vulnerabilidades em ambientes web, rede, cloud e mobile.
– Entendimento profundo de metodologias de pentest e frameworks de ataque.
– Capacidade de produzir relatórios úteis para a gestão de riscos e não apenas para o time técnico.
– Contextualização com a legislação local, boas práticas de contratação de serviços ofensivos e limites éticos e legais.
Para profissionais, certificações desse tipo ajudam a validar competências e se destacar em um mercado competitivo. Para empresas, contar com especialistas certificados aumenta a chance de que os testes ofensivos sejam realizados com metodologias sólidas, gerando resultados acionáveis e reduzindo riscos de danos colaterais ou de uso indevido do conhecimento obtido.
—
Boas práticas imediatas para organizações brasileiras
Diante do conjunto de fatos abordados — falhas críticas em softwares amplamente usados, ataques a infraestruturas críticas e cenário regulatório em evolução — algumas medidas práticas se destacam para organizações no Brasil:
– Gestão de patches rigorosa: manter inventário atualizado de sistemas, aplicar correções em janelas bem definidas e monitorar comunicados de segurança de fornecedores.
– Segmentação de redes: separar claramente ambientes de e-mail, aplicações críticas, estações de trabalho e, quando aplicável, redes industriais.
– Monitoramento e detecção: implantar registros de log robustos e mecanismos de correlação e alerta para atividades anômalas.
– Planos de resposta a incidentes: definir fluxos de decisão, responsáveis, comunicação interna e externa, bem como procedimentos de contenção e recuperação.
– Treinamento contínuo: capacitar equipes técnicas e de negócios para reconhecer ameaças, responder a tentativas de phishing e seguir políticas de segurança.
Organizações que combinam tecnologia, processos maduros e equipes bem treinadas tendem a reduzir consideravelmente o impacto de incidentes, mesmo quando exploram vulnerabilidades de dia zero ou campanhas de alto nível técnico.
—
Tendências e próximos passos
O panorama atual mostra que:
– Falhas críticas em softwares populares continuarão a surgir e a ser exploradas em prazos cada vez mais curtos.
– Atacantes ligados a Estados-nação seguirão mirando infraestruturas críticas, inclusive com malwares destrutivos.
– O Brasil precisa acelerar a definição de normas claras de responsabilização, sem sufocar a inovação, mas estabelecendo pisos mínimos de segurança para setores estratégicos.
– Profissionais qualificados em cibersegurança ofensiva e defensiva serão cada vez mais demandados, o que torna a formação e certificação elementos centrais da estratégia nacional de segurança digital.
Até que um marco regulatório mais robusto seja estabelecido, cabe às empresas — especialmente as que operam serviços essenciais — assumir uma postura proativa: tratar segurança cibernética como assunto de governança corporativa, não apenas como um detalhe técnico delegado ao time de TI.