Panorama del cibercrimen en América Latina y el Caribe

Resumo executivo Este relatório apresenta uma visão geral das tendências e desenvolvimentos no ecossistema do cibercrime na América Latina e Caribe (LAC) em 2025. O Insikt Group descobriu que os agentes de ameaças que operam na região da América Latina e Caribe (LAC) ou que a têm como alvo usam predominantemente aplicações cliente-servidor e plataformas de mensagens criptografadas de ponta a ponta, como o Telegram, bem como a dark web estabelecida em inglês ou russo e fóruns de acesso restrito, para se comunicarem e realizarem atividades. Os agentes de ameaças demonstram crescente sofisticação nas operações, adaptando táticas, técnicas e procedimentos (TTPs) ao longo do tempo, embora ainda dependam principalmente de métodos tradicionais, como phishing e engenharia social, distribuição de malware e ransomware. Com base na nossa análise, determinamos que Brasil, México e Argentina foram os países mais visados por cibercriminosos com motivação financeira, provavelmente por serem as maiores economias da América Latina e Caribe. Além disso, com base nesta pesquisa, o Insikt Group descobriu que os agentes de ameaças frequentemente visavam a setores críticos, como saúde, finanças e governo, pois esses setores detêm dados valiosos, enfrentam urgências operacionais e, às vezes, dependem de sistemas legados que podem ser vulneráveis. Principais descobertas O Insikt Group avalia que o fórum criminoso DarkForums e a plataforma de mensagens Telegram são os principais fóruns de acesso restrito e plataformas de comunicação usados por agentes maliciosos que operam na região da América Latina e Caribe ou que têm essa região como alvo. Os agentes de ameaça que operam na América Latina e Caribe (LAC) ou que têm como alvo a região são geralmente motivados por interesses financeiros e frequentemente adotam engenharia social, ransomware e várias formas de malware em aparelhos móveis, a fim de terem acesso inicial a instituições governamentais, financeiras e de saúde. Em 2025, o Insikt Group registrou 452 incidentes de ransomware que afetaram a região da América Latina e Caribe. Os cinco setores mais afetados foram saúde, manufatura, governo, tecnologia da informação e educação, que registraram um aumento considerável nos ataques em comparação ao ano anterior. O Insikt Group continuou a identificar trojans bancários sendo usados por agentes de ameaças; os mais usados são as variantes já estabelecidas. Especificamente, os agentes maliciosos usaram trojans bancários em campanhas de smishing direcionadas a usuários do WhatsApp para terem acesso a dados financeiros e roubarem credenciais. O Insikt Group identificou o LummaC2 como o ladrão de informações (infostealer) mais prolífico, afetando organizações na América Latina e Caribe no primeiro semestre de 2025; e o Vidar no segundo semestre, após a desarticulação das atividades do LummaC2 pelas autoridades policiais. Histórico Após a pandemia de covid-19, a região da América Latina e Caribe (LAC) passou por um rápido desenvolvimento digital, que superou a maturidade em segurança. Isso levou à adoção assimétrica da nuvem, à dependência de infraestrutura legada e à introdução do trabalho remoto em todos os setores. Muitas organizações adotaram plataformas de software como serviço (SaaS) sem implementar efetivamente controles de acesso robustos nem métodos de autenticação multifator (MFA), ficando expostas a ransomware e roubo de dados, entre outros ciberataques. A instabilidade econômica (inflação e controle cambial) nos países da LAC criou incentivos para o cibercrime, ao mesmo tempo que enfraqueceu as defesas institucionais. A volatilidade política, os protestos sociais e a corrupção criaram novas oportunidades para agentes de ameaças com motivações financeiras e políticas. Fatores agravados, como o alto índice de desemprego entre os jovens, a desigualdade de renda e a influência da economia informal, levaram as pessoas a buscarem fontes alternativas de renda, o que, por sua vez, alimenta grande parte do cibercrime que vemos hoje. De acordo com um relatório do Fórum Econômico Mundial, 13% dos entrevistados na região da América Latina e Caribe expressaram baixa confiança na capacidade de seus países de responder a incidentes cibernéticos significativos. Apesar dos avanços consideráveis no governo digital, nas regulamentações e nos investimentos na região, muitos países ainda carecem da competência técnica dos funcionários e dos recursos necessários para fortalecer seus ambientes de forma sustentável. Muitas redes governamentais da América Latina e Caribe guardam grandes quantidades de dados sensíveis, mas apresentam deficiências nas melhores práticas de segurança, deixando esses sistemas vulneráveis a ciberataques. Grandes vazamentos de dados são rotineiramente divulgados, reciclados e revendidos em mercados da dark web, de modo que roubo de identidade, fraude de identidade sintética, troca de SIM e apropriação de contas, entre outros tipos de cibercrimes, prosperam em larga escala. Embora a região da América Latina e Caribe tenha visto avanços tecnológicos significativos, particularmente no setor de serviços financeiros, as inovações estão criando novos desafios. O setor de tecnologia financeira adotou aplicações de mobile banking, carteiras digitais e sistemas de pagamento imediato. Os países da América Latina e Caribe enfrentam cada vez mais fraudes cibernéticas no setor financeiro, pois os sistemas de pagamento em tempo real têm controles mais fracos na confirmação de identidade, de modo que as tentativas de engenharia social são mais eficazes. Sistemas de pagamento imediato, como o PIX no Brasil, e plataformas similares de mobile banking, são frequentemente alvos de agentes de ameaças. Com transações mais rápidas e em volumes maiores, os esforços para detecção e recuperação são cada vez mais complexos, e os golpes ficam mais lucrativos e amplos. A região da América Latina e Caribe (LAC) apresenta a taxa de crescimento mais rápida do mundo em incidentes cibernéticos divulgados, embora muitos continuem sem notificação. Apenas sete países da LAC têm planos para proteger a infraestrutura crítica dos ciberataques, e somente 20 contam com Equipes de Resposta a Incidentes de Cibersegurança (CSIRTs). Apesar de 31 países da LAC terem algum tipo de legislação que aborda o cibercrime, muitos enfrentam a escassez de profissionais qualificados, criando barreiras à aplicação da lei. Recursos limitados para as forças policiais e a cooperação interestadual pouco confiável atrasam ainda mais as investigações e os processos judiciais, de modo que os agentes de ameaças operem em diferentes jurisdições com relativa facilidade. A percepção cultural de que o cibercrime apresenta baixo risco e oferece alta recompensa afeta o efeito que uma ação policial confiável teria em dissuadir esse comportamento. Essa estrutura de incentivos, aliada à redução do estigma, encoraja a reincidência e o recrutamento, como refletido nas tendências de cibercrime observadas pelo Insikt Group em 2025. Atividades cibercriminosas na LAC Ao longo de 2025, o Insikt Group investigou e identificou diferentes tipos de cibercriminosos operando em fontes da clearnet e da dark web. Os cibercriminosos rotineiramente usavam phishing para terem acesso inicial; entre os métodos mais comuns observados estava a busca e coleta de informações sensíveis diretamente do sistema de arquivos ou dos bancos de dados de um host violado. Essa técnica é frequentemente uma etapa crítica de pré-exfiltração usada para capturar registros financeiros, senhas e outras formas de informações de identificação pessoal (PII), provavelmente para realizar apropriações de contas ou fraudes. A pesquisa do Insikt Group descobriu que os cibercriminosos também começaram a evoluir as TTPs (Táticas, Técnicas e Procedimentos) para explorar comunicações de campo próximo (NFC) para cometer fraudes financeiras e estão usando malware para atacar carteiras de criptomoedas. A inteligência do Insikt Group indica que os cibercriminosos estão interessados principalmente em vender bancos de dados violados e métodos de acesso, bem como em participar de coletivos hacktivistas. Em alguns casos, ameaças persistentes avançadas (APTs) também começaram a se sobrepor às atividades de cibercrime ao visarem a região. Fontes de cibercriminosos Os agentes de ameaças que operam na região da América Latina e Caribe (LAC) ou que a visam continuaram a depender da infraestrutura de fóruns estabelecidos em inglês e russo ao longo de 2025 (ver Apêndice A). O Insikt Group identificou postagens em espanhol e português em diversos fóruns estabelecidos na dark web e em fóruns de acesso restrito. Embora essas fontes sejam predominantemente em inglês e russo, as postagens provavelmente indicam uma preferência, entre os agentes de ameaças que visam a LAC, por plataformas mais estabelecidas e tradicionais para conduzir os negócios. A pesquisa mostrou que os fóruns de nível baixo a moderado são os mais usados por agentes de ameaças baseados em países da LAC ou que os visam, sugerindo níveis menores de sofisticação, já que fóruns de nível superior geralmente exigem aval, pagamento, demonstração de conhecimentos ou habilidades técnicas e, às vezes, convite privado para ter acesso. O Insikt Group avalia que a maioria das comunicações entre agentes de ameaças provavelmente ocorre em plataformas de mensagens criptografadas, como Telegram, WhatsApp e Signal, devido à rapidez, à facilidade de acesso e maior nível de confiança entre os membros dos grupos. Considerando os recursos de aprimoramento da privacidade oferecidos por muitas dessas plataformas, os esforços de coleta de dados podem ser significativamente mais restritos. O Telegram é predominantemente utilizado por oferecer maior capacidade para canais e grupos. Além disso, a criação da conta é simples, permite que os agentes maliciosos utilizem a automação e o suporte de bots nas atividades maliciosas, e a moderação de conteúdo é geralmente menos rigorosa do que em outras plataformas. Com essa menor resistência, os agentes de ameaças ainda têm a privacidade proporcionada pelas plataformas de mensagens criptografadas de ponta a ponta, sem atrasar as operações. Atores de ameaças com motivação financeira frequentemente anunciam diversos tipos de dados, incluindo informações pessoais identificáveis (PII), dados financeiros, credenciais de login, credenciais de acesso a sistemas, exploits e vulnerabilidades, malware, ransomware e tutoriais de hacking. Em alguns casos, o Insikt Group observou atores de ameaças vendendo o acesso a sistemas de gestão de relacionamento com o cliente (CRM); acesso a redes privadas virtuais (VPN) com privilégios de usuário de domínio e direitos de administrador local em um servidor de banco de dados; e acesso a comando e controle (C2) de entidades sediadas na LAC em 2025. Aproveitando-se desse acesso à informação, os cibercriminosos podem facilitar outros crimes, incluindo, entre outros, tentativas de extorsão, golpes de engenharia digital e social, implantação de ransomware, roubo de dados e apropriação de contas. Pesquisas do Insikt Group indicam que os agentes de ameaças geralmente anunciam bancos de dados e dados de cartões de pagamento violados porque podem ser lucrativos, exigem níveis relativamente baixos de sofisticação e são procurados por outros cibercriminosos. Os agentes de ameaças frequentemente visam a sistemas governamentais porque estes contêm dados altamente sensíveis que podem ser lucrativos para golpes, roubo de identidade ou extorsão. Por exemplo, logo após uma tensa eleição geral, a Assembleia Nacional do Equador relatou ter sofrido dois ciberataques para acessar dados confidenciais e interromper a disponibilidade de serviços de informação. Em outro exemplo, agentes de ameaças expuseram dados sensíveis de milhões de cidadãos paraguaios na dark web; entre os dados supostamente extraídos estão os números de identidade, datas de nascimento, endereços físicos e prontuários de saúde. O DarkForums foi o principal fórum da dark web e de acesso restrito onde o Insikt Group registrou o maior número de postagens relacionadas a eventos de cibercrimes em espanhol e português em 2025. Esse fórum, de baixo nível e em inglês, é operado por administradores que falam inglês, foi lançado em março de 2023 e é acessível via domínio da clearnet. Além disso, observou-se que o DarkForums hospedava bancos de dados vazados e violações de dados envolvendo países de língua espanhola, com postagens descrevendo a violação de milhares de registros e credenciais. Outros fóruns, como XSS, Exploit, RehubcomPro, Cracked, BreachForums 2, ProCrd e CrdPro, também estavam entre os principais fóruns com postagens em espanhol e português. O Apêndice A apresenta uma amostra de tópicos de fóruns em espanhol e português dessas fontes. Táticas e vetores dos ataques de cibercriminosos A região da LAC tem um longo histórico de cibercrimes com motivação financeira; como resultado, o Insikt Group observou nesta análise que os agentes de ameaças continuam a visar fortemente ao setor financeiro. Esses agentes geralmente se baseiam em métodos tradicionais de acesso inicial, como phishing via e-mail, SMS e mensagens do WhatsApp, personificação de instituições financeiras e solicitação de faturas ou pagamentos. Os agentes de ameaças distribuem iscas em links maliciosos que redirecionam para páginas de login falsas e contêm anexos maliciosos com links incorporados. Muitas dessas técnicas são eficazes contra entidades na região da LAC devido à forte dependência de e-mails e aplicações de mensagens para empresas, bem como à grande confiança nas comunicações com marca. A inteligência artificial (IA) trouxe métodos mais sofisticados no ecossistema cibercriminoso da LAC, reduzindo a barreira de entrada para os agentes de ameaças e aumentando significativamente a escalabilidade dos ataques graças à automação. A IA ajuda os agentes de ameaças a criar mensagens de phishing mais eficazes, que podem ser geradas em espanhol ou português nativos, sendo mais convincentes para o público-alvo da região. O advento da IA agêntica também traz novas oportunidades e vetores de ataque para grupos cibercriminosos explorarem e facilita enormemente o cibercrime como serviço. Grupos criminosos organizados integraram a IA nas operações para auxiliar no contrabando de drogas, na lavagem de dinheiro, em fraudes cibernéticas e no desenvolvimento de malware. Ao longo de 2025, o Insikt Group observou agentes de ameaças visando à região LAC por meio da violação de protocolos de área de trabalho remota (RDP), VPNs e painéis de administração web, além da obtenção de credenciais retiradas de infecções anteriores por infostealers, da reutilização de senhas, de ataques de força bruta e de outros pontos de acesso iniciais. Com base nos dados da Plataforma de Operações de Inteligência da Recorded Future, há aproximadamente 29 mil referências a credenciais relacionadas à LAC expostas no Russian Market. Essas credenciais expostas são de domínios pertencentes às principais organizações (em termos de receita) dos setores de saúde, governo e finanças nas cinco maiores economias da LAC. O Russian Market é um dos principais mercados da dark web para a venda e distribuição de logs de infostealers. A maioria desses logs era proveniente do LummaC2 e, depois, do Acreed Stealer, o que está de acordo com o que o Insikt Group observou na análise de logs adicionais de infostealers. É importante notar que muitas das 29 mil credenciais expostas provavelmente pertencem a clientes dessas organizações e não necessariamente a funcionários, visto que a Recorded Future não tem acesso aos endereços de domínio internos dos funcionários para buscar credenciais expostas; no entanto, esses endereços podem ser adicionados por um usuário final. O Insikt Group avalia que esses vetores de ataque provavelmente foram eficazes para infiltrar os sistemas dos alvos na região da LAC devido ao aumento da adoção do trabalho remoto, à infraestrutura legada em muitas instituições públicas e aos recursos e monitoramento limitados. Em canais do Telegram, o Insikt Group observou agentes de ameaças anunciando ferramentas de clonagem de cartões, envio em lote de SMS/e-mails, troca de SIM, assistência para hackers e outros serviços semelhantes. Em 2025, o Insikt Group observou um aumento em novos tipos de malware que exploram ativamente a tecnologia NFC. Identificado inicialmente pela Threat Fabric, o PhantomCard é um trojan para Android, notavelmente uma variante de um malware como serviço (MaaS) de retransmissão NFC originário da China, que tem como alvo principal clientes bancários no Brasil. O PhantomCard permite ataques de retransmissão ao obter dados NFC do cartão bancário da vítima e transmiti-los para o aparelho de um agente de ameaças para realizar transações em terminais de ponto de venda (PDV) ou caixas eletrônicos. O PhantomCard é distribuído em páginas da web maliciosas que se fazem passar por aplicações legítimas, induzindo as vítimas a aproximarem um cartão e informar o número de identificação pessoal (PIN) para autenticação. Uma vez obtidas de forma fraudulenta, as credenciais são repassadas aos atacantes. De forma semelhante, no fim de 2025, agentes de ameaças implantaram o RelayNFC, um malware para aparelhos móveis que visa aos cartões de pagamento sem contato, em uma campanha de phishing direcionada a usuários brasileiros. Essa evolução nas TTPs acompanha a mudança dos agentes de ameaças, que passaram da clonagem de dados de tarja magnética para a "invasão" de dados de chips EMV ( Europay, Mastercard e Visa) no ecossistema de fraudes em pagamentos, visto que soluções exclusivas aos cibercriminosos geralmente acompanham novas inovações em segurança. De acordo com o Relatório Anual de Atividades de Cibercriminosos com Criptomoedas de 2025, o Insikt Group observou consistentemente atividades em que carteiras de criptomoedas foram alvo de vários tipos de malware, como drainers, clippers e miners, para roubar fundos. Dado o atraso persistente nas medidas de cibersegurança na LAC e o rápido crescimento do mercado de criptomoedas na região, os usuários podem ser alvos atraentes para cibercriminosos. Os cinco principais países da LAC que dominam o ecossistema de criptomoedas são Brasil, Argentina, México, Venezuela e Colômbia. No entanto, o Brasil é o líder incontestável, respondendo por um terço da atividade total com criptomoedas. O Insikt Group avalia que, à medida que a adoção generalizada das criptomoedas continua, os agentes de ameaças provavelmente buscarão alvos nesses países, já que o conhecimento e as práticas de segurança entre a base de usuários nessas regiões provavelmente serão deficientes. Além disso, assim como ocorre com agentes de ameaças em outras regiões do mundo, aqueles que visam à LAC quase certamente usarão esse meio de troca para transacionar e lavar fundos ilícitos. À medida que os países continuam a adotar novas regulamentações e a adotar novas formas de criptomoeda, esperamos que os agentes de ameaças identifiquem novos vetores de exploração. A partir de 2025, Argentina, Brasil, Colômbia, Equador, Paraguai, Trinidad e Tobago, Uruguai e Venezuela participarão da fase piloto inaugural da Interpol para o novo Alerta Prata (Silver Notice), que será publicado para “rastrear e recuperar ativos criminosos, combater o crime organizado transnacional e aprimorar a cooperação policial internacional”, provavelmente incluindo ativos em criptomoedas, caso estejam vinculados a proventos de atividades criminosas. Ameaças persistentes avançadas (APTs) e cibercrimes Ao longo de 2025, o Insikt Group observou um aumento na atividade de APTs (Ameaças Persistentes Avançadas) direcionadas à região da América Latina e Caribe, utilizando métodos tradicionais de cibercrime, como phishing e ransomware. Isso sugere que alguns grupos de APTs podem ter motivações financeiras que vão além da busca por influência geopolítica estratégica. APTs proeminentes, como o Dark Caracal, realizaram espionagem cibernética e distribuíram o Poco RAT via phishing com temática financeira. O TAG-144 (Blind Eagle) teve como alvo principal entidades governamentais em países da América do Sul, notadamente a Colômbia, utilizando TTPs como spearphishing e trojans de acesso remoto (RATs) em campanhas que combinam espionagem e motivações financeiras. O Insikt Group avalia que algumas atividades patrocinadas pelo Estado chinês provavelmente visam a proteger investimentos econômicos na região, como a Iniciativa Cinturão e Rota (BRI), empréstimos soberanos e interesses comerciais generalizados. Além dos grupos APT mencionados acima, grupos patrocinados pelo Estado chinês também estão visando a entidades em países da LAC. O grupo TAG-141 (FamousSparrow) utilizou o malware SparrowDoor contra entidades no México, na Argentina e Chile. O grupo Storm-2603 (Gold Salem) implantou ransomware, incluindo Warlock, LockBit e Babuk, visando a múltiplos setores, como agricultura, governo, energia e recursos naturais e telecomunicações, nas regiões da LAC e da Ásia-Pacífico (APAC). Essa atividade pode indicar que a China busca manter influência na região da LAC via cibercrime ou que está interessada em ganhos financeiros. Hacktivismo A região da LAC tem vivenciado repetidamente períodos de complexa agitação política e social, alimentados por debates sobre reformas econômicas, corrupção e desigualdade. Diferente do cibercrime com motivação financeira, o hacktivismo tende a ser político ou ideológico, e essas condições tensas podem criar um ambiente propício para o aumento do hacktivismo. No fim de 2025, o Insikt Group observou um aumento na atividade do Chronus Team, grupo hacktivista conhecido por ataques de desfiguração e vazamentos de dados com o objetivo de expor vulnerabilidades na segurança, visando principalmente a organizações no México. O grupo usa canais do Telegram para comunicação e propaganda. Ele se aliou informalmente a outros grupos hacktivistas e cibercriminosos, como Elite 6-27 e Sociedad Privada 157, para ganhar atenção e aumentar sua reputação. O Insikt Group observou outra tendência em que vários grupos hacktivistas começaram a migrar para o ransomware como serviço (RaaS) para obter ganhos financeiros. Um desses grupos hacktivistas, o “FiveFamilies”, funciona como um coletivo de vários grupos; algumas das entidades visadas incluíam aquelas localizadas em Cuba e no Brasil. Figura 1: Ataque hacker e desfiguração do site de transparência orçamentária do município de Hermosillo, em Sonora (México), realizado pela equipe Chronus (Fonte: mídias sociais) Tendências de malware Em 2025, o Insikt Group observou um aumento na atividade de ransomware visando a organizações na região da LAC. Além disso, os trojans bancários também continuaram a afetar os países da LAC, com o Insikt Group observando um aumento nas campanhas que usam especificamente o WhatsApp para distribuição. Os infostealers continuaram como muito usados como facilitadores de acesso inicial na região da LAC. As botnets cresceram na região em grande parte devido a aparelhos de pequenos escritórios/escritórios domésticos (SOHO), como roteadores e outros aparelhos da Internet das Coisas (IoT) com segurança fraca, firmware desatualizado e dependência de credenciais padrão. A atividade de botnets pode contribuir para o roubo de credenciais, a propagação de campanhas de phishing, a distribuição de spam, a apropriação e o abuso de endereços IP residenciais e a viabilização de ataques de negação de serviço distribuído (DDoS). O Insikt Group também observou agentes de ameaças visando a terminais de pagamento em 2025 com malware para caixas eletrônicos e pontos de venda. Ransomware Em 2025, o Painel de Análise Global de Ransomware da Recorded Future registrou 452 incidentes de ransomware afetando a região da LAC, de um total de 7.346 em todo o mundo, com base em todas as vítimas de ransomware publicamente conhecidas e listadas em blogs relacionados. Os ataques a entidades na região da LAC representaram pouco mais de 6% de todos os ataques globais de ransomware em 2025. Os cinco setores mais afetados por ransomware na região da LAC em 2025 foram Saúde (36 ataques), Manufatura (49 ataques), Governo (28 ataques), Tecnologia da Informação (21 ataques) e Educação (20 ataques), conforme mostra a Figura 3. A pesquisa do Insikt Group sobre ransomware na região da LAC abrange 27 dos 33 países constituintes. O Insikt Group não obteve dados sobre ransomware de Antígua e Barbuda, Belize, Cuba, São Cristóvão e Névis, Santa Lúcia e Suriname em 2025. Figura 2: Visão geral do panorama global de ransomware no painel de controle, apresentando as métricas de ataque dos cinco principais grupos de ransomware que impactam a América Latina e o Caribe em 2025 (Fonte: Recorded Future) Figura 3: Visão geral do panorama global de ransomware no painel de controle, apresentando as métricas de ataque para os cinco setores mais impactados na América Latina e Caribe em 2025 (Fonte: Recorded Future) O Insikt Group observou um aumento na atividade de ransomware em todos os principais setores da LAC em comparação com o ano anterior. O Insikt Group analisou especificamente os ataques de ransomware contra entidades financeiras, governamentais e de saúde em toda a região da LAC e identificou os seguintes casos: 16 ataques direcionados ao setor financeiro, 28 ataques direcionados ao setor governamental e 36 ataques direcionados ao setor de saúde. O Apêndice C destaca uma amostra desses ataques de ransomware. Em relação aos países da LAC, os cinco mais impactados por ransomware na região em 2025 foram Brasil (128 ataques), México (78 ataques), Argentina (63 ataques), Colômbia (51 ataques) e Peru (27 ataques). Esses países estão entre as maiores economias da região, o que pode gerar efeitos colaterais para empresas que fazem negócios diretamente com eles ou com países vizinhos. O Insikt Group descobriu que a maioria dos grupos de ransomware adota a dupla extorsão. Essa técnica envolve criptografar os dados da vítima, exfiltrá-los e, em seguida, ameaçar divulgá-los publicamente no blog do grupo de ransomware, que expõe os nomes das vítimas caso o resgate não seja pago. A Recorded Future avalia os países por risco de intrusão em redes e ataques de ransomware a cada trimestre para conscientizar e ajudar as organizações a avaliar sua exposição ao risco. As principais conclusões sobre os cinco países mais impactados, com base em métricas e análises da Recorded Future, são: O índice de risco de intrusão na rede brasileira aumentou de Médio para Muito Alto, e o índice de risco de ataques de ransomware no Brasil permaneceu Médio até o fim de 2025. O Brasil foi o país mais visado na América Latina e Caribe e figurou entre os dez países mais afetados por ransomware no mundo em 2025, com um total de 130 vítimas. A pontuação de risco de intrusão na rede do México aumentou de Muito Baixo para Baixo, e a pontuação de risco de ataques de ransomware no México aumentou de Baixo para Médio no fim de 2025. Notavelmente, dados relacionados a uma entidade governamental mexicana foram vazados no site de extorsão da dark web, o Tekir Apt Data Leak Site. A pontuação de risco de intrusão na rede da Argentina aumentou de Muito Baixo para Baixo, e a pontuação de risco de ataques de ransomware na Argentina aumentou de Baixo para Médio no fim de 2025. O Insikt Group observou que a Argentina foi alvo de um novo ransomware baseado em Rust, o “RALord”. O índice de risco de intrusão na rede da Colômbia aumentou de Baixo para Alto, e o índice de risco de ataques de ransomware na Colômbia permaneceu baixo, sem alterações observadas até o fim de 2025. O setor financeiro da Colômbia foi impactado pelo grupo de ransomware Crypto24, que publicou os nomes das vítimas em seu blog. O índice de risco de intrusão na rede do Peru aumentou de Muito Baixo para Baixo, e o índice de risco de ataques de ransomware no Peru permaneceu baixo, sem alterações observadas até o fim de 2025. Uma empresa farmacêutica com sede no Peru foi citada como vítima no Dire Wolf Blog. Figura 4: Visão geral do panorama global de ransomware nos países da LAC mais afetados em 2025 (Fonte: Recorded Future) Trojans bancários De acordo com a Associação Global de Sistemas Móveis (GSMA), em 2024, aproximadamente 64% da população da LAC utilizava internet móvel; projeta-se que esse número aumente para quase três quartos até 2030. O aumento da penetração da internet e as altas taxas de assinatura de telefonia celular na América Latina e Caribe indicam uma crescente dependência de aparelhos móveis, o que provavelmente os torna alvos mais atraentes para agentes maliciosos. Android continua sendo o sistema operacional (SO) predominante em aparelhos móveis na América do Sul, com uma participação de mercado de 84,59%. Aparelhos Android aceitam mais aplicações instaladas fora da loja oficial (links e pacotes de aplicações Android [APKs] de mídias sociais ou lojas de terceiros) do que o iOS da Apple, que normalmente tem controles de ecossistema mais rígidos, e os usuários de Android podem estar executando versões mais antigas do SO, deixando os aparelhos Android alvos atraentes para cibercriminosos. O ecossistema Android dá aos desenvolvedores mais liberdade para anunciar aplicativos na Google Play Store, e o processo de validação é menos rigoroso, permitindo que espelhos de domínio de APKs maliciosos passem despercebidos. Na LAC, os usuários podem depender de telefones celulares como principal ou único aparelho de computação, sendo pontos de acesso iniciais desejáveis para agentes de ameaças implantarem malware baseado em Android. De acordo com o relatório Global Findex 2025 do Banco Mundial, 37% dos adultos na região da LAC tinham uma conta de dinheiro móvel em 2024. Serviços bancários móveis, carteiras digitais e pagamentos com código QR são comuns na região. Com base nas descobertas do Banco Mundial, o Insikt Group avalia que o malware persistente direcionado a serviços bancários móveis na LAC provavelmente é motivado pela rápida integração do sistema bancário digital, que superou os controles de segurança e a expansão dos ecossistemas de MaaS (dinheiro como serviço). Ataques sofisticados de engenharia social localizados e uma capacidade desproporcional da aplicação da lei na região estão acelerando ainda mais essa tendência no dinâmico cenário financeiro móvel da LAC. A pesquisa do Insikt Group refletiu um aumento de trojans bancários direcionados à plataforma WhatsApp em 2025. As autoridades brasileiras têm, nos últimos anos, dado mais atenção à interrupção desses trojans. Uma quantidade significativa de cibercrimes na LAC consiste em trojans bancários móveis; embora semelhantes em muitos aspectos, eles não são homogêneos e diferem em aspectos específicos. A análise do Insikt Group de 2025 reflete que, apesar de algumas ações policiais, os trojans bancários ainda são um problema proeminente na região da LAC e provavelmente continuarão sendo em 2026. O Apêndice D destaca os trojans bancários mais ativos na região da LAC em 2025. Infostealers Os ladrões de informação (infostealers) representam uma ameaça persistente em todo o mundo, e a região da LAC não é exceção. O Insikt Group analisou uma pequena amostra de domínios pertencentes às principais organizações (com base na receita) dos setores de saúde, governo e finanças nas cinco maiores economias da LAC. A análise mostrou que as ameaças de roubo de informação mais proeminentes observadas em 2025 foram LummaC2, Vidar, Rhadamanthys, RedLine e Nexus. Isso apesar de as várias operações policiais no âmbito da Operação Endgame terem desmantelado os grupos Rhadamanthys e LummaC2. Figura 5: Tendências de infecção por roubo de informações em 2025 para os domínios pertencentes às principais organizações (com base na receita) dos setores de saúde, governo e finanças nos cinco maiores países da LAC (Fonte: Dados da Recorded Future) O LummaC2 foi, sem dúvida, o ladrão de informações mais ativo visando a entidades na região da LAC, apesar de ser alvo das autoridades policiais. O LummaC2 foi mencionado em diversas fontes de notícias e conversas no Telegram por ter como alvo usuários na Argentina, no Paraguai e no México. Os cibercriminosos usam o LummaC2 para obter credenciais de vítimas e cometer fraudes financeiras e roubo de criptomoedas. O Insikt Group conduziu uma pesquisa sobre afiliados do LummaC2 e identificou um provável agente de ameaças baseado no México, operando sob vários pseudônimos vinculados ao ID de compilação do Lumma “re0gvc”. Em meados de 2025, as autoridades policiais tomaram medidas para interromper o LummaC2; a operação resultou na desativação de aproximadamente 2.300 domínios maliciosos essenciais para a infraestrutura do LummaC2, o comando central do Lumma e mercados criminosos associados. Logo após essa operação, o LummaC2 ainda tinha vítimas infectadas em diversos países, incluindo Brasil e Colômbia, provavelmente porque o redirecionamento de tráfego (sinkholing) leva algum tempo para ter um efeito perceptível, já que redireciona o tráfego, mas não limpa automaticamente as máquinas infectadas. Uma remediação mais completa exigiria a aplicação de patches e a remoção de malware nos sistemas afetados, o que é difícil de implementar em larga escala quando os aparelhos infectados estão espalhados pelo mundo. No entanto, o Insikt Group observou uma diminuição significativa nas credenciais expostas pelo LummaC2 no segundo semestre de 2025, provavelmente devido ao sucesso da operação conjunta da Microsoft e das autoridades policiais, bem como ao banimento do principal agente da ameaça do Exploit. Figura 6: Tendências de infecção pelo LummaC2 em 2025 para os domínios pertencentes às principais organizações (com base na receita) dos setores de saúde, governo e finanças nos cinco maiores países da LAC (Fonte: Dados da Recorded Future) Na sequência da operação LummaC2, a Recorded Future detectou um aumento nas infecções no Vidar durante o segundo semestre de 2025. Esse aumento destaca a capacidade dos agentes de ameaças de migrar entre diferentes servidores de roubo de informações para facilitar as atividades criminosas, apesar das interrupções. Figura 7: Tendências de infecção pelo Vidar em 2025 para os domínios pertencentes às principais organizações (com base na receita) dos setores de saúde, governo e finanças nos cinco maiores países da LAC (Fonte: Dados da Recorded Future) Botnets A atividade de botnets cresceu de forma constante na região da LAC, possibilitando fraudes financeiras, distribuição de spam, roubo de credenciais, acesso inicial para ransomware e ataques DDoS em larga escala contra instituições financeiras e governamentais. As botnets continuaram sendo prioridade para as autoridades policiais internacionais em 2025. Por exemplo, a Operação Endgame, ainda em andamento, visa a impedir as capacidades de controle remoto dos agentes de ameaças, desmantelando a infraestrutura de ransomware e outros malwares. Surgida no fim de 2025, a Kimwolf, também conhecida como AISURU, é uma botnet que tem como alvo aparelhos de streaming violados. Notícias e discussões na dark web indicam que muitos dos aparelhos infectados com a Kimwolf estão no Brasil, na Índia, nos Estados Unidos e na Argentina. Outros relatos sugerem que um agente de ameaças envolvido com a botnet AISURU provavelmente está no Brasil. A Horabot é uma família de malwares e um tipo de botnet identificada pela primeira vez em junho de 2023, que tem como alvo usuários de língua espanhola em seis países da LAC: México, Guatemala, Colômbia, Peru, Chile e Argentina. A Horabot utiliza e-mails de phishing com tema de faturas para ter acesso inicial aos sistemas das vítimas. Malware de terminal de pagamento Os agentes de ameaças também continuaram a visar a infraestrutura de pagamentos para terem ganhos financeiros. A atividade de malware em caixas eletrônicos continuou a aumentar na LAC, com alguns especialistas observando um aumento de 46% nos ataques a caixas eletrônicos em toda a região em 2025. Por exemplo, o Ploutus é uma sofisticada família de malwares detectada pela primeira vez no México em 2013, que invade caixas eletrônicos emitindo comandos não autorizados para os módulos de emissão do dinheiro. Em dezembro de 2025, o Departamento de Justiça dos EUA indiciou 54 pessoas associadas à gangue venezuelana Tren de Aragua (TDA) por participação em um esquema enorme de fraude em caixas eletrônicos que explorava o malware Ploutus. Além disso, o malware MajikPOS, projetado para infiltrar sistemas conectados a terminais de ponto de venda (PDV) e extrair dados de pagamento da tarja magnética de cartões bancários, continuou uma ameaça ativa para empresas que operam no Brasil. Mitigações Use o Painel de Controle Global de Ransomware da Recorded Future: os clientes da Recorded Future podem mitigar proativamente essa ameaça usando o Painel de Controle Global de Ransomware da Recorded Future e aproveitando a aba de vitimologia para filtrar com base no grupo de ransomware, país e setor de interesse. Os clientes da Recorded Future podem personalizar o perfil de risco de ransomware e criar alertas alinhados com as prioridades de risco. Use o Monitoramento de Ameaças e Riscos de Terceiros da Recorded Future: crie alertas na Nuvem de Inteligência da Recorded Future para monitorar atividades em canais do Telegram, fóruns da dark web e outras plataformas, obtendo conhecimento proativo. Use o módulo de Inteligência de Terceiros para avaliar a exposição a riscos em parcerias atuais e futuras. Atualize os sistemas legados: atores de ameaça, sejam oportunistas, motivados por interesses financeiros ou ambos, frequentemente buscam explorar sistemas vulneráveis. Organizações que dependem de tecnologias obsoletas se expõem a ameaças e ciberataques que poderiam ser evitados. Adote o compartilhamento de informações entre os setores público e privado: para fortalecer a colaboração regional e estabelecer as melhores práticas padronizadas, coordenar com as forças policiais e criar canais de compartilhamento de informações para aprimorar as investigações e diminuir o tempo de resposta a incidentes. Faça ações de conscientização: promover a alfabetização digital em parceria com universidades e bolsas de estudo na região da LAC incentivará boas práticas de cibersegurança e preparará uma força de trabalho mais forte e competente. As empresas podem implementar treinamentos obrigatórios de cibersegurança durante a integração de novos funcionários e estabelecer simulações de rotina para garantir o cumprimento dos protocolos. Panorama O Insikt Group destacou as tendências e métodos de cibercriminosos mais relevantes observados em toda a região da LAC em 2025. Os agentes de ameaças realizaram phishing e roubo de credenciais para obter e vender acesso inicial a organizações da LAC, muitas vezes usando fóruns da dark web e plataformas de mensagens criptografadas de ponta a ponta para se comunicar e monetizar dados violados e métodos de acesso. Os cibercriminosos realizaram ataques de ransomware em larga escala contra os setores de saúde, governo, finanças e outros setores críticos. A atividade de trojans bancários e roubo de informações persistiu em toda a LAC, apesar das tentativas de interrupção por parte das autoridades. Os cibercriminosos demonstraram ser adaptáveis e resilientes, muitas vezes explorando empresas imaturas ou emergentes que não têm as habilidades, ferramentas e pessoal necessários para prevenir ataques. As pequenas e médias empresas (PMEs) representam mais de 95% de todas as empresas na LAC. As PMEs são alvos desejáveis para cibercriminosos porque geralmente têm recursos e expertise limitados, infraestrutura deficiente e alta dependência de plataformas de terceiros. A análise de tendências do Insikt Group corrobora essas descobertas. Na ausência de uma harmonização regional das políticas e melhores práticas de cibersegurança, os países da LAC provavelmente continuarão a adotar abordagens fragmentadas de resposta a incidentes, o que dificulta a cooperação e a colaboração transfronteiriças. Para uma proteção eficaz e sustentável de sistemas e informações contra ciberameaças, os países da LAC devem trabalhar em conjunto para estabelecer avaliações de risco e mecanismos padronizados de denúncia, protocolos para o compartilhamento de informações a fim de reforçar a remediação na hora certa e implementar princípios proativos de “segurança desde a concepção”. Possíveis abordagens para esse objetivo incluem o aumento do investimento no desenvolvimento da força de trabalho, a participação em parcerias público-privadas e o estabelecimento de sistemas centralizados de gestão de cibersegurança. Apesar da falta de fóruns proeminentes em espanhol e português, é provável que os agentes de ameaças continuem a usar plataformas e métodos tradicionais semelhantes aos adotados pelo submundo cibercriminoso de língua inglesa e russa. Com base em dados atuais e históricos, prevemos que essas tendências continuarão e que a LAC provavelmente permanecerá um alvo popular para grupos de ransomware e um ponto crítico para malware móvel em 2026. Apêndice A: Exemplo de lista de postagens direcionadas a entidades em países da LAC na Dark Web e em fóruns de acesso restrito Suposto acesso ou vazamento Origem País e setor impactados na LAC Acesso a uma entidade bancária brasileira XSS Forum Brasil/Finanças Acesso VPN a um banco colombiano Exploit Forum Colômbia/Finanças Acesso a um banco de dados governamental vazado DarkForums México/Governo Acesso à base de dados do portal oficial do governo Exploit Forum Argentina/Governo Acesso ao web shell com privilégios de root de um prestador de serviços de saúde XSS Forum Chile/Saúde Acesso VPN global a uma rede de saúde RehubcomPro Forum Brasil/Saúde (Fonte: Recorded Future) Apêndice B: Exemplos de métricas dos cinco principais grupos de ransomware que impactaram a LAC em 2025 Nome do grupo Total de ataques (todos os setores) Saúde Manufatura Governo TI Educação Qilin (Agenda) 54 4 6 0 2 2 LockBit Gang (BITWISE SPIDER, DEV-0396, Flighty Scorpius) 29 2 3 1 1 4 Safepay 27 2 4 0 0 0 The Gentlemen 22 3 1 0 0 1 Kazu 21 0 0 17 0 2 (Fonte: Recorded Future) Apêndice C: Dados de amostra de incidentes de ransomware que impactaram os setores de saúde, governo e finanças em países da LAC em 2025 Grupo de ransomware País Sector Safepay Argentina Saúde The Gentlemen Brasil Saúde Kazu Colômbia Governo Kazu México Governo Qilin (Agenda) Equador Finanças Qilin (Agenda) Argentina Finanças (Fonte: Recorded Future) Apéndice D: Tendencias de los troyanos bancarios más activos en LAC en 2025 Trojan bancário Atributos Atividade em 2026 Grandoreiro Propaga-se por meio de e-mails de phishing com documentos aparentemente legítimos, como PDFs. Uma vez instalado no aparelhos, ele realiza checagens anti-sandbox, registra as teclas digitadas e se comunica com servidores de comando e controle (C2) para exfiltrar credenciais bancárias confidenciais Surgiram novas variantes com técnicas avançadas de evasão, sendo mais eficazes em contornar as medidas de segurança modernas Crocodilus Emprega táticas sofisticadas, como recursos de controle remoto, registro de teclas digitadas (keylogging), ataques de sobreposição para capturar credenciais de usuários e coleta de frases-semente de carteiras de criptomoedas Ampliação do alcance operacional graças por visar a usuários na Polônia, Espanha, Brasil, Argentina, Indonésia, Estados Unidos e Índia Mispadu (URSA) Emprega métodos sofisticados de infecção, incluindo e-mails de spam contendo PDFs maliciosos que acionam processos de download em várias etapas, que implantam o payload Mispadu após a execução de checagens anti-sandbox e anti-máquina virtual O Grupo Insikt criou uma regra YARA para detectar o Mispadu após análises indicarem que o trojan havia atacado diversos bancos da LAC Astaroth (Guildma) Os métodos de distribuição incluem ataques de spearphishing e o uso de infraestrutura de nuvem invadida para hospedar conteúdo malicioso. O Insikt Group realizou análise estática técnica e detecção usando regras sigma Ressurgiu com uma campanha de várias etapas, “STAC3150”, envolvendo sequestro de sessão do WhatsApp, roubo de credenciais e persistência em sistemas violados SORVEPOTEL Diversas campanhas tiveram o Brasil como alvo; o Insikt Group avalia que pelo menos alguns operadores da SORVEPOTEL provavelmente falam português, com base em artefatos linguísticos nos painéis analisados e na seleção consistente de vítimas brasileiras; análise de uma campanha notável denominada “Água Saci” indica que o WhatsApp Web foi usado para distribuição A análise da nova infraestrutura associada ao carregador SORVEPOTEL demonstra que ela distribuiu Coyote e Maverick Casabaneiro (“Mekotio” e “Metamorfo”) Visa principalmente a instituições financeiras na LAC, usando e-mails de phishing que geralmente contêm URLs maliciosos, os quais levam a arquivos ZIP ou ISO com payloads que executam scripts PowerShell projetados para ofuscação e evasão de detecção A campanha Água Saci, que visa a plataformas financeiras brasileiras via propagação no WhatsApp,está ligada à família de malwares Casbaneiro BBTok Métodos de distribuição que desencadeiam infecções via arquivos LNK e exibem recursos avançados para roubo de credenciais e exfiltração de dados, utilizando técnicas como a incorporação de bibliotecas de vínculo dinâmico (DLLs) em arquivos baixados e o uso de comandos legítimos de utilitários do Windows para evasão Surgiu uma nova tática em que o principal método de comunicação era o WhatsApp Coyote Visando principalmente a usuários brasileiros, o Coyote é capaz de executar keylogging, capturar screenshots e mostrar sobreposições de phishing para roubar credenciais sensíveis. Sua infraestrutura é dinâmica e hospedada em diversas plataformas, o que indica o uso de técnicas robustas de evasão pelos operadores O Coyote permaneceu ativo em 2025 e foi observado em uma campanha de worm baseada no WhatsApp que utilizava mensagens autopropagáveis contendo arquivos ZIP maliciosos que distribuíam ainda mais o malware Herodotus Distribuído em mensagens de smishing que induzem as vítimas a baixar APKs maliciosos, o Herodotus tem sido observado visando principalmente a usuários em países como Brasil e Itália O Insikt Group analisou uma amostra em que o Herodotus se fez passar por uma aplicação de segurança chamada “Módulo Segurança Stone” em uma campanha no Brasil (Fonte: Recorded Future)