Este informe ofrece una visión general de las tendencias y novedades en el ecosistema cibercriminal de América Latina y el Caribe (ALC) en 2025

Resumo executivo

Este relatório apresenta uma visão geral das tendências e desenvolvimentos no ecossistema do cibercrime na América Latina e Caribe (LAC) em 2025. O Insikt Group constatou que agentes de ameaças com atuação ou foco na região da América Latina e Caribe (LAC) utilizam predominantemente aplicações cliente-servidor e plataformas de mensagens criptografadas de ponta a ponta, como o Telegram, bem como a dark web estabelecida em inglês ou russo e fóruns de acesso restrito, para se comunicarem e realizarem atividades. Os agentes de ameaças demonstram crescente sofisticação nas operações, adaptando táticas, técnicas e procedimentos (TTPs) ao longo do tempo, embora ainda dependam principalmente de métodos tradicionais, como phishing e engenharia social, distribuição de malware e ransomware. Com base na nossa análise, determinamos que Brasil, México e Argentina foram os países mais visados por cibercriminosos com motivação financeira, provavelmente por serem as maiores economias da América Latina e Caribe. Além disso, com base nesta pesquisa, o Insikt Group descobriu que os agentes de ameaças frequentemente visam os setores críticos, como saúde, finanças e governo, pois esses setores detêm dados valiosos, enfrentam urgências operacionais e, às vezes, dependem de sistemas legados que podem ser vulneráveis.

Principais descobertas

• O Insikt Group avalia que o fórum criminoso DarkForums e a plataforma de mensagens Telegram são os principais fóruns de acesso restrito e plataformas de comunicação usados por agentes maliciosos que operam na região da América Latina e Caribe ou que têm essa região como alvo.


• Os agentes de ameaça que operam na América Latina e Caribe (LAC) ou que têm como alvo a região são geralmente motivados por interesses financeiros e frequentemente adotam engenharia social, ransomware e várias formas de malware em aparelhos móveis, a fim de terem acesso inicial a instituições governamentais, financeiras e de saúde.


• Em 2025, o Insikt Group registrou 452 incidentes de ransomware que afetaram a região da América Latina e Caribe. Os cinco setores mais afetados foram saúde, manufatura, governo, tecnologia da informação e educação, que registraram um aumento considerável nos ataques em comparação ao ano anterior.


• O Insikt Group continuou a identificar trojans bancários sendo usados por agentes de ameaças; os mais usados são as variantes já estabelecidas. Especificamente, os agentes maliciosos usaram trojans bancários em campanhas de smishing direcionadas a usuários do WhatsApp para terem acesso a dados financeiros e roubo de credenciais.


• O Insikt Group identificou o LummaC2 como o ladrão de informações (infostealer) mais prolífico, afetando organizações na América Latina e Caribe no primeiro semestre de 2025; e o Vidar no segundo semestre, após a desarticulação das atividades do LummaC2 pelas autoridades policiais.

Histórico

Após a pandemia de covid-19, a região da América Latina e Caribe (LAC) passou por um rápido desenvolvimento digital, que superou a maturidade em segurança. Isso levou à adoção assimétrica da nuvem, à dependência de infraestrutura legada e à introdução do trabalho remoto em todos os setores. Muitas organizações adotaram plataformas de software como serviço (SaaS) sem implementarem efetivamente controles de acesso robustos nem métodos de autenticação multifator (MFA), ficando expostas a ransomware e roubo de dados, entre outros ciberataques. A instabilidade econômica (inflação e controle cambial) nos países da LACcriou incentivos para o cibercrime, ao mesmo tempo que enfraqueceu as defesas institucionais. A volatilidade política, os protestos sociais e a corrupção criaram novas oportunidades para agentes de ameaças com motivações financeiras e políticas. Fatores agravados, como o alto índice de desemprego entre os jovens, a desigualdade de renda e a influência da economia informal, levaram as pessoas a buscarem fontes alternativas de renda, o que, por sua vez, alimenta grande parte do cibercrime que vemos hoje.

De acordo com um relatório do Fórum Econômico Mundial, 13% dos entrevistados na região da América Latina e Caribe expressaram baixa confiança na capacidade de seus países de responder a incidentes cibernéticos significativos. Apesar dos avanços consideráveis no governo digital, nas regulamentações e nos investimentos na região, muitos países ainda carecem da competência técnica dos funcionários e dos recursos necessários para fortalecer seus ambientes de forma sustentável. Muitas redes governamentais da América Latina e Caribe guardam grandes quantidades de dados sensíveis, mas apresentam deficiências nas melhores práticas de segurança, deixando esses sistemas vulneráveis a ciberataques. Grandes vazamentos de dados são rotineiramente divulgados, reciclados e revendidos em mercados da dark web, de modo que roubo de identidade, fraude de identidade sintética, troca de SIM e apropriação de contas, entre outros tipos de cibercrimes, prosperam em larga escala.

Embora a região da América Latina e Caribe tenha visto avanços tecnológicos significativos, particularmente no setor de serviços financeiros, as inovações estão criando novos desafios. O setor de tecnologia financeira adotou aplicações de mobile banking, carteiras digitais e sistemas de pagamento imediato. Os países da América Latina e Caribe registram um aumento crescente de fraudes cibernéticas no setor financeiro. A verificação de identidade deficiente nos sistemas de pagamento em tempo real facilita e potencializa os ataques de engenharia social. Sistemas de pagamento imediato, como o PIX no Brasil, e plataformas similares de mobile banking, são frequentemente alvos de agentes de ameaças. Com transações mais rápidas e em volumes maiores, os esforços para detecção e recuperação são cada vez mais complexos, e os golpes se tornam mais lucrativos e amplos.

A região da América Latina e Caribe (LAC) apresenta a taxa de crescimento mais rápida do mundo em incidentes cibernéticos divulgados, embora muitos continuem sem notificação. Apenas sete países da LAC têm planos para proteger a infraestrutura crítica dos ciberataques, e somente 20 contam com Equipes de Resposta a Incidentes de Cibersegurança (CSIRTs). Apesar de 31 países da LAC terem algum tipo de legislação que aborda o cibercrime, muitos enfrentam a escassez de profissionais qualificados, criando barreiras à aplicação da lei. A limitação de recursos das forças policiais, aliada à fragilidade na cooperação interestadual, compromete o andamento de investigações e processos judiciais, o que facilita a atuação de agentes de ameaças em múltiplas jurisdições. A percepção cultural de que o cibercrime representa baixo risco e alta recompensa compromete a capacidade das forças policiais de dissuadir esse tipo de comportamento. Essa estrutura de incentivos, associada à progressiva redução do estigma, contribui para a reincidência e o recrutamento de novos agentes, dinâmicas evidenciadas pelas tendências de cibercrime mapeadas pelo Insikt Group em 2025.

Atividades cibercriminosas na LAC

Ao longo de 2025, o Insikt Group investigou e identificou diferentes tipos de cibercriminosos operando em fontes da clearnet e da dark web. Os cibercriminosos rotineiramente usavam phishing para terem acesso inicial; entre os métodos mais comuns observados estava a busca e coleta de informações sensíveis diretamente do sistema de arquivos ou bancos de dados de um host violado. Essa técnica é frequentemente uma etapa crítica de pré-exfiltração usada para capturar registros financeiros, senhas e outras formas de informações de identificação pessoal (PII), provavelmente para realizar apropriações de contas ou fraudes. A pesquisa do Insikt Group descobriu que os cibercriminosos também começaram a evoluir as TTPs (Táticas, Técnicas e Procedimentos) para explorar comunicações de campo próximo (NFC) para cometer fraudes financeiras e estão usando malware para atacar carteiras de criptomoedas. A inteligência do Insikt Group aponta que os cibercriminosos atuantes na região têm como principal interesse a comercialização de bancos de dados comprometidos e credenciais de acesso, bem como a participação em coletivos hacktivistas. Em determinados casos, grupos de ameaças persistentes avançadas (APTs) também passaram a incorporar o cibercrime às suas operações ao direcionarem esforços para a região.

Fontes de cibercriminosos

Em 2025, agentes de ameaças com atuação ou foco na região LAC continuaram a utilizar fóruns consolidados em inglês e russo como principal infraestrutura. (ver Apêndice A). O Insikt Group identificou postagens em espanhol e português em diversos fóruns estabelecidos na dark web e em fóruns de acesso restrito. Embora essas fontes sejam predominantemente em inglês e russo, as postagens provavelmente indicam uma preferência, entre os agentes de ameaças que visam a LAC, por plataformas mais estabelecidas e tradicionais para conduzir os negócios. A pesquisa mostrou que os fóruns de nível baixo a moderado são os mais usados por agentes de ameaças baseados ou focados nos paises da LAC, sugerindo níveis menores de sofisticação, já que fóruns de nível superior geralmente exigem aval, pagamento, demonstração de conhecimentos ou habilidades técnicas e, às vezes, convite privado para ter acesso.

O Insikt Group avalia que a maioria das comunicações entre agentes de ameaças provavelmente ocorre em plataformas de mensagens criptografadas, como Telegram, WhatsApp e Signal, devido à rapidez, facilidade de acesso e maior nível de confiança entre os membros dos grupos. Considerando os recursos de aprimoramento da privacidade oferecidos por muitas dessas plataformas, os esforços de coleta de dados podem ser significativamente mais restritos. O Telegram é predominantemente utilizado por oferecer maior capacidade para canais e grupos. Além disso, a criação da conta é simples, permite que os agentes maliciosos utilizem a automação e o suporte de bots nas atividades maliciosas, e a moderação de conteúdo é geralmente menos rigorosa do que em outras plataformas. Com essa menor resistência, os agentes de ameaças ainda têm a privacidade proporcionada pelas plataformas de mensagens criptografadas de ponta a ponta, sem atrasar as operações.

Atores de ameaças com motivação financeira frequentemente anunciam diversos tipos de dados, incluindo informações pessoais identificáveis (PII), dados financeiros, credenciais de login, credenciais de acesso a sistemas, exploits e vulnerabilidades, malware, ransomware e tutoriais de hacking. Em alguns casos, o Insikt Group observou atores de ameaças vendendo o acesso a sistemas de gestão de relacionamento com o cliente (CRM); acesso a redes privadas virtuais (VPN) com privilégios de usuário de domínio e direitos de administrador local em um servidor de banco de dados; e acesso a comando e controle (C2) de entidades sediadas na LAC em 2025. Aproveitando-se desse acesso à informação, os cibercriminosos podem facilitar outros crimes, incluindo, entre outros, tentativas de extorsão, golpes de engenharia digital e social, implantação de ransomware, roubo de dados e apropriação de contas. Pesquisas do Insikt Group apontam que agentes de ameaças tendem a anunciar bancos de dados comprometidos e dados de cartões de pagamento em razão do alto potencial lucrativo desses ativos, da baixa sofisticação técnica exigida e da alta demanda por parte de outros cibercriminosos.

Os agentes de ameaças frequentemente visam a sistemas governamentais porque estes contêm dados altamente sensíveis que podem ser lucrativos para golpes, roubo de identidade ou extorsão. Por exemplo, logo após uma tensa eleição geral, a Assembleia Nacional do Equador relatou ter sofrido dois ciberataques para acessar dados confidenciais e interromper a disponibilidade de serviços de informação. Em outro exemplo, agentes de ameaças expuseram dados sensíveis de milhões de cidadãos paraguaios na dark web; entre os dados supostamente extraídos estão os números de identidade, datas de nascimento, endereços físicos e prontuários de saúde.

O DarkForums foi o principal fórum da dark web e de acesso restrito onde o Insikt Group registrou o maior número de postagens relacionadas a eventos de cibercrimes em espanhol e português em 2025. Esse fórum, de baixo nível e em inglês, é operado por administradores que falam inglês, foi lançado em março de 2023 e é acessível via domínio da clearnet. Além disso, observou-se que o DarkForums hospedava bancos de dados vazados e violações de dados envolvendo países de língua espanhola, com postagens descrevendo a violação de milhares de registros e credenciais. Outros fóruns, como XSS, Exploit, RehubcomPro, Cracked, BreachForums 2, ProCrd e CrdPro, também estavam entre os principais fóruns com postagens em espanhol e português. O Apêndice A apresenta uma amostra de tópicos de fóruns em espanhol e português dessas fontes.

Táticas e vetores dos ataques de cibercriminosos

A região da LAC tem um longo histórico de cibercrimes com motivação financeira; como resultado, o Insikt Group observou nesta análise que os agentes de ameaças continuam a visar fortemente ao setor financeiro. Esses agentes geralmente se baseiam em métodos tradicionais de acesso inicial, como phishing via e-mail, SMS e mensagens do WhatsApp, personificação de instituições financeiras e solicitação de faturas ou pagamentos. Os agentes de ameaças distribuem iscas em links maliciosos que redirecionam para páginas de login falsas e contêm anexos maliciosos com links incorporados. Muitas dessas técnicas são eficazes contra entidades na região da LAC devido à forte dependência de e-mails e aplicações de mensagens para empresas, bem como à grande confiança nas comunicações com marca. A inteligência artificial (IA) trouxe métodos mais sofisticados no ecossistema cibercriminoso da LAC, reduzindo a barreira de entrada para os agentes de ameaças e aumentando significativamente a escalabilidade dos ataques graças à automação. A IA ajuda os agentes de ameaças a criar mensagens de phishing mais eficazes, que podem ser geradas em espanhol ou português nativos, sendo mais convincentes para o público-alvo da região. O advento da IA agêntica também traz novas oportunidades e vetores de ataque para grupos cibercriminosos explorarem e facilita enormemente o cibercrime como serviço. Grupos criminosos organizados integraram a IA nas operações para auxiliar no contrabando de drogas, lavagem de dinheiro, fraudes cibernéticas e desenvolvimento de malware.

Ao longo de 2025, o Insikt Group observou agentes de ameaças direcionando ataques à região LAC por meio de dois vetores principais: a exploração de protocolos de área de trabalho remota (RDP), VPNs e painéis de administração web; e a obtenção de credenciais provenientes de infecções por infostealers, reutilização de senhas, ataques de força bruta e outros pontos de acesso inicial.

Com base nos dados da Plataforma de Operações de Inteligência da Recorded Future, há aproximadamente 29 mil referências a credenciais relacionadas à LAC expostas no Russian Market. Essas credenciais expostas são de domínios pertencentes às principais organizações (em termos de receita) dos setores de saúde, governo e finanças nas cinco maiores economias da região.. O Russian Market é um dos principais mercados da dark web para a venda e distribuição de logs de infostealers. A maioria desses logs era proveniente do LummaC2 e, depois, do Acreed Stealer, o que está de acordo com o que o Insikt Group observou na análise de logs adicionais de infostealers. É importante notar que muitas das 29 mil credenciais expostas provavelmente pertencem a clientes dessas organizações e não necessariamente a funcionários, visto que a Recorded Future não tem acesso aos endereços de domínio internos dos funcionários para buscar credenciais expostas; no entanto, esses endereços podem ser adicionados por um usuário final. O Insikt Group avalia que esses vetores de ataque provavelmente foram eficazes para infiltrar os sistemas dos alvos na região devido ao aumento da adoção do trabalho remoto, à infraestrutura legada em muitas instituições públicas e aos recursos e monitoramento limitados. Em canais do Telegram, o Insikt Group observou agentes de ameaças anunciando ferramentas de clonagem de cartões, envio em lote de SMS/e-mails, troca de SIM, assistência para hackers e outros serviços semelhantes.

Em 2025, o Insikt Group também observou um aumento em novos tipos de malware que exploram ativamente a tecnologia NFC. Identificado inicialmente pela Threat Fabric, o PhantomCard é um trojan para Android, notavelmente uma variante de um malware como serviço (MaaS) de retransmissão NFC originário da China, que tem como alvo principal clientes bancários no Brasil. O PhantomCard permite ataques de retransmissão ao obter dados NFC do cartão bancário da vítima e transmiti-los para o aparelho de um agente de ameaças para realizar transações em terminais de ponto de venda (PDV) ou caixas eletrônicos. O PhantomCard é distribuído em páginas da web maliciosas que se fazem passar por aplicações legítimas, induzindo as vítimas a aproximarem um cartão e informar o número de identificação pessoal (PIN) para autenticação. Uma vez obtidas de forma fraudulenta, as credenciais são repassadas aos atacantes.
De forma semelhante, no fim de 2025, agentes de ameaças implantaram o RelayNFC, um malware para aparelhos móveis que visa aos cartões de pagamento sem contato, em uma campanha de phishing direcionada a usuários brasileiros. Essa evolução nas TTPs acompanha a mudança dos agentes de ameaças, que passaram da clonagem de dados de tarja magnética para a "invasão" de dados de chips EMV ( Europay, Mastercard e Visa) no ecossistema de fraudes em pagamentos, visto que soluções exclusivas aos cibercriminosos geralmente acompanham novas inovações em segurança.

De acordo com o Relatório Anual de Atividades de Cibercriminosos com Criptomoedas de 2025, o Insikt Group observou consistentemente atividades em que carteiras de criptomoedas foram alvo de vários tipos de malware, como drainers, clippers e miners, para roubar fundos. Dado o atraso persistente nas medidas de cibersegurança na LAC e o rápido crescimento do mercado de criptomoedas na região, os usuários podem ser alvos atraentes para cibercriminosos. Os cinco principais países da região que dominam o ecossistema de criptomoedas são Brasil, Argentina, México, Venezuela e Colômbia. No entanto, o Brasil é o líder incontestável, respondendo por um terço da atividade total com criptomoedas. O Insikt Group avalia que, à medida que a adoção generalizada das criptomoedas continua, os agentes de ameaças provavelmente buscarão alvos nesses países, já que o conhecimento e as práticas de segurança entre a base de usuários nessas regiões provavelmente serão deficientes. Além disso, assim como ocorre com agentes de ameaças em outras regiões do mundo, aqueles que visam à LAC quase certamente usarão esse meio de troca para transacionar e lavar fundos ilícitos. À medida que os países continuam a adotar novas regulamentações e a adotar novas formas de criptomoeda, esperamos que os agentes de ameaças identifiquem novos vetores de exploração. A partir de 2025, Argentina, Brasil, Colômbia, Equador, Paraguai, Trinidad e Tobago, Uruguai e Venezuela participarão da fase piloto inaugural da Interpol para o novo Alerta Prata (Silver Notice), que será publicado para “rastrear e recuperar ativos criminosos, combater o crime organizado transnacional e aprimorar a cooperação policial internacional�, provavelmente incluindo ativos em criptomoedas, caso estejam vinculados a proventos de atividades criminosas.

Ameaças persistentes avançadas (APTs) e cibercrimes

Ao longo de 2025, o Insikt Group observou um aumento na atividade de APTs (Ameaças Persistentes Avançadas) direcionadas à região da América Latina e Caribe, utilizando métodos tradicionais de cibercrime, como phishing e ransomware. Isso sugere que alguns grupos de APTs podem ter motivações financeiras que vão além da busca por influência geopolítica estratégica. APTs proeminentes, como o Dark Caracal, realizaram espionagem cibernética e distribuíram o Poco RAT via phishing com temática financeira. O TAG-144 (Blind Eagle) teve como alvo principal entidades governamentais em países da América do Sul, notadamente a Colômbia, utilizando TTPs como spearphishing e trojans de acesso remoto (RATs) em campanhas que combinam espionagem e motivações financeiras.

O Insikt Group avalia que algumas atividades patrocinadas pelo Estado chinês provavelmente visam a proteger investimentos econômicos na região, como a Iniciativa Cinturão e Rota (BRI), empréstimos soberanos e interesses comerciais generalizados. Além dos grupos APT mencionados acima, grupos patrocinados pelo Estado chinês também estão visando a entidades em países da região. O grupo TAG-141 (FamousSparrow) utilizou o malware SparrowDoor contra entidades no México, Argentina e Chile. O grupo Storm-2603 (Gold Salem) implantou ransomware, incluindo Warlock, LockBit e Babuk, visando a múltiplos setores, como agricultura, governo, energia e recursos naturais e telecomunicações, nas regiões da LAC e da �sia-Pacífico (APAC). Essa atividade pode indicar que a China busca manter influência na região via cibercrime ou que está interessada em ganhos financeiros.

Hacktivismo

A região da LAC tem vivenciado repetidamente períodos de complexa agitação política e social, alimentados por debates sobre reformas econômicas, corrupção e desigualdade. Diferente do cibercrime com motivação financeira, o hacktivismo tende a ser político ou ideológico, e essas condições tensas podem criar um ambiente propício para o aumento do hacktivismo. No fim de 2025, o Insikt Group observou um aumento na atividade do Chronus Team, grupo hacktivista conhecido por ataques de desfiguração e vazamentos de dados com o objetivo de expor vulnerabilidades na segurança, visando principalmente a organizações no México. O grupo usa canais do Telegram para comunicação e propaganda. Ele se aliou informalmente a outros grupos hacktivistas e cibercriminosos, como Elite 6-27 e Sociedad Privada 157, para ganhar atenção e aumentar sua reputação. O Insikt Group observou outra tendência em que vários grupos hacktivistas começaram a migrar para o ransomware como serviço (RaaS) para obter ganhos financeiros. Um desses grupos hacktivistas, o “FiveFamilies�, funciona como um coletivo de vários grupos; algumas das entidades visadas incluíam aquelas localizadas em Cuba e no Brasil.

Tendências de malware

Em 2025, o Insikt Group observou um aumento na atividade de ransomware visando a organizações na região da LAC. Além disso, os trojans bancários também continuaram a afetar os países da região, com o Insikt Group observando um aumento nas campanhas que usam especificamente o WhatsApp para distribuição. Os infostealers continuaram sendo amplamente utilizados como vetor de acesso inicial na região LAC. O crescimento das botnets na região deveu-se, em grande parte, à exploração de dispositivos SOHO vulneráveis — incluindo roteadores e dispositivos IoT com controles de segurança insuficientes, firmware desatualizado e credenciais de acesso padrão. A atividade de botnets pode contribuir para o roubo de credenciais, a propagação de campanhas de phishing, a distribuição de spam, a apropriação e o abuso de endereços IP residenciais e a viabilização de ataques de negação de serviço distribuído (DDoS). O Insikt Group também observou agentes de ameaças visando a terminais de pagamento em 2025 com malware para caixas eletrônicos e pontos de venda.

Ransomware

Em 2025, o Painel de Análise Global de Ransomware da Recorded Future registrou 452 incidentes de ransomware afetando a região da América Latina e Caribe de um total de 7.346 em todo o mundo, com base em todas as vítimas de ransomware publicamente conhecidas e listadas em blogs relacionados. Os ataques a entidades na região representaram pouco mais de 6% de todos os ataques globais de ransomware em 2025. Os cinco setores mais afetados por ransomware na região da LAC em 2025 foram Manufatura (49 ataques), Saúde (36 ataques), Governo (28 ataques), Tecnologia da Informação (21 ataques) e Educação (20 ataques), conforme mostra a Figura 3. A pesquisa do Insikt Group sobre ransomware na região abrange 27 dos 33 países constituintes. O Insikt Group não obteve dados sobre ransomware em Antígua e Barbuda, Belize, Cuba, São Cristóvão e Névis, Santa Lúcia e Suriname em 2025.

O Insikt Group observou um aumento na atividade de ransomware em todos os principais setores da LAC em comparação com o ano anterior. O Insikt Group analisou especificamente os ataques de ransomware contra entidades financeiras, governamentais e de saúde em toda a região e identificou os seguintes casos: 16 ataques direcionados ao setor financeiro, 28 ataques direcionados ao setor governamental e 36 ataques direcionados ao setor de saúde. O Apêndice C destaca uma amostra desses ataques de ransomware.

Em relação aos países da LAC, os cinco mais impactados por ransomware na região em 2025 foram Brasil (128 ataques), México (78 ataques), Argentina (63 ataques), Colômbia (51 ataques) e Peru (27 ataques). Esses países estão entre as maiores economias da região, o que pode gerar efeitos colaterais para empresas que fazem negócios diretamente com eles ou com países vizinhos. O Insikt Group descobriu que a maioria dos grupos de ransomware adota a dupla extorsão. Essa técnica envolve criptografar os dados da vítima, exfiltrá-los e, em seguida, ameaçar divulgá-los publicamente no blog do grupo de ransomware, que expõe os nomes das vítimas caso o resgate não seja pago. A Recorded Future avalia os países por risco de intrusão em redes e ataques de ransomware a cada trimestre para conscientizar e ajudar as organizações a avaliar sua exposição ao risco. As principais conclusões sobre os cinco países mais impactados, com base em métricas e análises da Recorded Future, são:

• O índice de risco de intrusão na rede brasileira aumentou de Médio para Muito Alto, e o índice de risco de ataques de ransomware no Brasil permaneceu Médio até o fim de 2025. O Brasil foi o país mais visado na América Latina e Caribe e figurou entre os dez países mais afetados por ransomware no mundo em 2025, com um total de 130 vítimas.


• A pontuação de risco de intrusão na rede do México aumentou de Muito Baixo para Baixo, e a pontuação de risco de ataques de ransomware no México aumentou de Baixo para Médio no fim de 2025. Notavelmente, dados relacionados a uma entidade governamental mexicana foram vazados no site de extorsão da dark web, o Tekir Apt Data Leak Site.


• A pontuação de risco de intrusão na rede da Argentina aumentou de Muito Baixo para Baixo, e a pontuação de risco de ataques de ransomware na Argentina aumentou de Baixo para Médio no fim de 2025. O Insikt Group observou que a Argentina foi alvo de um novo ransomware baseado em Rust, o “RALordâ€�.


• O índice de risco de intrusão na rede da Colômbia aumentou de Baixo para Alto, e o índice de risco de ataques de ransomware na Colômbia permaneceu baixo, sem alterações observadas até o fim de 2025. O setor financeiro da Colômbia foi impactado pelo grupo de ransomware Crypto24, que publicou os nomes das vítimas em seu blog.


• O índice de risco de intrusão na rede do Peru aumentou de Muito Baixo para Baixo, e o índice de risco de ataques de ransomware no Peru permaneceu baixo, sem alterações observadas até o fim de 2025. Uma empresa farmacêutica com sede no Peru foi citada como vítima no Dire Wolf Blog.

Trojans bancários

De acordo com a Associação Global de Sistemas Móveis (GSMA), em 2024, aproximadamente 64% da população da LAC utilizava internet móvel; projeta-se que esse número aumente para quase três quartos até 2030. O aumento da penetração da internet e as altas taxas de assinatura de telefonia celular na América Latina e Caribe indicam uma crescente dependência de aparelhos móveis, o que provavelmente os torna alvos mais atraentes para agentes maliciosos. Android continua sendo o sistema operacional (SO) predominante em aparelhos móveis na América do Sul, com uma participação de mercado de 84,59%. Aparelhos Android aceitam mais aplicações instaladas fora da loja oficial (links e pacotes de aplicações Android [APKs] de mídias sociais ou lojas de terceiros) do que o iOS da Apple, que normalmente tem controles de ecossistema mais rígidos, e os usuários de Android podem estar executando versões mais antigas do SO, deixando os aparelhos Android alvos atraentes para cibercriminosos. O ecossistema Android dá aos desenvolvedores mais liberdade para anunciar aplicativos na Google Play Store, e o processo de validação é menos rigoroso, permitindo que espelhos de domínio de APKs maliciosos passem despercebidos. Na LAC, os usuários podem depender de telefones celulares como principal ou único aparelho de computação, sendo pontos de acesso iniciais desejáveis para agentes de ameaças implantarem malware baseado em Android. De acordo com o relatório Global Findex 2025 do Banco Mundial, 37% dos adultos na região da LAC tinham uma conta de dinheiro móvel em 2024. Serviços bancários móveis, carteiras digitais e pagamentos com código QR são comuns na região. Com base nas descobertas do Banco Mundial, o Insikt Group avalia que o malware persistente direcionado a serviços bancários móveis na LAC provavelmente é motivado pela rápida integração do sistema bancário digital, que superou os controles de segurança e a expansão dos ecossistemas de MaaS (dinheiro como serviço). Ataques sofisticados de engenharia social localizados e uma capacidade desproporcional da aplicação da lei na região estão acelerando ainda mais essa tendência no dinâmico cenário financeiro móvel da LAC.

A pesquisa do Insikt Group refletiu um aumento de trojans bancários direcionados à plataforma WhatsApp em 2025. As autoridades brasileiras têm, nos últimos anos, dado mais atenção à interrupção desses trojans. Uma quantidade significativa de cibercrimes na LAC consiste em trojans bancários móveis; embora semelhantes em muitos aspectos, eles não são homogêneos e diferem em aspectos específicos. A análise do Insikt Group de 2025 reflete que, apesar de algumas ações policiais, os trojans bancários ainda são um problema proeminente na região da LAC e provavelmente continuarão sendo em 2026. O Apêndice D destaca os trojans bancários mais ativos na região em 2025.

Infostealers

Os ladrões de informação (infostealers) representam uma ameaça persistente em todo o mundo, e a região da LAC não é exceção. O Insikt Group analisou uma pequena amostra de domínios pertencentes às principais organizações (com base na receita) dos setores de saúde, governo e finanças nas cinco maiores economias da LAC. A análise mostrou que as ameaças de roubo de informação mais proeminentes observadas em 2025 foram LummaC2, Vidar, Rhadamanthys, RedLine e Nexus. Isso apesar de as várias operações policiais no âmbito da Operação Endgame terem desmantelado os grupos Rhadamanthys e LummaC2.

O LummaC2 foi, sem dúvida, o ladrão de informações mais ativo visando a entidades na região da LAC, apesar de ser alvo das autoridades policiais. O LummaC2 foi mencionado em diversas fontes de notícias e conversas no Telegram por ter como alvo usuários na Argentina, Paraguai e México. Os cibercriminosos usam o LummaC2 para obter credenciais de vítimas e cometer fraudes financeiras e roubo de criptomoedas. O Insikt Group conduziu uma pesquisa sobre afiliados do LummaC2 e identificou um provável agente de ameaças baseado no México, operando sob vários pseudônimos vinculados ao ID de compilação do Lumma “re0gvc�. Em meados de 2025, as autoridades policiais tomaram medidas para interromper o LummaC2; a operação resultou na desativação de aproximadamente 2.300 domínios maliciosos essenciais para a infraestrutura do LummaC2, o comando central do Lumma e mercados criminosos associados. Logo após essa operação, o LummaC2 ainda tinha vítimas infectadas em diversos países, incluindo Brasil e Colômbia, provavelmente porque o redirecionamento de tráfego (sinkholing) leva algum tempo para ter um efeito perceptível, já que redireciona o tráfego, mas não limpa automaticamente as máquinas infectadas. Uma remediação mais completa exigiria a aplicação de patches e a remoção de malware nos sistemas afetados, o que é difícil de implementar em larga escala quando os aparelhos infectados estão espalhados pelo mundo. No entanto, o Insikt Group observou uma diminuição significativa nas credenciais expostas pelo LummaC2 no segundo semestre de 2025, provavelmente devido ao sucesso da operação conjunta da Microsoft e das autoridades policiais, bem como ao banimento do principal agente da ameaça do Exploit.

Na sequência da operação LummaC2, a Recorded Future detectou um aumento nas infecções por Vidar durante o segundo semestre de 2025. Esse aumento destaca a adaptabilidade dos agentes de ameaças em migrar para outro infostealer para facilitar as atividades criminosas, apesar da interrupção em outro serviço.

Botnets

A atividade de botnets cresceu de forma constante na região da LAC, possibilitando fraudes financeiras, distribuição de spam, roubo de credenciais, acesso inicial para ransomware e ataques DDoS em larga escala contra instituições financeiras e governamentais. As botnets continuaram sendoprioridade para as autoridades policiais internacionais em 2025. Por exemplo, a Operação Endgame, ainda em andamento, visa a impedir as capacidades de controle remoto dos agentes de ameaças, desmantelando a infraestrutura de ransomware e outros malwares. Surgida no fim de 2025, a Kimwolf, também conhecida como AISURU, é uma botnet que tem como alvo aparelhos de streaming violados. Notícias e discussões na dark web indicam que muitos dos aparelhos infectados com a Kimwolf estão no Brasil, �ndia, Estados Unidos e Argentina. Outros relatos sugerem que um agente de ameaças envolvido com a botnet AISURU provavelmente está no Brasil. A Horabot é uma família de malwares e um tipo de botnet identificada pela primeira vez em junho de 2023, que tem como alvo usuários de língua espanhola em seis países da LAC: México, Guatemala, Colômbia, Peru, Chile e Argentina. A Horabot utiliza e-mails de phishing com tema de faturas para ter acesso inicial aos sistemas das vítimas.

Malware de terminal de pagamento

Os agentes de ameaças também continuaram a visar a infraestrutura de pagamentos para terem ganhos financeiros. A atividade de malware em caixas eletrônicos continuou a aumentar na LAC, com alguns especialistas observando um aumento de 46% nos ataques a caixas eletrônicos em toda a região em 2025. Por exemplo, o Ploutus é uma sofisticada família de malwares detectada pela primeira vez no México em 2013, que invade caixas eletrônicos emitindo comandos não autorizados para os módulos de emissão do dinheiro. Em dezembro de 2025, o Departamento de Justiça dos EUA indiciou 54 pessoas associadas à gangue venezuelana Tren de Aragua (TDA) por participação em um esquema enorme de fraude em caixas eletrônicos que explorava o malware Ploutus. Além disso, o malware MajikPOS, projetado para infiltrar sistemas conectados a terminais de ponto de venda (PDV) e extrair dados de pagamento da tarja magnética de cartões bancários, continuou sendo uma ameaça ativa para empresas que operam no Brasil.

Mitigações

• Use o Painel de Controle Global de Ransomware da Recorded Future: os clientes da Recorded Future podem mitigar proativamente essa ameaça usando o Painel de Controle Global de Ransomware da Recorded Future e aproveitando a aba de vitimologia para filtrar com base no grupo de ransomware, país e setor de interesse. Os clientes da Recorded Future podem personalizar o perfil de risco de ransomware e criar alertas alinhados com as prioridades de risco.


• Use o Monitoramento de Ameaças e Riscos de Terceiros da Recorded Future: crie alertas na Nuvem de Inteligência da Recorded Future para monitorar atividades em canais do Telegram, fóruns da dark web e outras plataformas, obtendo conhecimento proativo. Use o módulo de Inteligência de Terceiros para avaliar a exposição a riscos em parcerias atuais e futuras.


• Atualize os sistemas legados: atores de ameaças, sejam oportunistas, motivados por interesses financeiros ou ambos, frequentemente buscam explorar sistemas vulneráveis. Organizações que dependem de tecnologias obsoletas se expõem a ameaças e ciberataques que poderiam ser evitados.


• Adote o compartilhamento de informações entre os setores público e privado: para fortalecer a colaboração regional e estabelecer as melhores práticas padronizadas, coordenar com as forças policiais e criar canais de compartilhamento de informações para aprimorar as investigações e diminuir o tempo de resposta a incidentes.


• Faça ações de conscientização: promover a alfabetização digital em parceria com universidades e bolsas de estudo na região da LAC incentivará boas práticas de cibersegurança e preparará uma força de trabalho mais forte e competente. As empresas podem implementar treinamentos obrigatórios de cibersegurança durante a integração de novos funcionários e estabelecer simulações de rotina para garantir o cumprimento dos protocolos.

Panorama

O Insikt Group destacou as tendências e métodos de cibercriminosos mais relevantes observados em toda a região da LAC em 2025. Os agentes de ameaças realizaram phishing e roubo de credenciais para obter e vender acesso inicial a organizações da LAC, muitas vezes usando fóruns da dark web e plataformas de mensagens criptografadas de ponta a ponta para se comunicar e monetizar dados violados e métodos de acesso. Os cibercriminosos realizaram ataques de ransomware em larga escala contra os setores de saúde, governo, finanças e outros setores críticos. A atividade de trojans bancários e roubo de informações persistiu em toda a LAC, apesar das tentativas de interrupção por parte das autoridades. Os cibercriminosos demonstraram ser adaptáveis e resilientes, muitas vezes explorando empresas imaturas ou emergentes que não têm as habilidades, ferramentas e pessoal necessários para prevenir ataques. As pequenas e médias empresas (PMEs) representam mais de 95% de todas as empresas na LAC. As PMEs são alvos desejáveis para cibercriminosos porque geralmente têm recursos e expertise limitados, infraestrutura deficiente e alta dependência de plataformas de terceiros. A análise de tendências do Insikt Group corrobora essas descobertas.

Na ausência de uma harmonização regional das políticas e melhores práticas de cibersegurança, os países da LAC provavelmente continuarão a adotar abordagens fragmentadas de resposta a incidentes, o que dificulta a cooperação e a colaboração transfronteiriças. Para uma proteção eficaz e sustentável de sistemas e informações contra ciberameaças, os países da LAC devem trabalhar em conjunto para estabelecer avaliações de risco e mecanismos padronizados de denúncia, protocolos para o compartilhamento de informações a fim de reforçar a remediação na hora certa e implementar princípios proativos de “segurança desde a concepção�. Possíveis abordagens para esse objetivo incluem o aumento do investimento no desenvolvimento da força de trabalho, a participação em parcerias público-privadas e o estabelecimento de sistemas centralizados de gestão de cibersegurança. Apesar da falta de fóruns proeminentes em espanhol e português, é provável que os agentes de ameaças continuem a usar plataformas e métodos tradicionais semelhantes aos adotados pelo submundo cibercriminoso de língua inglesa e russa. Com base em dados atuais e históricos, prevemos que essas tendências continuarão e que a LAC provavelmente permanecerá um alvo popular para grupos de ransomware e um ponto crítico para malware móvel em 2026.

Apéndice A: Ejemplo de listado de publicaciones dirigidas a entidades en países de LAC en foros de la dark web y de acceso especial

(Fuente: Recorded Future)

Apéndice B: Ejemplo de métricas de los cinco principales grupos de ransomware que afectaron la región de LAC en 2025

(Fonte: Recorded Future)

Apéndice C: Ejemplo de datos de incidentes de ransomware que afectaron los sectores de salud, gobierno y finanzas en países de LAC en 2025

(Fonte: Recorded Future)

Apéndice D: Tendencias de los troyanos bancarios más activos en LAC en 2025

(Fonte: Recorded Future)

Source: RecordedFuture
Source Link: https://www.recordedfuture.com/research/latin-america-and-the-caribbean-cybercrime-landscape-pt