DDoS atingindo cada vez mais provedores brasileiros, falhas encontradas e mais – Eskudo News 14/01

Postado por em | Featured

Provedores brasileiros sob pressão: ataques DDoS atingem 30% do setor e expõem corrida por resiliência

Um em cada três provedores de internet no Brasil já foi alvo de ataques distribuídos de negação de serviço, os chamados DDoS, segundo a pesquisa TIC Provedores 2024, divulgada pelo CGI.br e pelo NIC.br. O indicador saltou de 23% em 2022 para 30% em 2024, sinalizando não apenas a persistência do problema, mas também a ampliação da percepção do risco e da capacidade de identificá-lo. O avanço é relevante porque o provedor de acesso não é um alvo qualquer. Ele funciona como infraestrutura crítica do cotidiano digital, sustentando serviços públicos, operações empresariais, educação, saúde e a própria economia local.

O retrato capturado pela pesquisa mostra que o impacto vai além de um incômodo técnico. A matéria da TeleTime aponta que, no recorte nacional, 10% das empresas afirmaram ter sofrido interrupção completa do serviço, enquanto 21% disseram ter continuado operando, mas com lentidão percebida pelos clientes. Também aparece o componente de extorsão, ainda que minoritário no universo total, com 1% relatando cobrança para cessar o ataque. Os números expõem uma realidade incômoda para um mercado cada vez mais competitivo: qualidade e disponibilidade são ativos comerciais. Quando a rede congestiona, o usuário reclama, migra e aumenta a pressão sobre o provedor, que passa a competir não só por preço, mas por estabilidade.

O resumo executivo do estudo ajuda a entender o dano operacional com mais precisão ao olhar para o grupo que efetivamente declarou ter sofrido DDoS em 2024. Entre essas empresas, 69% afirmaram que continuaram operando, mas com lentidão, 32% relataram paralisação total do serviço e 4% disseram ter enfrentado extorsão. Ou seja, a extorsão aparece com intensidade maior quando se observa o subconjunto de vítimas, enquanto no universo total ela é menor, como citado na TeleTime. O resultado é coerente com a dinâmica desse tipo de crime: a chantagem tende a se concentrar nos casos em que o atacante consegue manter pressão por tempo suficiente para elevar o custo da indisponibilidade.

A pesquisa também indica diferenças regionais. A TeleTime reporta que, em 2024, a ocorrência foi maior no Sul e no Sudeste, com 35% das empresas afetadas, seguida do Centro-Oeste com 33%, Nordeste com 25% e Norte com 20%. No resumo executivo, o Nordeste é destacado como o motor do crescimento na série histórica, saindo de 14% em 2022 para 25% em 2024. Isso sugere um duplo movimento: de um lado, maior exposição e interesse de atacantes em mercados com forte expansão de ISPs regionais; de outro, amadurecimento de reporte e detecção em regiões onde o setor se consolidou nos últimos anos.

Há ainda um componente estrutural que explica por que DDoS virou um problema recorrente de telecom. Provedores podem ser vítimas, mas também podem virar meio involuntário de ataque quando têm ativos mal configurados, expostos ou comprometidos. O CERT.br chama atenção para o fato de que qualquer rede acessível pode tanto sofrer quanto gerar DDoS, o que torna a coordenação entre operadores parte essencial da mitigação. Em paralelo, o próprio CERT.br mantém recomendações específicas para reduzir impacto, que passam por planejamento, melhoria de processos e endurecimento de infraestrutura para diminuir a eficácia do ataque e a chance de amplificação dentro da própria rede.

A TIC Provedores 2024 também traz pistas sobre a maturidade operacional do setor para lidar com abuso e incidentes. O resumo executivo afirma que 70% dos provedores utilizaram a própria equipe de operação de rede para tratar casos de abuso ou incidentes de segurança, e 57% mantiveram uma pessoa ou equipe exclusivamente dedicada a esse trabalho. Isso indica esforço, mas também evidencia um gargalo: em muitos provedores, a segurança ainda está muito próxima da rotina de operação, sem a separação clara de funções, processos e métricas típicas de um SOC maduro. O risco é entrar em modo reativo, com correções pontuais, sem uma estratégia permanente de observabilidade, automação e resposta em camadas.

Por trás dos percentuais, o recado de fundo é que DDoS se tornou um teste de resiliência de negócio. A mitigação eficiente exige inventário, telemetria, capacidade de absorção, filtros bem ajustados, parceria upstream e, principalmente, rotinas de resposta já ensaiadas. Para ISPs menores, a conta é difícil: a infraestrutura precisa crescer, mas a margem nem sempre acompanha. E é justamente nesse intervalo entre crescimento e maturidade de defesa que ataques se tornam mais comuns. A pesquisa do CGI.br e do NIC.br, ao colocar o tema no centro do diagnóstico do setor, sinaliza que disponibilidade e segurança já caminham juntas como critério de competitividade.

CTIR.Gov.br emite alerta para falha crítica no Windows Cloud Files Mini Filter Driver

O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo, o CTIR Gov, emitiu um alerta para uma falha crítica no Microsoft Windows Cloud Files Mini Filter Driver, componente do Windows ligado à forma como o sistema operacional integra arquivos armazenados em nuvem ao uso cotidiano do computador. A vulnerabilidade, registrada como CVE-2025-62221, foi descrita como um “use after free”, classe de erro de memória que pode permitir que um atacante com acesso local e poucos privilégios eleve seu nível de permissão dentro do sistema. O CTIR ressalta que há evidências de exploração ativa por atores maliciosos e pede aplicação das atualizações no mais curto prazo, com base nas orientações do fornecedor.

O ponto que aumenta a gravidade do caso é o papel do driver vulnerável. O Windows Cloud Files Mini Filter Driver, conhecido no ecossistema como cldflt.sys, faz parte da arquitetura do Cloud Files API e atua no caminho de acesso a arquivos, funcionando como um intermediário entre aplicações e o motor de sincronização, apresentando arquivos em nuvem como se estivessem localmente disponíveis e acionando download sob demanda quando necessário. Por ser um minifilter de sistema de arquivos, ele se encaixa em uma categoria de componentes que operam em modo kernel e interceptam operações de entrada e saída de arquivos. Em termos práticos, falhas nesse tipo de camada costumam ter alto valor ofensivo, porque rodam com privilégios elevados e podem ser exploradas para assumir controle total da máquina após um primeiro acesso.

Embora a CVE indique que o ataque exige acesso local e algum nível de privilégio, isso não reduz o risco em ambientes corporativos. Em cadeias modernas de intrusão, o acesso inicial frequentemente ocorre por phishing, credenciais vazadas, exploração de serviço exposto ou comprometimento de terceiro. A etapa seguinte é ampliar privilégios para chegar ao nível SYSTEM, contornar controles e ganhar persistência. O próprio registro público da CVE descreve o impacto como elevação local de privilégios e atribui à falha um escore CVSS 7.8, com alto potencial de impacto em confidencialidade, integridade e disponibilidade quando explorada.

No alerta brasileiro, o CTIR também chama atenção para o fato de a vulnerabilidade estar associada a sinais concretos de exploração no mundo real, mencionando sua presença em catálogos de vulnerabilidades exploradas e trazendo indicadores de risco que ajudam a priorização. Além do CVSS, o comunicado lista métricas como EPSS e percentil, usadas para estimar probabilidade de exploração observada no curto prazo, e reforça que órgãos e entidades aderentes à Rede Federal de Gestão de Incidentes Cibernéticos devem agir com urgência para correção, alinhados ao Decreto nº 10.748/2021, que orienta resposta rápida a vulnerabilidades destacadas em alertas oficiais.

O alcance potencial também é ampliado pela variedade de versões afetadas apontadas no alerta. O CTIR lista produtos que incluem Windows 10 em versões 1809, 21H2 e 22H2, além de Windows 11 em diferentes releases e Windows Server 2019, 2022 e 2025, incluindo instalações Server Core. Essa abrangência significa que o risco não está limitado a estações de trabalho modernas, mas também pode atingir servidores e ambientes que, por desenho, costumam ter maior impacto quando comprometidos. Para organizações, isso transforma o tema em gestão de inventário e prioridade de patching, com verificação de builds e janela de atualização acelerada para reduzir exposição.

A recomendação operacional, diante de um cenário com indícios de exploração ativa, é tratar o patch como ação imediata, e não como atividade de rotina. O CTIR orienta identificar, no inventário de ativos, a utilização das versões vulneráveis e aplicar as atualizações disponibilizadas pela Microsoft. Em paralelo, equipes de segurança costumam reforçar medidas de contenção que reduzem a eficácia de ataques de pós exploração, como limitar privilégios locais, controlar quem pode executar código e instalar componentes, revisar políticas de hardening e aumentar monitoramento de eventos de escalonamento e criação de processos suspeitos. Em incidentes reais, vulnerabilidades locais desse tipo raramente são o início do ataque, mas com frequência são o acelerador que transforma um acesso limitado em comprometimento total.

IA generativa mais que dobra violações de políticas de dados em empresas em 2025, aponta relatório

A rápida adoção de ferramentas de inteligência artificial generativa dentro das empresas está criando uma nova zona de risco para dados corporativos, e os números mais recentes indicam que o problema já escalou. Um levantamento da Netskope, repercutido no Brasil pelo IT Forum, aponta que as violações de políticas de dados associadas ao uso de GenAI mais que dobraram em 2025, com média de 223 incidentes mensais por organização monitorada. No mesmo intervalo, a base de usuários e o volume de prompts cresceram de forma ainda mais acelerada, refletindo como a tecnologia se incorporou ao dia a dia em áreas de negócios e equipes técnicas, muitas vezes antes de políticas e controles acompanharem o ritmo.

Os dados fazem parte do Cloud and Threat Report: 2026, construído a partir de telemetria anonimizada coletada pela plataforma Netskope One entre 1º de outubro de 2024 e 31 de outubro de 2025. A metodologia combina observação do comportamento de usuários, políticas aplicadas pelas organizações e sinais do ecossistema de ameaças, oferecendo um retrato do que acontece quando ferramentas populares, como chatbots e assistentes de produtividade, passam a receber conteúdos internos em escala. O relatório descreve a situação como uma camada adicional de risco que se soma a problemas já persistentes, como phishing e malware distribuído por canais confiáveis, agora com um novo vetor de exposição ligado a prompts, uploads e integrações com serviços de IA.

O elemento central dessa escalada é o chamado shadow AI, o uso de ferramentas de IA fora da visibilidade e do controle corporativo. Segundo o estudo, 47% dos usuários de GenAI ainda utilizam aplicações pessoais, não gerenciadas, seja de forma exclusiva ou combinada com ferramentas aprovadas pela empresa. O IT Forum destaca que, apesar de uma migração gradual para versões corporativas, com queda da proporção de usuários que usam apenas contas pessoais de 78% para 47%, a metade do mercado ainda não tem políticas efetivas de proteção de dados para aplicações de IA generativa. Isso abre espaço para que informações sensíveis sejam enviadas a serviços externos sem detecção, auditoria ou trilha de conformidade.

O relatório também detalha que nem todo vazamento por GenAI tem a mesma natureza, e isso ajuda a entender por que o tema preocupa CISOs e áreas jurídicas. Entre as categorias de dados mais envolvidas em violações de política, aparecem código-fonte, dados regulados e propriedade intelectual, um trio que concentra risco operacional e risco de compliance. Ao mesmo tempo, a Netskope aponta que a popularização da IA não ocorre apenas via interface web: cresce o uso por APIs em fluxos automatizados e ferramentas internas, o que tende a ampliar a chance de envio acidental de dados e dificulta o controle quando não há observabilidade e governança adequadas.

Há, ainda, um componente de maturidade desigual nas defesas. A Netskope afirma que 90% das empresas já bloqueiam ativamente ao menos uma aplicação de GenAI considerada de risco, sinalizando que parte do mercado reagiu com medidas de contenção. Ainda assim, o relatório indica que o uso de controles em tempo real e DLP está mais consolidado para aplicações pessoais de nuvem do que para GenAI, criando uma lacuna justamente no canal que mais cresceu. O diretor do Netskope Threat Labs, Ray Canzanese, citado pelo IT Forum, reforça essa leitura ao afirmar que a adoção de GenAI criou um perfil de risco abrangente e complexo e que, diante da velocidade, princípios básicos de segurança acabam ficando em segundo plano.

O problema se agrava quando se observa o contexto mais amplo de ameaça interna. A Netskope aponta que aplicações pessoais de nuvem continuam sendo fonte dominante de incidentes de ameaça interna, respondendo por 60% dos casos, com envio recorrente de dados regulados, credenciais, código e materiais sensíveis para instâncias pessoais. Isso conecta duas tendências que antes eram tratadas separadamente, shadow IT e GenAI, agora convergindo no mesmo desafio: impedir que informações corporativas saiam por caminhos convenientes para o usuário, mas invisíveis para a organização.

O relatório ainda projeta um segundo salto de complexidade para 2026 com a adoção de agentic AI, sistemas capazes de executar ações de forma mais autônoma, interagindo com recursos internos e externos, o que multiplica a velocidade com que dados podem ser processados e, potencialmente, expostos. Na prática, o risco deixa de ser apenas o colaborador colando um trecho de informação sensível em um prompt e passa a incluir fluxos automatizados, integrações, permissões excessivas e erros de configuração em cadeias de decisão. É um cenário em que o controle de acesso, o princípio de menor privilégio, o monitoramento contínuo e a governança de dados deixam de ser recomendação e passam a ser pré-requisito para escalar IA sem escalar incidentes.

Para acompanhar todo lançamento do Eskudo News, nos siga no LinkedIn do Eskudo e também no da 2R Datatel!

Leia outras edições do Eskudo News

Eskudo News | O seu jornal quinzenal de tecnologia.

Tags: , , ,
Comentários desabilitados
2R Datatel
Powered by  GDPR Cookie Compliance
Privacy Overview

Este site usa cookies para que possamos fornecer a melhor experiência de usuário possível. As informações de cookies são armazenadas em seu navegador e executam funções como reconhecê-lo quando você retorna ao nosso site e ajudar nossa equipe a entender quais seções do site você considera mais interessantes e úteis.