O ano de 2025 marcou o fim da ilusão de estabilidade no ambiente digital. Ou seja, a sensação de que bastava “blindar o sistema” para manter a operação segura deixou de fazer sentido. O que se consolidou foi a certeza de que a instabilidade é permanente, e que a verdadeira vantagem competitiva das organizações passou a ser a capacidade de detectar rapidamente, responder com agilidade e se recuperar sem paralisar o negócio.

É a partir dessa leitura que a Apura Cyber Intelligence, empresa brasileira que trabalha com inteligência cibernética, apresenta seu relatório anual de ameaças, reunindo os principais eventos, padrões e tendências que moldaram o ciberespaço no último ano. “O que 2025 nos mostrou é que não existe mais zona de conforto. A dinâmica do cibercrime é de adaptação contínua, e qualquer organização que não acompanhe esse ritmo se torna um alvo em potencial”, afirma Anchises Moraes, especialista da Apura.

Anchises destaca ainda que “o risco não está apenas em grandes brechas técnicas, mas na combinação de fatores como dependência crescente de terceiros, uso massivo de softwares compartilhados, aumento do poder computacional dos criminosos e uso intensivo de inteligência artificial para automatizar ataques. O resultado é um cenário em que a superfície de exposição cresce mais rápido do que a capacidade tradicional de defesa”.

Ransomware com menos barulho e mais impacto

Mesmo após operações policiais internacionais e a desarticulação de grupos conhecidos, o ransomware seguiu como a principal preocupação de executivos de alto escalão. A diferença é que os ataques se tornaram mais estratégicos. Em vez de grandes ondas indiscriminadas, os criminosos passaram a mirar cadeias de suprimentos, provedores de tecnologia e serviços essenciais, onde minutos de indisponibilidade representam prejuízos milionários.

Um fenômeno que chamou atenção no levantamento da Apura foi a proliferação de novos grupos de ransomware utilizando códigos reciclados de grupos conhecidos, variantes vazadas, abandonadas ou comercializadas em fóruns clandestinos. Até mesmo grupos considerados desmantelados, como o LockBit, demonstraram uma capacidade de regeneração.

“O que vimos foi a profissionalização da reciclagem no cibercrime. A infraestrutura pode ser derrubada, mas o conhecimento e o código continuam circulando. A barreira de entrada para novos atacantes caiu drasticamente”, diz Anchises Moraes.

Segundo o especialista, paralelamente, os ataques de negação de serviço (DDoS) atingiram volumes históricos, sendo utilizados tanto como instrumento de extorsão quanto como cortina de fumaça para invasões mais complexas.

Cadeia de suprimentos como o elo mais frágil

Se houve um consenso entre especialistas, foi sobre a vulnerabilidade das cadeias de suprimentos digitais. Embora o risco associado a fornecedores não seja novidade, ele atingiu um novo patamar de criticidade após diversos episódios que expuseram o potencial devastador desse tipo de ataque.

Casos emblemáticos dos últimos anos, como a exploração de vulnerabilidades zero-day em softwares amplamente utilizados e o comprometimento de repositórios de código, consolidaram uma mudança de mentalidade entre os criminosos.

“Em vez de atacar uma única fortaleza, os grupos passaram a envenenar o poço de onde todos bebem. Uma única brecha em um software amplamente adotado pode comprometer centenas de organizações ao mesmo tempo”, resume Marco Romer, Coordenador na Apura Cyber Intelligence.

O fator humano no centro do risco

Uma das revelações mais contundentes do relatório diz respeito ao papel dos insiders. Funcionários e prestadores de serviço com acesso legítimo tornaram-se alvos prioritários de aliciamento, coerção ou engenharia social.

O Brasil protagonizou, em 2025, o episódio mais grave de sua história nesse contexto. A venda de credenciais de um colaborador terceirizado da C&M Software resultou no desvio de quase R$ 1 bilhão de instituições financeiras em questão de horas. Nos Estados Unidos, por exemplo, um funcionário da Agência de Inteligência de Defesa foi preso ao tentar vazar informações sigilosas por motivação ideológica.

“O insider deixou de ser uma exceção e passou a ser parte do modelo de ameaça. Isso exige uma revisão profunda de políticas de acesso, monitoramento e cultura organizacional”, alerta Romer.

Inteligência Artificial como arma de defesa e ataque

Em 2025, a Inteligência Artificial (IA) se tornou o motor central da cibersegurança. No campo defensivo, algoritmos de machine learning passaram a detectar anomalias em tempo real e a orquestrar respostas automatizadas, reduzindo drasticamente o tempo de exposição das empresas.

Por outro lado, o uso ofensivo da IA evoluiu na mesma velocidade. Malwares adaptativos, capazes de modificar seu próprio código para escapar de sistemas de detecção, tornaram-se mais comuns. Ataques de phishing e vishing alcançaram níveis de realismo inéditos, com simulações de voz e texto quase indistinguíveis da comunicação humana legítima.

“A IA trouxe uma agilidade sem precedentes para nossas ferramentas, permitindo alertar clientes antes mesmo de um ataque se concretizar. Mas o phishing hoje é quase perfeito; o desafio, que antes era técnico, passou a ser cognitivo”, afirma o coordenador da Apura.

Guerra híbrida, hacktivismo e o contra-ataque das autoridades

As tensões geopolíticas globais também deixaram marcas profundas no ciberespaço. Infraestruturas críticas, como energia, água e telecomunicações, tornaram-se alvos recorrentes de guerra híbrida, enquanto o hacktivismo ressurgiu com força, muitas vezes funcionando como extensão informal de interesses estatais.

Ao mesmo tempo, 2025 também foi um ano de reação. Operações coordenadas de forças policiais internacionais atingiram grandes cartéis de ransomware e esquemas menores, como fraudes sentimentais e mercados clandestinos ligados a moedas virtuais de jogos eletrônicos, deixando uma sensação de que a impunidade começa a diminuir.

2026: resiliência como estratégia

O relatório da Apura encerra com uma visão pragmática para o futuro. As projeções para 2026 não se baseiam em especulação, mas no monitoramento contínuo do ecossistema digital.

“Preferíamos estar errados em nossas previsões mais pessimistas, mas a realidade é que os cibercriminosos não têm amarras éticas ou burocráticas. Eles evoluem na velocidade do pensamento”, afirma Anchises Moraes. “Para 2026, a palavra-chave é resiliência, ou seja, assumir que a tentativa de invasão é inevitável e focar na capacidade de detectar rapidamente e se recuperar com eficiência.”

Assessoria