No primeiro semestre de 2025, dados da Microsoft mostraram que o Brasil ocupou o terceiro lugar entre os países das Américas onde clientes foram mais frequentemente impactados por atividade cibernética. O Brasil foi o primeiro lugar na América do Sul.

Em 80% dos incidentes cibernéticos investigados pelas equipes de segurança da Microsoft no ano passado, os invasores buscavam roubar dados — uma tendência motivada mais pelo ganho financeiro do que pela coleta de inteligência. Segundo o recente Microsoft Digital Defense Report, escrito em parceria com nosso Diretor de Segurança da Informação Igor Tsyganskiy, mais da metade dos ataques cibernéticos com motivos conhecidos foram realizados por extorsão ou ransomware. Isso representa pelo menos 52% dos incidentes impulsionados por ganhos financeiros, enquanto ataques focados exclusivamente em espionagem corresponderam a apenas 4%. As ameaças advindas de Estados-nação continuam sendo graves e persistentes, mas a maioria dos ataques imediatos enfrentados pelas organizações atualmente vem de criminosos oportunistas em busca de lucro.

Todos os dias, a Microsoft processa mais de 100 trilhões de sinais, bloqueia aproximadamente 4,5 milhões de novas tentativas de malware, analisa 38 milhões de detecções de risco de identidade e verifica 5 bilhões de e-mails em busca de malware e phishing. Avanços em automação e a disponibilidade de ferramentas prontas para uso permitiram que cibercriminosos — mesmo com pouca experiência técnica — ampliassem significativamente suas operações. O uso de IA intensificou ainda mais essa tendência, acelerando o desenvolvimento de malware e criando conteúdos sintéticos mais realistas, aumentando a eficiência de atividades como phishing e ataques de ransomware. Como resultado, atores maliciosos oportunistas agora atacam todos — grandes ou pequenos — tornando o cibercrime uma ameaça universal e sempre presente que invade nosso cotidiano.

Nesse cenário, líderes organizacionais precisam tratar a cibersegurança como uma prioridade estratégica central — não apenas como um problema de TI — e construir resiliência em sua tecnologia e operações desde o início. Em nosso sexto Microsoft Digital Defense Report anual, que cobre tendências de julho de 2024 a junho de 2025, destacamos que medidas de segurança legadas já não são suficientes; precisamos de defesas modernas aproveitando a IA e colaboração forte entre setores e governos para acompanhar o ritmo das ameaças. Para indivíduos, ações simples como utilizar ferramentas de segurança robustas — especialmente autenticação multifator (MFA) resistente a phishing — fazem grande diferença, pois a MFA pode bloquear mais de 99% dos ataques baseados em identidade. Abaixo estão alguns dos principais achados.

Serviços críticos são principais alvos, com impactos diretos no mundo real

Atores maliciosos continuam focados em atacar serviços públicos críticos — alvos que, quando comprometidos, têm impacto direto e imediato na vida das pessoas. Hospitais e governos locais, por exemplo, são alvos porque armazenam dados sensíveis ou possuem orçamentos apertados e capacidades limitadas de resposta a incidentes, muitas vezes resultando em softwares desatualizados. No último ano, ataques cibernéticos a esses setores tiveram consequências reais, incluindo atrasos em atendimentos médicos emergenciais, interrupção de serviços de emergência, cancelamento de aulas e paralisação de sistemas de transporte.

Autores de ransomware, em particular, focam nesses setores críticos devido às opções limitadas das vítimas. Por exemplo, um hospital precisa resolver rapidamente seus sistemas criptografados ou pacientes podem morrer, o que pode levar a única opção de pagar pelo resgate. Além disso, governos, hospitais e instituições de pesquisa armazenam dados sensíveis que criminosos podem roubar e monetizar em mercados ilícitos na dark web, alimentando atividades criminosas subsequentes. Governo e indústria podem colaborar para fortalecer a cibersegurança nesses setores especialmente nos mais vulneráveis. Esses esforços são essenciais para proteger comunidades e garantir a continuidade de atendimento, educação e serviços de emergência.

Atores de Estados-nação expandem operações

Embora os cibercriminosos sejam a maior ameaça em volume, atores de Estados-nação continuam mirando setores e regiões-chave, ampliando o foco em espionagem e, em alguns casos, ganhos financeiros. Objetivos geopolíticos continuam impulsionando o aumento de atividades cibernéticas patrocinadas por Estados, com destaque para a expansão de ataques a setores de comunicações, pesquisa e acadêmico.

Principais insights:

• China mantém uma ampla investida em vários setores para realizar espionagem e roubar dados sensíveis. Atores afiliados ao Estado têm atacado cada vez mais ONGs para ampliar sua coleta de informações e utilizam redes encobertas e dispositivos vulneráveis conectados à internet para acessar sistemas e evitar detecção. Tornaram-se mais rápidos em explorar vulnerabilidades recém-divulgadas.
• Irã está mirando uma gama mais ampla de alvos do que nunca, do Oriente Médio à América do Norte, como parte da ampliação de operações de espionagem. Recentemente, três atores iranianos afiliados ao Estado atacaram empresas de transporte e logística na Europa e no Golfo Pérsico para obter acesso contínuo a dados comerciais sensíveis, levantando a possibilidade de que o Irã esteja se posicionando para interferir em operações comerciais de transporte marítimo.
• Rússia, embora ainda focada na guerra na Ucrânia, ampliou seus alvos. Por exemplo, a Microsoft observou atores russos afiliados ao Estado atacando pequenas empresas em países que apoiam a Ucrânia. Fora da Ucrânia, os dez países mais afetados pela atividade cibernética russa pertencem à OTAN — um aumento de 25% em relação ao ano passado. Os atores russos podem ver essas pequenas empresas como pontos de apoio menos custosos para acessar organizações maiores. Eles também estão utilizando cada vez mais o ecossistema do cibercrime em seus ataques.
• Coreia do Norte segue focada em geração de receita e espionagem. Num fenômeno que ganhou destaque, milhares de trabalhadores remotos de TI norte-coreanos se candidataram a vagas em empresas pelo mundo, enviando seus salários como remessas ao governo. Quando descobertos, alguns desses trabalhadores recorreram à extorsão como mais uma forma de arrecadar dinheiro para o regime.

As ameaças cibernéticas dos Estados-nação estão se tornando mais amplas e imprevisíveis. Além disso, o movimento de alguns desses atores em utilizar ainda mais o ecossistema do cibercrime dificultará a atribuição dos ataques. Isso ressalta a necessidade das organizações acompanharem as ameaças aos seus setores e colaborarem com outras empresas e governos para enfrentar os riscos impostos por Estados-nação.

2025 viu uma escalada no uso de IA por atacantes e defensores

No último ano, tanto atacantes quanto defensores utilizaram o poder da IA generativa. Atores maliciosos usam IA para potencializar seus ataques automatizando phishing, ampliando engenharia social, criando mídia sintética, encontrando vulnerabilidades mais rapidamente e desenvolvendo malware que se adapta. Estados-nação também passaram a incorporar IA em suas operações de influência cibernética. Essas atividades se intensificaram nos últimos seis meses, à medida que atores utilizam a tecnologia para tornar suas ações mais avançadas, escaláveis e direcionadas.

Para os defensores, a IA também está se mostrando uma ferramenta valiosa. A Microsoft, por exemplo, utiliza IA para identificar ameaças, fechar lacunas na detecção, identificar tentativas de phishing e proteger usuários vulneráveis. Com os riscos e oportunidades da IA evoluindo rapidamente, as organizações devem priorizar a segurança de suas ferramentas de IA e treinar suas equipes. Todos — do setor privado ao governo — precisam ser proativos para acompanhar os atacantes cada vez mais sofisticados e garantir que os defensores estejam sempre à frente dos adversários.

Os adversários não estão invadindo, mas usando credenciais

Em meio ao aumento da sofisticação das ameaças cibernéticas, um dado se destaca: mais de 97% dos ataques de identidade são ataques a senhas. Só no primeiro semestre de 2025, ataques baseados em identidade aumentaram 32%. Isso significa que a esmagadora maioria das tentativas maliciosas de acesso que uma organização recebe são tentativas em larga escala de adivinhar senhas. Os invasores obtêm nomes de usuário e senhas (“credenciais”) principalmente por vazamentos de credenciais.

No entanto, vazamentos de credenciais não são o único meio de obtenção dessas informações. Este ano, observou-se um aumento no uso de malware infostealer por cibercriminosos – são ferramentas que podem coletar silenciosamente credenciais e informações sobre suas contas online, como tokens de sessão de navegador, em grande escala. Cibercriminosos podem então comprar essas informações roubadas em fóruns de cibercrime, facilitando o acesso de qualquer pessoa a contas para, por exemplo, entregar ransomware.

Felizmente, a solução para compromissos de identidade é simples. A implementação de autenticação multifator (MFA) resistente a phishing pode bloquear mais de 99% desse tipo de ataque, mesmo que o invasor tenha a combinação correta de nome de usuário e senha. Para combater a cadeia de suprimentos maliciosa, a unidade de Crimes Digitais da Microsoft (DCU) está enfrentando o uso criminoso de infostealers. Em maio, a DCU desmantelou o infostealer mais popular — Lumma Stealer — em parceria com o Departamento de Justiça dos EUA e a Europol.

O próximo passo: cibersegurança é prioridade compartilhada

À medida que os atores de ameaça se tornam mais sofisticados, persistentes e oportunistas, as organizações devem permanecer vigilantes, atualizando continuamente suas defesas e compartilhando inteligência. A Microsoft segue comprometida em fortalecer nossos produtos e serviços por meio da Secure Future Initiative. Também continuamos colaborando com outros para rastrear ameaças, alertar clientes alvo e compartilhar informações com o público quando apropriado.

Contudo, segurança não é apenas um desafio técnico, mas um imperativo de governança. Medidas defensivas isoladas não são suficientes para deter adversários de Estados-nação. Os governos precisam construir estruturas que sinalizem consequências críveis e proporcionais para atividades maliciosas que violem regras internacionais. De forma positiva, governos estão cada vez mais atribuindo ataques cibernéticos a atores estrangeiros e impondo consequências como denúncias e sanções. Essa transparência e responsabilização crescentes são passos importantes rumo à dissuasão coletiva. À medida que a transformação digital acelera — impulsionada pelo avanço da IA —, as ameaças cibernéticas representam riscos à estabilidade econômica, governança e segurança pessoal. Enfrentar esses desafios requer não apenas inovação técnica, mas ação coordenada da sociedade.