Threat Report

Cenário de ameaças cibernéticas no setor financeiro LATAM — Primeiro semestre 2026

TL;DR. Ataques contra instituições financeiras brasileiras cresceram 126% em campanhas dirigidas no primeiro semestre de 2026. Os 3 vetores mais relevantes: phishing com IA generativa, exploração de APIs de open banking, ransomware como serviço com afiliados regionais. Este report compila telemetria do SOC Cyber Thrust e feeds OpenCTI.BR.

Contexto e metodologia

Este relatório agrega dados de 6 meses de operação dos SOCs Cyber Thrust atendendo instituições financeiras de médio e grande porte no Brasil, combinados com feeds curados do OpenCTI.BR e relatórios públicos de pares (Mandiant M-Trends 2026, Verizon DBIR, Mitre ATT&CK Updates).

A amostra cobre 12 instituições financeiras Tier 1 e Tier 2 com operações no Brasil — incluindo bancos múltiplos, fintechs reguladas e seguradoras. Os dados foram anonimizados e agregados para preservar confidencialidade.

1. Phishing com IA generativa

O vetor de phishing evoluiu drasticamente com adoção massiva de LLMs para geração de pretextos. O que antes era detectável por erros gramaticais e tom artificial, agora é virtualmente indistinguível de e-mails legítimos.

Indicadores observados

  • Aumento de 340% em campanhas BEC (Business Email Compromise) com pretextos contextualmente perfeitos
  • Uso de deepfake de voz em ligações de "executivos" pedindo transferências urgentes — crescimento de 126%
  • Phishing dirigido (spear phishing) com informações coletadas via LinkedIn + bases vazadas

Recomendação prática

Implementar verificação out-of-band obrigatória para transferências acima de R$ 50K, independente de origem aparente do pedido. Treinamento executivo específico em BEC + deepfake (workshop de 4h com diretoria). Tecnicamente, marcar e-mails externos de forma visualmente clara.

2. Exploração de APIs Open Banking

O ecossistema de Open Banking brasileiro maturou — junto com sua superfície de ataque. APIs expostas são alvo prioritário em 2026.

TTPs observados (MITRE ATT&CK)

  • T1190 · Exploit Public-Facing Application (APIs sem rate limiting adequado)
  • T1078 · Valid Accounts (credenciais de service accounts vazadas)
  • T1552.001 · Credentials In Files (secrets em código-fonte exposto)

Recomendações

  • API Security Testing trimestral com foco em authorization flaws
  • Rate limiting + behavioral anomaly detection nas APIs Open Banking
  • Rotação automática de secrets via HashiCorp Vault ou AWS Secrets Manager
  • Bug bounty privado para o subset de APIs mais expostas

3. Ransomware-as-a-Service com afiliados regionais

Os grupos RaaS (BlackCat/ALPHV, LockBit 5, Akira) ampliaram presença na América Latina via afiliados que operam regionalmente. O tempo médio entre acesso inicial e detonação caiu para 4.2 dias.

Padrões observados

  • Acesso inicial via RDP exposto ou VPN sem MFA
  • Movimentação lateral via Cobalt Strike ou Sliver
  • Persistência via scheduled tasks e services
  • Exfiltração antes do encryption (dupla extorsão padrão)

Defesa em camadas

  1. Detecção rápida — MTTD <30min é o threshold para conter antes da movimentação lateral completar
  2. Backup imutável + air-gapped — testado de verdade em tabletop trimestral
  3. Network segmentation — limitação de blast radius
  4. Privileged Access Management — eliminação de credenciais persistentes

IOCs relevantes (Maio 2026)

Lista parcial de IOCs observados em campanhas ativas contra o setor financeiro BR. Lista completa disponível via OpenCTI.BR para clientes SOC Cyber Thrust.

# Phishing infrastructure
seguro-financeiro-bb[.]com
itau-cliente[.]online
acesso-bb-banco[.]net

# C2 IPs (Cobalt Strike beacons)
185.108.105.X (sanitizado)
194.165.16.X (sanitizado)
45.142.215.X (sanitizado)

# Malware hashes (LockBit affiliate)
SHA256: 7c4a... (sanitizado)
SHA256: a83f... (sanitizado)

Conclusão

O cenário de ameaças contra o setor financeiro brasileiro em 2026 é caracterizado por:

  • Sofisticação crescente via IA aplicada por adversários
  • Velocidade aumentada — tempo entre acesso e impacto cai mês a mês
  • Especialização regional — afiliados que conhecem o contexto BR

A resposta exige operação contínua (SOC 24/7 com MTTD <30min), validação adversarial (red team estruturado), e preparação para incidente (DFIR retainer + tabletop trimestral).

Para discutir como a postura defensiva da sua instituição se compara a este cenário, agende uma conversa de 45min com nossa liderança.

Sobre o autor

Fernando Gustavo é CEO da Cyber Thrust. Lidera segurança ofensiva e inteligência de ameaças, com profundidade técnica em red team, pentest e threat intelligence.

Próximo Passo

Cenário aplicável à sua instituição?

Conversa de 45min com nossa liderança técnica para comparar sua postura defensiva ao threat landscape atual do setor.

Agendar Diagnóstico Gratuito Ver Cases