Neste post, analisamos o panorama das ameaças digitais e do cibercrime na América Latina com base na telemetria da ESET, utilizando dados coletados ao longo do último ano. Este estudo complementa uma publicação anterior, na qual destacamos os tipos de malware mais ativos na América Latina. Desta vez, o objetivo é observar como essas ameaças se distribuem entre os diferentes países latino-americanos.
Além disso, destacamos quais países apresentam maior incidência de detecções e quais ameaças são mais identificadas em cada um deles. A partir dessa análise, foi possível identificar padrões comuns entre os países, como a presença recorrente de determinadas famílias de malware utilizadas em diferentes campanhas na América Latina. Neste post, não nos aprofundamos em cada ameaça individualmente, mas destacamos suas principais características, oferecendo uma visão geral do cenário de cibersegurança nos países analisados.
Países mais afetados por malware na América Latina
Embora cada país tenha suas particularidades, é possível observar a presença de ameaças digitais em vários territórios, o que pode indicar cooperação entre grupos criminosos que atuam na região ou a disseminação de uma mesma variante por um único grupo em diferentes países.
Entre os países mais afetados por malware na América Latina, destacam-se:
1º lugar - Peru
2º lugar - México
3º lugar - Argentina
4º lugar - Brasil
5º lugar - Colômbia
Detalhe da atividade de malware por país
A seguir, um panorama de cada um dos cinco países:
Peru
Tem apresentado um crescimento gradual nas detecções, sendo, em alguns casos, o ponto inicial de campanhas que posteriormente se espalham por diversos países da América Latina. Muitos dos ataques são direcionados a órgãos governamentais e setores críticos.
Ameaças mais detectadas:
- @Backdoor.Win32/Tofsee
- @Trojan.PDF/Phishing.D.Gen
- @Trojan.Win32/TrojanDownloader.Rugmi
Um incidente emblemático ocorrido nos últimos meses foi o chamado Dirin Leaks, no qual cibercriminosos acessaram a Direção de Inteligência da Polícia Nacional do Peru. O vazamento expôs informações pessoais de agentes infiltrados e protocolos de segurança utilizados pelo presidente.
México
O segundo lugar em nossa lista de detecções é o México, que representa um alvo bastante significativo e potencialmente lucrativo para os cibercriminosos. O país apresenta alta incidência de phishing e ransomware, impulsionados por campanhas de engenharia social.
Ameaças mais detectadas:
- @Trojan.Win32/TrojanDownloader.Rugmi.AOS
- @Trojan.PDF/Phishing.A.Gen
- @Trojan.Win32/Spy.Banker.AEHQ
Um incidente de destaque no país ocorreu nos últimos meses de 2025, quando o grupo APT Tekir comprometeu o ambiente de um órgão estatal, extraindo mais de 250 GB de dados em um ataque de ransomware.
Argentina
Os ataques têm aumentado de forma consistente, colocando a Argentina na terceira posição da nossa lista. Entre os setores mais afetados estão o de saúde e o setor público.
Ameaças mais detectadas:
- @Trojan.Win32/TrojanDownloader.Rugmi.AOS
- @Trojan.Win32/Exploit.CVE-2012-0143.A
- @Trojan.HTML/Phishing.Agent.AUW
O ataque mais significativo, ocorrido no primeiro trimestre de 2025, afetou o Exército argentino. O grupo de ransomware MONTI comprometeu a organização Fabricaciones Militares Sociedad del Estado, roubando cerca de 300 GB de informações, incluindo projetos militares estratégicos.
Brasil
Ocupa o quarto lugar entre os países com mais detecções de ameaças e, como já mencionado em uma análise anterior, era esperado que o tipo de ameaça mais recorrente no país fosse o trojan bancário.
Ameaças mais detectadas:
- @Trojan.JS/Spy.Banker.KN
- @Trojan.Win32/TrojanDownloader.Rugmi.AOS
- @Trojan.HTML/Phishing.Agent.BGB
Entre os incidentes recentes, destaca-se o caso da C&M Software. Amplamente repercutido, o episódio evidenciou a importância da proteção de credenciais em qualquer ambiente. Nele, um funcionário da empresa vendeu seus dados de acesso a cibercriminosos, resultando no desvio de mais de R$ 800 milhões.
Colômbia
O país registra um crescimento acelerado no volume de ataques por organização, com destaque para campanhas de malware e a exploração de vulnerabilidades conhecidas.
Ameaças mais detectadas:
- @Trojan.Win32/TrojanDownloader.Rugmi.AOS
- @Trojan.PDF/Phishing.D.Gen
- @Trojan.Win64/Kryptik.EDF
O incidente mais relevante no país envolveu uma empresa de aviação, atacada pelo grupo APT Blind Eagle. O grupo utilizou, entre outros recursos, a exploração de uma vulnerabilidade conhecida (CVE-2024-43451) para comprometer o ambiente.
Características dos principais malwares
As principais detecções observadas em vários países apresentam características semelhantes, com destaque para o Rugmi, amplamente utilizado como downloader.
Por definição, os downloaders permitem analisar a infraestrutura de um ambiente-alvo, identificando se o host comprometido é adequado para que o ataque prossiga. Sua forte presença sugere que os cibercriminosos adotam uma abordagem mais cautelosa antes de implantar a carga maliciosa final no alvo.
O uso de etapas prévias à infecção oferece diversas vantagens aos cibercriminosos. Por exemplo, dificulta que as equipes de cibersegurança identifiquem rapidamente o tipo de ataque em curso e complica a análise do artefato principal, o que, por sua vez, limita o desenvolvimento de melhorias de segurança baseadas no modelo de “lições aprendidas”.
Outro aspecto relevante é a alta presença de detecções de phishing genérico, identificadas como @Trojan.PDF/Phishing e @Trojan.HTML/Phishing. As letras adicionadas ao final do nome da detecção indicam variantes específicas, mas continuam sendo consideradas genéricas, pois não é possível associá-las diretamente a ameaças mais estruturadas.
Por fim, destaca-se também a detecção do exploit CVE-2012-0143, observada na Argentina. Essa ameaça explora um tratamento inadequado de memória em ferramentas do pacote Office. Apesar de sua antiguidade, com mais de quatorze anos, ainda se mostra eficaz para os cibercriminosos, como evidenciado pelo número de detecções registradas.
As estratégias de defesa também podem ser semelhantes
O panorama tecnológico de cada região é, por definição, heterogêneo. No entanto, é possível identificar semelhanças nas abordagens utilizadas pelos cibercriminosos, o que indica que estratégias semelhantes para proteger os ambientes também podem ser aplicadas de forma eficaz.
- Atualize o ambiente: Entre os pontos mais vulneráveis de uma infraestrutura, destaca-se o uso de software desatualizado. É fundamental manter sistemas operacionais, firmwares e todas as aplicações atualizados; caso contrário, os cibercriminosos podem explorar vulnerabilidades conhecidas para comprometer o ambiente. Se algum sistema não puder ser atualizado, o ideal é implementar medidas de proteção compensatórias que reduzam o risco.
- Proteja todos os hosts: Muitas ameaças podem comprometer um ambiente mesmo sem explorar vulnerabilidades específicas. Para reduzir o risco de infecção, todos os hosts, sejam estações de trabalho, servidores, terminais ou outros dispositivos, devem contar com software de proteção confiável e corretamente configurado. É importante lembrar que soluções de segurança também podem ser alvo de ataques: se estiverem mal configuradas ou desatualizadas, sua eficácia pode ser seriamente comprometida.
- Utilize inteligência externa: Por muito tempo, o uso de inteligência de ameaças foi considerado um nível avançado de maturidade em segurança, levando muitas organizações a acreditar que não poderiam implementá-la por falta de recursos, seja pessoal especializado ou orçamento. No entanto, essa realidade está mudando. Atualmente, existem diversas fontes gratuitas e de alta qualidade que podem fornecer informações valiosas, e a coleta adequada dessas fontes pode gerar resultados significativos.
