O que estamos vendo no campo. What we're seeing in the field.

Aqui está uma de verdade. A nota abaixo foi deixada pelo grupo EMBARGO e recolhida na nossa própria coleta de inteligência — redigimos o link de registro da vítima e os dados de contato, mas mantivemos a linguagem intacta. Repare em que a exigência realmente gasta as palavras dela. Here's a real one. The note below was left by the EMBARGO crew and captured in our own intelligence collection — we've redacted the victim's registration link and contact details, but left the language intact. Watch what the demand actually spends its words on.

Em que a nota realmente está mirandoWhat the note is really aiming at

Repare na ordem das coisas. Os dados já se foram antes da criptografia — "downloaded all… and encrypted." O vazamento é a alavanca de verdade; a tranca é quase um detalhe. Há uma contagem regressiva. Há a ameaça de vender a data brokers se você sequer se registrar. Roubar-e-depois-criptografar significa que backup nenhum te salva da exposição — e a LGPD transforma essa exposição em incidente reportável e multa de até 2% do faturamento. Então, lá no fim, vem a parte que entrega o jogo inteiro: Notice the order of operations. The data is gone before the encryption — "downloaded all… and encrypted." The leak is the real leverage; the lock is almost a detail. There's a countdown. There's a threat to sell to data brokers if you don't even register. Steal-then-encrypt means no backup saves you from exposure — and the LGPD turns that exposure into a reportable breach and a fine of up to 2% of revenue. Then, at the very bottom, comes the part that gives the whole game away:

"Speak for yourself… we will not waste time with professional negotiators. If we suspect you to speaking by professional negotiators, your keys will be immediate deleted."

Isso não é bravata. É a estratégia inteira em uma frase. Um grupo que só quisesse ser pago não se importaria com quem digita as mensagens. Eles ameaçam destruir suas chaves no instante em que suspeitam de um negociador porque uma vítima com ajuda especializada é uma vítima que descobre que a exigência é negociável, que pagar talvez nem devolva os dados, e que ela tem obrigações e opções muito além desta nota. O isolamento é o produto. O medo é a entrega. That isn't bravado. It's the entire strategy in one sentence. A crew that only wanted to get paid wouldn't care who types the messages. They threaten to destroy your keys the instant they suspect a negotiator because a victim with expert help is a victim who learns the demand is negotiable, that paying may not even return the data, and that they have obligations and options far beyond this note. Isolation is the product. Fear is the delivery.

O padrão mais alarmante — o abafamentoThe most alarming pattern — the cover-up

Em vários casos os grupos afirmaram algo que deveria preocupar qualquer gestor mais do que o resgate: que o próprio provedor ou departamento de TI da vítima havia identificado o incidente e o escondido — minimizou, ignorou, torceu para passar. Sendo verdade em todos os casos ou não, o padrão é real e é o pior modo de falha possível: as pessoas em quem você confiava para soar o alarme tinham um motivo para não soar. Um incidente detectado cedo é contido. Um incidente escondido vira vazamento. In several cases the crews claimed something that should worry any owner more than the ransom itself: that the victim's own IT provider or department had spotted the incident and buried it — downplayed it, dismissed it, hoped it would pass. Whether or not every such claim is true, the pattern is real, and it's the worst possible failure mode: the people you trusted to raise the alarm had a reason not to. An incident caught early is contained. An incident hidden becomes a leak.

Então, como eles entraram?So how did they get in?

Resposta honesta: de fora, só dá para inferir. Sem autorização, não temos como entrar na rede e rastrear o caminho exato que usaram — um snapshot passivo enxerga o que está exposto à internet, não o que aconteceu lá dentro. Mas a própria exposição conta a história, e ela raramente é uma única porta. Na maioria das vezes, essas vítimas tinham vários ativos expostos ao mesmo tempo — um portal de acesso remoto aqui, um appliance sem patch ali, credenciais já circulando num vazamento — e qualquer um deles bastava. Honest answer: from the outside, we can only infer. Without authorization we can't get inside a network and trace the exact path they took — a passive snapshot sees what's exposed to the internet, not what happened on the inside. But the exposure itself tells the story, and it's rarely a single door. More often than not, these victims had several assets exposed at once — a remote-access portal here, an unpatched appliance there, credentials already circulating in a leak dump — any one of which was enough.

E o grupo que entrou muitas vezes não foi o que arrombou. Existe um mercado para isso: os initial access brokers comprometem uma rede e depois vendem esse acesso num fórum — às vezes para mais de um comprador. O operador de ransomware apenas comprou uma chave que outra pessoa já havia cortado. And the crew that walked in often wasn't the one that broke in. There's a working market for this: initial access brokers compromise a network, then sell that foothold on a forum — sometimes to more than one buyer. The ransomware operator simply bought a key someone else had already cut.

O que leva à parte incômoda: em quase nenhum desses casos o atacante precisou de um exploit novo e engenhoso. Eles não precisaram de um exploit sofisticado — a porta fácil já estava aberta. E foi assim em praticamente todas as vítimas que examinamos. Which leads to the uncomfortable part: in almost none of these cases did the attacker need a clever, novel exploit. They didn't need a fancy exploit — the easy door was already open. And that held for nearly every victim we looked at.

O que toda vítima nomeada tinha em comumWhat every named victim had in common

A SavoirIntel rodou um Surface Risk Snapshot passivo em cada vítima que encontramos nomeada nesses sites — sem contato, sem teste ativo, apenas o que já está exposto. Os resultados foram monótonos. Todas, sem exceção, compartilhavam as mesmas lacunas: SavoirIntel ran a passive Surface Risk Snapshot on every victim we found named on these sites — no contact, no active testing, only what's already exposed. The results were monotonous. Every single one shared the same gaps:

• Ninguém observando em tempo real. Sem SOC, sem monitoramento — a invasão aconteceu sem ninguém em casa.No one watching in real time. No SOC, no monitoring — the intrusion unfolded with nobody home.
• Sem dono claro da segurança. A TI era terceirizada ou acumulava dez funções; ninguém era responsável — exatamente como um incidente acaba abafado.No clear owner of security. IT was outsourced or wore ten hats; nobody was accountable — which is exactly how an incident gets buried.
• Sem plano de resposta a incidentes. Quando aconteceu, não havia roteiro — só pânico e as instruções do atacante.No incident response plan. When it hit, there was no playbook — only panic and the attacker's instructions.
• Sem validação. Sem pentest, sem red team — ninguém nunca tentou invadir de propósito, então a porta aberta ficou aberta por meses.No validation. No pentest, no red team — no one had ever tried to break in on purpose, so the open door stayed open for months.
• Sem liderança de segurança. Sem vCISO, ninguém traduzindo risco técnico em decisão de negócio antes de virar crise.No security leadership. No vCISO, nobody translating technical risk into a business decision before it became a crisis.

Nenhuma dessas empresas teve azar de algum jeito exótico. Estavam expostas das mesmas cinco maneiras comuns, e os grupos simplesmente entraram. A solução não é medo, e não é uma pilha corporativa de seis dígitos. É ter alguém observando, alguém responsável, um plano para o dia ruim e a prova de que suas portas estão de fato trancadas. Se algo disso se parece com a sua operação, essa é a conversa para ter agora — não durante a contagem regressiva. None of these companies were unlucky in some exotic way. They were exposed in the same five ordinary ways, and the crews simply walked in. The fix isn't fear, and it isn't a six-figure enterprise stack. It's having someone watching, someone accountable, a plan for the bad day, and proof your doors are actually locked. If any of this reads like your own setup, that's the conversation to have now — not during the countdown.

O que fazerWhat to do

• Se for atingido: procure ajuda antes de falar com o atacante. "Fale por si mesmo" é a única instrução da nota escrita puramente em benefício deles.If you're hit: get help before you talk to the attacker. "Speak for yourself" is the one instruction in the note written purely for their benefit.
• Presuma roubo antes da criptografia. Trate todo incidente como vazamento de dados com obrigações de LGPD, não como uma simples queda de sistema.Assume stolen-then-encrypted. Treat every incident as a data breach with LGPD obligations, not just an IT outage.
• Coloque um nome na segurança. Liderança até em meio período (um vCISO) é melhor do que responsabilidade difusa que ninguém assume.Put one name on security. Even part-time leadership (a vCISO) beats diffuse responsibility no one owns.
• Tenha olhos na rede. Cobertura de monitoramento/SOC para que a invasão seja detectada enquanto acontece, não anunciada num site de vazamento.Get eyes on the network. Monitoring/SOC coverage so an intrusion is caught as it happens, not announced on a leak site.
• Valide as fechaduras. Um pentest mostra onde você está exposto antes que outra pessoa descubra de graça.Validate the locks. A pentest shows where you're exposed before someone else finds out for free.

A maioria das empresas brasileiras descobre uma ameaça quando ela já está dentro — no PIX desviado, no sistema fora do ar, no aviso de que dados foram colocados à venda. A inteligência que poderia ter mudado esse desfecho existia semanas antes, espalhada por fóruns, canais e sites que poucos acompanham. Esta página é onde passamos a publicar o que vemos, enquanto ainda dá tempo de agir. Most Brazilian businesses learn about a threat once it's already inside — in the diverted PIX, the system that's down, the notice that their data is up for sale. The intelligence that could have changed that outcome existed weeks earlier, scattered across forums, channels, and sites that few people watch. This page is where we start publishing what we see, while there's still time to act.

Toda semana, conduzimos pesquisa de ameaças de primeira mão — observando o que grupos de ransomware anunciam, quais setores estão sendo mirados, que tipos de acesso estão à venda, e quais técnicas estão migrando para o Brasil. Trazemos isso para cá em linguagem clara, com a fonte sempre citada e com uma leitura honesta do que significa para uma PME que não tem um time de segurança dedicado. Every week, we run first-hand threat research — watching what ransomware groups announce, which sectors are being targeted, what kinds of access are for sale, and which techniques are migrating into Brazil. We bring it here in plain language, always with the source cited, and with an honest read on what it means for an SMB that doesn't have a dedicated security team.

O que você vai encontrar aquiWhat you'll find here

• Atividade de ransomware e vazamentos que tocam o mercado brasileiro — quem foi mirado e como.Ransomware and leak activity touching the Brazilian market — who got hit, and how.
• Padrões de ataque que estamos vendo em campo antes de virarem notícia.Attack patterns we're seeing in the field before they hit the news.
• O ângulo LGPD: o que cada incidente significa em risco de exposição e de multa.The LGPD angle: what each incident means in exposure and fine risk.
• O que fazer a respeito — passos concretos, não medo.What to do about it — concrete steps, not fear.

Se você quer ver o panorama completo do que já mapeamos, comece pelo nosso mapa de incidentes verificados do Brasil. E se um destes relatos bater perto demais de casa, é exatamente para isso que existimos. If you want the full picture of what we've already mapped, start with our verified Brazil incident map. And if one of these reports hits too close to home, that's exactly what we're here for.