Um levantamento da empresa de inteligência de ameaças KELA revelou que cerca de 2,9 bilhões de credenciais foram comprometidas ao longo de 2025, evidenciando a escalada global dos ataques cibernéticos. O volume inclui nomes de usuário, senhas, tokens de sessão, cookies e combinações de login extraídas de repositórios de e-mails invadidos e mercados clandestinos.
Do total exposto, ao menos 347 milhões de credenciais foram roubadas por meio de infostealers — malwares especializados em capturar dados diretamente de dispositivos infectados. Esses programas foram identificados em aproximadamente 3,9 milhões de máquinas ao redor do mundo.
Embora nem todas as credenciais vazadas continuem válidas, os pesquisadores alertam que a reutilização de senhas em diferentes serviços amplia drasticamente o risco. Mesmo credenciais antigas podem servir como porta de entrada para novos ataques.
Explosão de infostealers no macOS
Um dos dados mais alarmantes do relatório é o crescimento das infecções em dispositivos da Apple.
Os casos registrados no macOS saltaram de menos de mil em 2024 para mais de 70 mil em 2025, um aumento superior a 7.000%.
Historicamente vistos como alvos menos frequentes, os computadores da Apple passaram a integrar o radar de grupos criminosos, indicando uma expansão das campanhas para além do tradicional ecossistema Windows.
Brasil aparece entre os países mais afetados
No ranking global de máquinas infectadas, o Brasil ocupa a segunda posição, concentrando 6,9% dos casos identificados.
A liderança ficou com a Índia, com 11,9%, seguida pelos Estados Unidos, com 5,5%.
Ransomware cresce e se populariza
Os ataques de ransomware também avançaram de forma significativa em 2025.
Foram registrados 7.549 incidentes, crescimento de 45% em relação ao ano anterior. Ao todo, 147 grupos criminosos reivindicaram ações do tipo, sendo que 80 deles surgiram apenas neste ano.
Esse tipo de ataque consiste na invasão de sistemas com posterior criptografia de arquivos, seguida da exigência de resgate financeiro para liberação dos dados.
Segundo a KELA, a proliferação está ligada à expansão do modelo ransomware-as-a-service, que oferece infraestrutura criminosa pronta para uso, permitindo que operadores com pouca experiência técnica lancem ataques sofisticados.
Mais vulnerabilidades exploradas
O relatório também aponta aumento de 29% nas falhas adicionadas ao catálogo KEV da CISA, agência de cibersegurança dos EUA.
Foram 238 vulnerabilidades catalogadas em 2025, contra 185 no ano anterior.
Além disso, houve mudança no mercado clandestino: criminosos passaram a priorizar ferramentas automatizadas de exploração em massa, capazes de transformar vulnerabilidades recém-descobertas em ataques em questão de horas.
Hacktivismo e ataques DDoS disparam
Outro destaque foi o crescimento expressivo do hacktivismo.
Ao longo do ano, surgiram 250 novos grupos, enquanto os ataques de negação de serviço distribuído (DDoS) cresceram 400%, totalizando cerca de 3.500 incidentes.
A empresa atribui essa escalada ao aumento das tensões geopolíticas globais.
Inteligência artificial entra no centro das operações
A inteligência artificial deixou de ser apenas suporte técnico e passou a ocupar papel central nas operações criminosas.
De acordo com a KELA, mais de 80% dos ataques analisados exigiram mínima intervenção humana, graças à automação de tarefas como personalização de campanhas de phishing, mapeamento de alvos e geração de conteúdo malicioso.
Também houve avanço dos chamados ataques por injeção de prompt, técnica usada para manipular agentes baseados em IA e induzi-los a executar ações indevidas dentro de ambientes corporativos.
Cadeia de suprimentos vira alvo estratégico
A cadeia de fornecimento de software foi uma das frentes mais exploradas em 2025.
Criminosos passaram a mirar repositórios de código aberto e mecanismos de autenticação como o OAuth para comprometer projetos inteiros.
O impacto desse tipo de ataque é particularmente grave: uma única biblioteca maliciosa inserida em um ambiente confiável pode atingir milhares de organizações simultaneamente.
O relatório da KELA reforça um alerta já recorrente no setor: o cibercrime deixou de operar de forma artesanal e entrou definitivamente em escala industrial.
