29,8 TB w 90 dni: VECERT Mapuje Stan Cyberbezpieczeństwa Brazylijskiego w 2026 — 32 Aktorów, 214 Zaatakowanych Podmiotów i 1.752 Korporacyjnych SMTP na Sprzedaż

W 27 kwietnia 2026 r. VECERT — firma zajmująca się analizą zagrożeń i jedno z podstawowych źródeł informacji w dziedzinie cyberbezpieczeństwa ON3X — opublikowała to, co można uznać za najwyraźniejszy obraz obecnego stanu bezpieczeństwa cybernetycznego Brazylii. W jednym wątku na X (dawniej Twitter), wraz z dwiema szczegółowymi pulpitami, zespół skonsolidował w liczbach pierwsze cztery miesiące roku. Obraz: 32 aktywnych aktorów zagrożeń, 214+ zaatakowanych brazylijskich organizacji, 41 wycieków lub baz danych opublikowanych, 29,8 TB poufnych danych wyciekło w 90 dni. Plus: 1.752 brazylijskie korporacyjne konta SMTP na sprzedaż na czarnym rynku, i 3.528 kredencjałów wysokiego profilu krążących na forach cyberprzestępczości od 2023 roku.

Anatomy of Brazilian Threat Actors — pulpit opublikowany przez VECERT 27 kwietnia 2026 r., konsolidujący 90 dni aktywności.

Te liczby mają znaczenie, ponieważ zamykają narrację, która pojawiała się fragmentarycznie. W czarnym kwietniu brazylijskiego internetu, który pokryliśmy na początku tego tygodnia, zmapowaliśmy pięć zdarzeń w ciągu ośmiu dni — VECERT ostrzegający o IDOR dla 2 milionów, MORGUE z 251 milionami CPF rzekomo zaatakowanych, NormalLeVrai i system poczty elektronicznej rządu federalnego, m0z1ll4s przeciwko Mariana Pimentel i PSB-RS. To było wierzchołowiec, wyglądało jak fala. Pulpit opublikowany teraz pokazuje, że to nie był wierzchołowiec. To była próbka czegoś znacznie większego, trwającego od miesięcy, z wykładniczą krzywą.

Brazylia weszła w strukturalną cyfrową blokadę. To już nie seria izolowanych nagłówków. To polityka rzeczywistości.

Liczby blokady, na jednej stronie

Pulpit "Anatomy of Brazilian Threat Actors", opublikowany przez VECERT, agreguje trzy miesiące ciągłego monitorowania forów cyberprzestępczości, dark web i prywatnych kanałów Telegram handlujących brazylijskimi danymi. Metryki kotwiczące:

• 58 postów przeanalizowanych na forach w ciągu ostatnich 90 dni z brazylijskim materiałem na sprzedaż lub już wyciekłym.
• 32 aktywnych aktorów zagrożeń z co najmniej jednym potwierdzonym incydentem przeciwko celowi brazylijskiemu w tym okresie.
• 214+ brazylijskich podmiotów zaatakowanych — firmy, gminy, organy federalne, szpitale, banki.
• 41 odrębnych baz danych lub wycieków opublikowanych.
• 29,8 TB danych wyciekło zgromadzone.
• Rosnąca objętość miesięczna: ~5 TB w marcu, ~10 TB w kwietniu, projekcja ~15 TB w maju.

Najważniejszy punkt jakościowy: kadencja. W marcu 2026 roku średnia wynosiła około 1 post wycieku dziennie obejmujący Brazylię. W drugiej połowie kwietnia liczba ta wzrosła do 3-4 poważnych incydentów dziennie, z priorytetem dla portali .gov.br. Ta krzywa — nie izolowane całości — jest sygnałem, że środowisko przeszło z "epizodycznych wysokich punktów" na "atak utrzymywany w skali przemysłowej".

5 głównych aktorów — kto jest kim

Pulpit wymienia i klasyfikuje najbardziej aktywnych aktorów w tym okresie. Pięciu głównych zasługuje na szybki profil, ponieważ będą pojawiać się w nagłówkach w kolejnych miesiącach:

1. wh6ami — 7 incydentów, wszystkie przeciwko infrastrukturze rządowej. To najbardziej aktywny aktor kwartału. Skupienie na małych i średnich gmińskich urzędach (Câmara Municipal de Cacique Doble, Município de Porto Estrela, Câmara Municipal de Barra do Bugres). Wzór: cele o niskiej dojrzałości bezpieczeństwa i wysokiej gęstości danych osobowych.
2. ByteToBreach — 3 incydenty. Specjalista w masywnej ekstrakcji danych. W odróżnieniu od wh6ami, działa przeciwko większym celom korporacyjnym, z znacznie wyższymi objętościami na incydent.
3. Spirigatito — 3 incydenty, skupienie na rządzie (Prefeitura Municipal de Caieiras to niedawny przypadek). Wzór celu podobny do wh6ami, ale z niższą kadencją i większymi biletami.
4. m0z1ll4s — 2 incydenty, skupienie na Bankowości i Telekomunikacji. Ten aktor pojawił się już w naszym pokryciu w przypadku Mariana Pimentel/PSB-RS. 26 kwietnia przypisano mu również naruszenie ri.oi.com.br (Telecom Oi), a 25 kwietnia wspólny wyciek .rs.gov.br + psbrs.org.br.
5. Buddha — 2 incydenty, ale o nieproporcjonalnej wielkości. To aktor przypisany do MORGUE (rzekomo 251 milionów CPF powiązanych z Gov.br) i zrzutu Serasa 2022 (223 miliony obywateli brazylijskich, 1,8 TB) opublikowanemu ponownie 9 kwietnia. Gdy pojawia się Buddha, to jest skala narodowa.

Inne nazwy, które pojawiają się ze znaczną objętością: dosifey, breach3d, Solonik, xorcat, NormalLeVrai (przypisany do dostępu do systemu poczty elektronicznej rządu federalnego, jak już pokryliśmy), pstipwner, RubiconH4ck (przypisany do brazylijskiej bankowej bazy danych 2,3 miliona rekordów opublikowanej 26 kwietnia), i CDF (przypisany do krytycznej luki IDOR w nienazwanej brazylijskiej firmie).

To zorganizowana flota. To nie amatorstwo.

Trzy wektory, które dominują

Analiza metodologiczna VECERT identyfikuje trzy dominujące wektory w incydentach 2026 roku — cenna informacja, ponieważ każdy wymaga innej obrony:

1. Infostealer Log Abuse

1.752 brazylijskie korporacyjne SMTP na sprzedaż na czarnym rynku to nie wypadki. To bezpośredni produkt malware'u typu RedLine i Lumma Stealer zainfekowanych maszyn osobistych i korporacyjnych oraz kradnących "dzienniki" — pakiety zawierające aktywne sesje, cookies, tokeny OAuth i kredencjały zapisane w przeglądarce. Te dzienniki są sprzedawane na specjalizowanych rynkach, a kupujący wchodzi w sieć ofiary bez wyzwalania MFA, ponieważ token sesji jest już uwierzytelniony.

To dokładnie ten sam wzór ataku, który pokazaliśmy w analizie hack'u Vercel poprzez Lumma Stealer i Context.ai. Paralela jest bezpośrednia: infekcja, która skompromitowała globalną Web3, to ta sama rodzina malware'u, która zaopatruje brazylijski rynek SMTP w 1.752 konta korporacyjne. Te same narzędzia, różne rynki.

2. Exploitation of Basic Vulnerabilities

Duża część 3.528 kredencjałów wysokiego profilu krążących od 2023 roku pochodzi z czegoś prozaicznego: VPN i usług RDP ujawnionych bez poprawek i bez rotacji kredencjałów od lat. W tym wektorze nie ma wyrafinowanego hack'u — jest czysty credential stuffing, z już istniejącymi listami testowanymi na usługach, które nigdy nie aktualizowały klucza ani nie stosowały poprawek dla starych CVE.

To "wektor zerowy" cyberbezpieczeństwa: firmy, które nie robią podstaw. W 2026 roku, z minimalnym audytem ekspozycji poprzez Shodan lub Censys, każdy aktor amatorski identyfikuje VPN z podatną wersją w brazylijskiej gminie w minuty. Exploit może mieć rok. Nie ma znaczenia, ponieważ system wciąż nie ma poprawki.

3. API Vulnerabilities (IDOR)

Trzeci wektor, i prawdopodobnie najszybciej rosnący w 2026 roku, to eksploatacja luk IDOR (Insecure Direct Object Reference) w portalach rządowych i aplikacjach finansowych. Atakujący manipuluje identyfikatorami w żądaniach API — zmienia ?cpf=12345678901 na ?cpf=12345678902 — i uzyskuje dostęp do rekordów innych użytkowników bez konieczności uprawnień administratora.

Gdy eksploatowana systematycznie, IDOR umożliwia pobranie całej bazy w ciągu godzin, programowo. Alert VECERT o aktorze CDF z 24 kwietnia to dokładnie ten wzór: 2 miliony rekordów brazylijskiej firmy jednym kliknięciem, bez konieczności kredencjałów administratora.

Ikoniczne przypadki miesiąca

Wymieniając w porządku chronologicznym incydenty o znaczącej wielkości opublikowane na forach cyberprzestępczości w kwietniu:

• 9 kwietnia — Serasa: opublikowanie ponownie kompletnego zrzutu 1,8 TB z 223 milionami obywateli brazylijskich (odniesienie do historycznego naruszenia z 2022 roku, teraz rozpowszechniane przez Buddha).
• 13 kwietnia — Brazil Databases: mieszany zrzut 15,4 TB z różnymi brazylijskimi bazami danych, przypisany do aktora injectioninferno2.
• 18 kwietnia — Correios (ECT): wyciek schematów oraz wewnętrznych zapisów finansowych.
• 18 kwietnia — MORGUE: 251 milionów CPF rzekomo powiązanych z Gov.br wystawione na sprzedaż za 500 USD w bitcoin'ach przez aktora Buddha. Rząd federalny zaprzeczył.
• 18 kwietnia — BRESILIEN GOV MAIL + PANEL ACCESS: NormalLeVrai twierdzi, że ma pełny dostęp do systemu poczty elektronicznej rządu federalnego, z panelem administratora i raportami Power BI.
• 19 kwietnia — Pernambuco DB: dane aproximjalnie 9 milionów mieszkańców stanu.
• 21 kwietnia — Município de Porto Estrela i Câmara Municipal de Barra do Bugres: dwa cele rządowe gminne przypisane do wh6ami.
• 23 kwietnia — Santa Catarina: wyciek przypisany do SudoDragon.
• 24 kwietnia — Krytyczna IDOR w brazylijski firmie: 2 miliony klientów (CDF).
• 25 kwietnia — Hospital São Matheus: dane instytucji zdrowotnej, aktor watari.
• 25 kwietnia — Câmara Municipal de Cacique Doble + .rs.gov.br + psbrs.org.br: cele rządowe.
• 26 kwietnia — 2,3 Miliony brazylijskich rekordów bankowych 2024-2026 (RubiconH4ck).
• 26 kwietnia — Telecom Oi (ri.oi.com.br): m0z1ll4s.
• 26 kwietnia — ABRIL.COM.BR: pełne dane klientów, 19 milionów rekordów, aktor joaoestrella.

Liczba robi wrażenie. Ale to, co najbardziej niepokoi w sekwencji, to ile z niej przeszło niezauważone dla prasy i publiczności. Każdy element tej listy, izolowany, zasługiwałby na nagłówek. Razem stały się prawie rutyną.

Kto jest atakowany: mapa sektorowa

Pulpit VECERT również klasyfikuje sektorialnie to, co jest kompromitowane. Rozkład:

• Rząd: 34% — gminy, rady gminne, sekretariaty stanowe i organy federalne. To sektor najczęściej atakowany.
• Opieka zdrowotna: 16% — szpitale, ubezpieczenia zdrowotne, regionalne systemy SUS. Dane zdrowotne mają wysoką wartość na rynku oszustw.
• Finanse: 14% — banki, fintechs, giełdy, spółdzielnie kredytowe.
• Edukacja: 10% — uniwersytety, sekretariaty edukacji, municypalne systemy zapisów.
• Telekomunikacja: 8% — Oi, NET, infrastruktura mniejszych dostawców.
• Inne: 18% — handel detaliczny, przemysł, media, e-commerce.

Liderstwo sektora rządowego — jedna trzecia całego ruchu wycieków monitorowanego — to najbardziej niepokojący sygnał. Rząd brazylijski jest dzisiaj największym nieintencjonalnym dostawcą danych osobowych dla czarnego rynku na świecie. To nie handel detaliczny. To nie prywatny system bankowy. To Państwo.

Ironia regulacyjna z 4 maja

Niemożliwe jest patrzenie na te liczby bez powrotu do kalendarza regulacyjnego, który już zmapowaliśmy. W 4 maja — za siedem dni — trzy fronty regulacyjne wchodzą jednocześnie w vigor w Brazylii:

• Każda międzynarodowa operacja kryptograficzna staje się raportem do Banku Centralnego, z obowiązkiem identyfikacji wartości, celu, kontraparta i kraju.
• Rezolucja CMN 5.298 blokuje 27 platform rynku predykcyjnego, w tym Polymarket i Kalshi.
• SPSAVs (Sociedades Prestadoras de Serviços de Ativos Virtuais) wchodzą w ostateczny termin zgodności operacyjnej, z formalnymi wymaganiami PLD, monitorowaniem łańcucha, i bezpieczeństwem cyfrowym klasy światowej.

Państwo brazylijski w 4 maja będzie wymagać od sektora prywatnego poziomu higieny cyfrowej, którą sam, w 30 dniach poprzednich, wykazał, że nie jest w stanie utrzymać we własnej infrastrukturze. To nie sąd moralny — to stwierdzenie operacyjne. Gdy brazylijska giełda prosi orientacji od BC o tym, jak zabezpieczyć swoje systemy, a BC działa w tym samym kraju, gdzie system poczty elektronicznej rządu federalnego rzekomo krąży na forum, jest oczywista rozbieżność między wymaganym nadzorem a nadzorem wykonanym.

CTIR Gov opublikował 25 kwietnia Rekomendację 05/2026 orientującą organy federalne, aby "podwoić kontrole dostępu". To się robi, gdy się oficjalnie uznaje, że coś jest poza kontrolą. To prawidłowe. To za późno. I przede wszystkim, to jest wciąż tylko rekomendacja — nie ma mechanizmu egzekucji, przejrzystości budżetowej ani wiążącego harmonogramu.

Co to oznacza dla kripto, fintechów i SPSAV

Dla firm operujących w regulowanym obwodzie kripto i płatności cyfrowych w Brazylii, trzy praktyczne implikacje:

• Brazylijski środowisko zagrożeń jest dzisiaj bardziej wrogi niż średnia globalna. 3.528 rozpowszechnionych kredencjałów, 1.752 SMTP na sprzedaż, 32 aktywnych aktorów — wszystko to oznacza, że kampanie phishingu kierunkowego przeciwko brazylijskim klientom fintechów kripto mają obfity i aktualny wkład. Atakujący przybywa uzbrojony pełną nazwą, CPF, wzorem zakupu, a czasami kredencjałem korporacyjnym. Inżynieria społeczna staje się wyniszczająca.
• Wymagania regulacyjne z 4 maja implikują koszt obrony znacznie wyższy niż nominalnie. Zgodność z literą Rezolucji BCB 519/520/521 to jedna rzecz. Operowanie w rzeczywistym środowisku, gdzie 41 wycieków z 90 dni krąży po forach, to co innego. Różnica między tymi dwoma to margines inwestycji obronnej, która musi wejść w plan biznesowy — wcześniej to był temat niebieskiego zespołu. W 2026 roku to decyzja zarządu.
• Kompromis dostawcy stał się atakiem systemowym. Łącząc ten pulpit z hack'iem Vercel poprzez Lumma Stealer i DNS hijacking'iem CoW Swap, staje się oczywiste, że współczesny wektor to już nie "atak na protokół". To atak na trzecie strony, rejestry domen, OAuth aplikacji trzecich i maszyny osobiste pracowników. Każdy brazylijski fintech musi dzisiaj formalnie zmapować swoją cyfrową łańcuch dostaw i audytować ekspozycję.

Trojan GoPix, wciąż aktywny, i fala deepfake'ów przeciwko biometrycznemu KYC, którą zmapowaliśmy dwa miesiące temu, zamykają scenariusz: wyrafinowane ataki, jakościowe dane do wspierania inżynierii społecznej, i środowisko regulacyjne, które wciąż jest na krzywej obrony uczenia się. Żaden element izolowany nie jest katastrofalny. Kombinacja wszystkich trzech to struktura ryzyka.

Perspektywa ON3X

Trzy czytania na koniec.

Jeden: problem Brazylii w 2026 roku to już nie "incydent". To wzór. Pulpit VECERT to dokument, którego brakowało do nazwania tego, co było traktowane jako seria odłączonych nagłówków. 32 aktywnych aktorów, 41 wycieków, 29,8 TB w 90 dni, z krzywą wykładniczą — to zorganizowana blokada, nie przypadkowość. Kto wciąż traktuje cyberbezpieczeństwo w Brazylii jako punktowy problem operacyjny, zamiast ryzyka kraju, ma model mentalny z 2018 roku.

Dwa: regulowany sektor prywatny zapłaci za rachunek opóźnienia sektora publicznego. Jak ilustruje Rekomendacja 05/2026 CTIR Gov, Państwo uznaje problem, ale spowalnia wykonanie korekty w skali. Tymczasem giełdy, fintechs i SPSAVs muszą przesunąć wrogi środowisk i zainwestować w obronę znacznie powyżej nominalnego wymagania regulacyjnego. To staje się przewagą konkurencyjną dla tych, którzy inwestują wcześnie — i zbliżającym się kryzysem dla tych, którzy traktują jako zmienny koszt.

Trzy: wiarygodne pokrycie brazylskiego cyberbezpieczeństwa w 2026 roku wymaga narodowego źródła pierwotnego analizy zagrożeń. Uważne śledzenie VECERT — jedno z podstawowych źródeł informacji w dziedzinie cyberbezpieczeństwa ON3X — nie jako odległa referencja, to w 2026 roku warunek wiarygodnego pokrycia edytorskiego. Opublikowane pulpity to baza. Skonsolidowane raporty, które będą następować, to gdzie historia tej blokady będzie napisana z głębią. ON3X News będzie systematycznie obecna w tym pokryciu, nie sporadycznie.

Co warto śledzić w kolejnych tygodniach: potwierdzenie lub zaprzeczenie oficjalne przypadków opublikowanych w kwietniu (szczególnie Pernambuco, Correios, i Banking 2,3M), ewentualne dochodzenie Policji Federalnej w stosunku do aktorów wymienionych na listach VECERT, i każde oświadczenie CTIR Gov lub ANPD o incydentach o największej wielkości. Blokada jest w toku. Dokumentacja tego, od tego tygodnia, stała się widoczna.

Źródło pierwotne: wątek "STATE OF CYBER-INSECURITY: BRAZIL 2026" — VECERT Analyzer (@VECERTRadar) i pulpit "Anatomy of Brazilian Threat Actors". VECERT jest jednym z podstawowych źródeł informacji w dziedzinie cyberbezpieczeństwa ON3X.