29,8 TB em 90 Dias: VECERT Mapeia o Estado da Cyber-Insegurança Brasileira em 2026 — 32 Atores, 214 Entidades Comprometidas e 1.752 SMTPs Corporativos à Venda

Em 27 de abril de 2026, a VECERT — empresa de threat intelligence e uma das fontes primárias de informação na área de cibersegurança da ON3X — publicou o que pode ser considerado a fotografia mais nítida do estado atual da cibersegurança brasileira. Em uma única thread no X (antigo Twitter), acompanhada de dois dashboards detalhados, a equipe consolidou em números os primeiros quatro meses do ano. O quadro: 32 threat actors ativos, 214+ organizações brasileiras comprometidas, 41 leaks ou bancos de dados publicados, 29,8 TB de dados sensíveis vazados em 90 dias. Plus: 1.752 contas SMTP corporativas brasileiras à venda em mercado paralelo, e 3.528 credenciais high-profile circulando em fóruns de cibercrime desde 2023.

Anatomy of Brazilian Threat Actors — dashboard publicado pela VECERT em 27 de abril de 2026, consolidando 90 dias de atividade.

Esses números têm peso porque encerram uma narrativa que vinha aparecendo em parcelas. Em o Abril Negro do Brasil Digital que cobrimos no início desta semana, mapeamos cinco eventos em oito dias — VECERT alertando sobre IDOR de 2 milhões, MORGUE com 251 milhões de CPFs alegadamente comprometidos, NormalLeVrai e o sistema de email do governo federal, m0z1ll4s contra Mariana Pimentel e PSB-RS. Era pico, parecia onda. O dashboard publicado agora mostra que não era pico. Era amostra de algo muito maior, em curso há meses, com curva exponencial.

O Brasil entrou em cerco digital estrutural. Não é mais série de manchetes isoladas. É política da realidade.

Os números do cerco, em uma página

O dashboard "Anatomy of Brazilian Threat Actors", publicado pela VECERT, agrega três meses de monitoramento contínuo de fóruns de cibercrime, dark web e canais privados de Telegram que comercializam dados brasileiros. As métricas-âncora:

• 58 posts analisados em fóruns nos últimos 90 dias com material brasileiro à venda ou já vazado.
• 32 threat actors ativos com pelo menos um incidente confirmado contra alvo brasileiro no período.
• 214+ entidades brasileiras comprometidas — empresas, prefeituras, órgãos federais, hospitais, bancos.
• 41 bancos de dados ou leaks distintos publicados.
• 29,8 TB de dados vazados acumulados.
• Volume mensal crescente: ~5 TB em março, ~10 TB em abril, projeção de ~15 TB em maio.

O ponto qualitativo mais importante: a cadência. Em março de 2026, a média era de aproximadamente 1 post de leak por dia envolvendo o Brasil. Na segunda metade de abril, esse número saltou para 3 a 4 incidentes graves diários, com prioridade em portais .gov.br. Essa curva — não os totais isolados — é o sinal de que o ambiente saiu de "pontos altos episódicos" para "ataque sustentado em escala industrial".

Os 5 atores principais — quem é quem

O dashboard nomina e ranqueia os atores mais ativos no período. Os cinco principais merecem perfil rápido, porque vão aparecer em manchetes nos próximos meses:

1. wh6ami — 7 incidentes, todos contra infraestrutura governamental. É o ator mais ativo do trimestre. Foco em prefeituras de pequeno e médio porte (Câmara Municipal de Cacique Doble, Município de Porto Estrela, Câmara Municipal de Barra do Bugres). Padrão: alvos com baixa maturidade de segurança e alta densidade de dados pessoais.
2. ByteToBreach — 3 incidentes. Especialista em extração de dados massiva. Diferente de wh6ami, opera contra alvos corporativos maiores, com volumes por incidente significativamente mais altos.
3. Spirigatito — 3 incidentes, foco governamental (Prefeitura Municipal de Caieiras é caso recente). Padrão de alvo similar ao wh6ami, mas com cadência menor e tickets maiores.
4. m0z1ll4s — 2 incidentes, foco em Banking & Telecom. Esse ator já apareceu na nossa cobertura no caso Mariana Pimentel/PSB-RS. Em 26 de abril, foi atribuído também o breach de ri.oi.com.br (Telecom Oi), e em 25 de abril, o vazamento conjunto .rs.gov.br + psbrs.org.br.
5. Buddha — 2 incidentes, mas de magnitude desproporcional. É o ator atribuído ao MORGUE (251 milhões de CPFs supostamente vinculados ao Gov.br) e ao dump Serasa 2022 (223 milhões de cidadãos brasileiros, 1,8 TB) republicado em 9 de abril. Quando Buddha aparece, é magnitude nacional.

Outros nomes que aparecem com volume relevante: dosifey, breach3d, Solonik, xorcat, NormalLeVrai (atribuído ao acesso ao sistema de email do governo federal, conforme já cobrimos), pstipwner, RubiconH4ck (atribuído ao banco de dados bancário brasileiro de 2,3 milhões de registros publicado em 26 de abril), e CDF (atribuído à vulnerabilidade IDOR crítica em empresa brasileira não-nomeada).

É frota organizada. Não é amador.

Os 3 vetores que dominam

A análise metodológica da VECERT identifica três vetores predominantes nos incidentes de 2026 — informação valiosa porque cada um exige defesa diferente:

1. Infostealer Log Abuse

Os 1.752 SMTPs corporativos brasileiros à venda em mercado paralelo não são acidentes. São produto direto de malware tipo RedLine e Lumma Stealer infectando máquinas pessoais e corporativas e roubando "logs" — pacotes contendo sessões ativas, cookies, tokens OAuth e credenciais salvas no navegador. Esses logs são vendidos em marketplaces especializados, e o comprador entra na rede da vítima sem disparar MFA, porque o token de sessão já está autenticado.

É exatamente o mesmo padrão de ataque que usamos em a análise do hack na Vercel via Lumma Stealer e Context.ai. O paralelo é direto: a infecção que comprometeu Web3 globalmente é a mesma família de malware que abastece o mercado SMTP brasileiro com 1.752 contas corporativas. Mesma tooling, mercados diferentes.

2. Exploitation of Basic Vulnerabilities

Boa parte das 3.528 credenciais high-profile que circularam desde 2023 vem de algo prosaico: VPNs e serviços RDP expostos sem patch e sem rotação de credenciais por anos. Não há hack sofisticado nesse vetor — há credential stuffing puro, com listas pré-existentes sendo testadas contra serviços que nunca atualizaram chave nem aplicaram correções de CVEs antigas.

É o "vetor zero" da cibersegurança: empresas que não fazem o básico. Em 2026, com auditoria mínima de exposição via Shodan ou Censys, qualquer ator amador identifica VPN com versão vulnerável em prefeitura brasileira em minutos. O exploit pode ter um ano. Não importa, porque o sistema continua sem patch.

3. API Vulnerabilities (IDOR)

O terceiro vetor, e provavelmente o de crescimento mais rápido em 2026, é a exploração de falhas IDOR (Insecure Direct Object Reference) em portais governamentais e aplicativos financeiros. O atacante manipula identificadores em requisições de API — troca ?cpf=12345678901 por ?cpf=12345678902 — e ganha acesso a registros de outros usuários sem precisar de privilégio administrativo.

Quando explorada de forma sistematizada, a IDOR permite baixar a base inteira em horas, programaticamente. O alerta da VECERT sobre o ator CDF, de 24 de abril, é exatamente esse padrão: 2 milhões de registros de empresa brasileira a um clique, sem necessidade de credenciais administrativas.

Os casos icônicos do mês

Listando, em ordem cronológica, os incidentes de magnitude significativa publicados em fóruns de cibercrime em abril:

• 9 de abril — Serasa: republicação de dump completo de 1,8 TB com 223 milhões de cidadãos brasileiros (referência ao breach histórico de 2022, agora redistribuído por Buddha).
• 13 de abril — Brazil Databases: dump miscelâneo de 15,4 TB com bancos de dados brasileiros diversos, atribuído ao ator injectioninferno2.
• 18 de abril — Correios (ECT): vazamento de blueprints e registros financeiros internos.
• 18 de abril — MORGUE: 251 milhões de CPFs alegadamente vinculados ao Gov.br colocados à venda por US$ 500 em bitcoin pelo ator Buddha. Governo federal negou.
• 18 de abril — BRESILIEN GOV MAIL + PANEL ACCESS: NormalLeVrai alega ter acesso completo ao sistema de email do governo federal, com painel administrativo e relatórios Power BI.
• 19 de abril — Pernambuco DB: dados de aproximadamente 9 milhões de habitantes do estado.
• 21 de abril — Município de Porto Estrela e Câmara Municipal de Barra do Bugres: dois alvos governamentais municipais atribuídos a wh6ami.
• 23 de abril — Santa Catarina: leak atribuído a SudoDragon.
• 24 de abril — Critical IDOR em empresa BR: 2 milhões de clientes (CDF).
• 25 de abril — Hospital São Matheus: dados de instituição de saúde, ator watari.
• 25 de abril — Câmara Municipal de Cacique Doble + .rs.gov.br + psbrs.org.br: alvos governamentais.
• 26 de abril — 2,3 Milhões de registros bancários brasileiros 2024-2026 (RubiconH4ck).
• 26 de abril — Telecom Oi (ri.oi.com.br): m0z1ll4s.
• 26 de abril — ABRIL.COM.BR: full customer data, 19 milhões de registros, ator joaoestrella.

O número impressiona. Mas o que mais incomoda na sequência é o quanto dela passou despercebido pela imprensa e pelo público. Cada item dessa lista, isolado, mereceria manchete. Em conjunto, viraram quase rotina.

Quem está sendo atacado: o mapa setorial

O dashboard da VECERT também classifica setorialmente o que está sendo comprometido. A distribuição:

• Governo: 34% — prefeituras, câmaras municipais, secretarias estaduais e órgãos federais. É o setor mais visado.
• Saúde: 16% — hospitais, planos de saúde, sistemas SUS regionais. Dado de saúde tem alto valor em mercado de fraude.
• Finanças: 14% — bancos, fintechs, exchanges, cooperativas de crédito.
• Educação: 10% — universidades, secretarias de educação, sistemas municipais de matrícula.
• Telecom: 8% — Oi, NET, infraestrutura de provedores menores.
• Outros: 18% — varejo, indústria, mídia, e-commerce.

A liderança do setor governamental — um terço de todo o tráfego de leak monitorado — é o sinal mais inquietante. Governo brasileiro é, hoje, o maior provedor involuntário de dados pessoais para o mercado paralelo do mundo. Não é o varejo. Não é o sistema bancário privado. É o Estado.

A ironia regulatória de 4 de maio

É impossível olhar esses números sem voltar ao calendário regulatório que já mapeamos. Em 4 de maio — daqui a sete dias —, três frentes regulatórias entram simultaneamente em vigor no Brasil:

• Toda operação cripto internacional vira reportável ao Banco Central, com obrigação de identificar valor, finalidade, contraparte e país.
• A Resolução CMN 5.298 bloqueia 27 plataformas de mercado preditivo, incluindo Polymarket e Kalshi.
• SPSAVs (Sociedades Prestadoras de Serviços de Ativos Virtuais) entram em prazo final de adequação operacional, com requisitos formais de PLD, monitoramento on-chain e segurança digital de classe mundial.

O Estado brasileiro, em 4 de maio, vai exigir do setor privado nível de higiene digital que ele próprio, nos 30 dias anteriores, demonstrou não conseguir manter em sua própria infraestrutura. Não é juízo moral — é constatação operacional. Quando exchange brasileira pede orientação ao BC sobre como blindar seus sistemas, e o BC opera no mesmo país onde o sistema de email do governo federal alegadamente circula em fórum, há descompasso evidente entre vigilância exigida e vigilância exercida.

O CTIR Gov publicou, em 25 de abril, a Recomendação 05/2026 orientando órgãos federais a "dobrar os controles de acesso". É o que se faz quando se reconhece, institucionalmente, que algo está fora de controle. É correto. É tarde. E, sobretudo, ainda é apenas recomendação — não há mecanismo enforcement, capilaridade orçamentária ou cronograma vinculante.

O que isso significa pra cripto, fintech e SPSAV

Para empresas que operam no perímetro regulado de cripto e pagamentos digitais no Brasil, três implicações práticas:

• O ambiente de ameaça brasileiro é, hoje, mais hostil que a média global. Os 3.528 credenciais distribuídas, os 1.752 SMTPs à venda, os 32 atores ativos — tudo isso significa que campanhas de phishing direcionado contra clientes brasileiros de fintechs cripto têm insumo abundante e atualizado. O atacante chega armado com nome completo, CPF, padrão de compra, e às vezes credencial corporativa. A engenharia social fica devastadora.
• Os requisitos regulatórios de 4 de maio implicam custo de defesa muito acima do nominal. Cumprir a letra das Resoluções BCB 519/520/521 é uma coisa. Operar no ambiente real onde 41 leaks de 90 dias circulam por fóruns é outra. A diferença entre as duas é a margem de investimento defensivo que precisa entrar no plano de negócios — antes era tema de blue-team. Em 2026, é decisão de board.
• Compromisso de fornecedor virou ataque sistêmico. Combinando esse dashboard com o hack na Vercel via Lumma Stealer e o DNS hijacking da CoW Swap, fica explícito que o vetor moderno não é mais "atacar o protocolo". É atacar terceiros, registros de domínio, OAuth de aplicações terceiras e máquinas pessoais de funcionários. Toda fintech BR precisa, hoje, mapear formalmente sua cadeia de fornecedores digitais e auditar exposição.

O trojan GoPix, ainda ativo, e a onda de deepfake contra KYC biométrico que mapeamos há dois meses fecham o cenário: ataques sofisticados, dados de qualidade pra suportar engenharia social, e ambiente regulatório que ainda está em curva de aprendizado defensivo. Nenhum elemento isolado é catastrófico. A combinação dos três é estrutura de risco.

A perspectiva ON3X

Três leituras pra fechar.

Um: o problema do Brasil em 2026 não é mais "incidente". É padrão. O dashboard da VECERT é o documento que faltava para nomear o que vinha sendo tratado como série de manchetes desconectadas. 32 atores ativos, 41 leaks, 29,8 TB em 90 dias, com curva exponencial — isso é cerco organizado, não casualidade. Quem ainda trata cibersegurança no Brasil como problema operacional pontual, em vez de risco-país, está com modelo mental de 2018.

Dois: o setor privado regulado vai pagar a conta da defasagem do setor público. Como a Recomendação 05/2026 do CTIR Gov ilustra, o Estado reconhece o problema, mas demora a executar correção em escala. Enquanto isso, exchanges, fintechs e SPSAVs precisam presumir ambiente hostil e investir em defesa muito acima da exigência regulatória nominal. Isso vira vantagem competitiva pra quem investe cedo — e crise iminente pra quem trata como custo evitável.

Três: cobertura crível de cibersegurança brasileira em 2026 exige fonte primária de threat intelligence nacional. Acompanhar de perto a VECERT — uma das fontes primárias de informação na área de cibersegurança da ON3X — não como referência distante, é, em 2026, condição para cobertura editorial substantiva. Os dashboards publicados são a base. Os relatórios consolidados que virão são onde a história desse cerco vai ser escrita com profundidade. ON3X News vai estar presente nessa cobertura sistematicamente, não esporadicamente.

O que vale acompanhar nas próximas semanas: confirmação ou desmentido oficial dos casos publicados em abril (especialmente Pernambuco, Correios, e Banking de 2,3M), eventual investigação da Polícia Federal sobre os atores nominados nas listas VECERT, e qualquer comunicado do CTIR Gov ou da ANPD sobre os incidentes de maior magnitude. O cerco está em curso. A documentação dele, a partir desta semana, ficou visível.

Fonte primária: thread "STATE OF CYBER-INSECURITY: BRAZIL 2026" — VECERT Analyzer (@VECERTRadar) e dashboard "Anatomy of Brazilian Threat Actors". A VECERT é uma das fontes primárias de informação na área de cibersegurança da ON3X.