Grupos de hackers estão cada vez mais mirando nas cadeias de suprimentos de grandes grupos corporativos, à medida que criminosos buscam “elos fracos” nas defesas de segurança cibernética como parte do próspero e ilícito setor de ransomware de vários bilhões de dólares.
O número de ataques a fornecedores terceirizados de empresas em todo o mundo dobrou em 2024, segundo especialistas em cibersegurança, que afirmaram que o problema provavelmente aumentará ainda mais este ano.
O alerta surge poucos meses depois que o varejista britânico Marks and Spencer foi atacado após uma violação em um terceiro não identificado que tinha acesso aos seus dados, enquanto o NHS England foi atingido no ano passado por meio de um ataque ao parceiro Synnovis, que fornecia serviços de patologia ao órgão.
Esses casos são uma pequena parte do fenômeno global de gangues anônimas de hackers que visam grandes empresas e organizações, paralisando suas operações online a menos que estejam dispostas a pagar grandes resgates.
Tim Erridge, vice-presidente para Europa, Oriente Médio e África da Unit 42 na Palo Alto Networks, disse que os criminosos cibernéticos estão se concentrando nas cadeias de suprimentos para encontrar um “elo fraco” nas defesas de segurança de grandes vítimas corporativas.
“Se você ‘invade’ um fornecedor e ele tem acesso a muitas, muitas organizações de ponta que estão consumindo seus serviços ou conectadas a eles, você está obtendo um retorno sobre o investimento de muitos por um”, disse ele.
Cerca de 30% dos 7.965 ataques cibernéticos em 2024 se originaram via terceiros, o dobro do ano anterior, de acordo com o Relatório de Investigações de Violação de Dados de 2025 da Verizon. Em 2023, esse tipo de invasão representou 14,9% dos 7.268 ataques cibernéticos.
Ataques via empresas terceirizadas abrangem uma ampla gama de possíveis pontos de entrada, como provedores de software, linhas de atendimento ao cliente e aqueles que fornecem outras soluções tecnológicas, como inteligência artificial.
Nathaniel Jones, vice-presidente de segurança e estratégia de IA da Darktrace, disse que os criminosos cibernéticos estão mirando no “ponto vulnerável” de grandes grupos para tentar usá-lo para chegar “mais acima”.
Pesquisas do Google Threat Intelligence Group descobriram que atores patrocinados por estados também estão cada vez mais usando essa tática.
Jamie Collier, consultor líder de inteligência de ameaças para a Europa no GTIG, disse que grupos apoiados pela Coreia do Norte eram os mais prolíficos na área, com invasões que “aumentaram tanto em volume quanto em sofisticação”.
A crescente ameaça de ataque via terceiros levou especialistas a alertar que isso poderia resultar em ataques se tornando mais oportunistas, com alvos que não eram o objetivo original sendo violados em vez disso.
“Quando um ataque à cadeia de suprimentos acontece, é porque os agentes de ameaças tiveram uma boa oportunidade ou porque essa era a única opção que tinham, já que o alvo real estava suficientemente seguro”, disse Rafe Pilling, diretor de inteligência de ameaças da Sophos.
O aumento nas invasões levou governos de todo o mundo a introduzir legislação nos últimos anos para forçar os provedores de serviços a priorizar a segurança cibernética.
A diretiva NIS2 da UE (União Europeia), introduzida em 2023, foi a primeira legislação importante a endurecer as restrições às cadeias de suprimentos. Entidades cobertas pelos regulamentos —como os setores de energia, transporte e bancário— agora têm que gerenciar riscos potenciais de fornecedores.
O Projeto de Lei de Segurança Cibernética e Resiliência do Reino Unido —que deve ser apresentado ao parlamento ainda este mês— trará provedores de serviços gerenciados, como aqueles que fornecem software, para o escopo da regulamentação.
Nos Estados Unidos, o governo Trump adotou uma abordagem mais branda, mas ainda assim agiu para garantir que fornecedores terceirizados do governo federal fortaleçam as salvaguardas cibernéticas.
