Wiper Malware: Quando a Destruição é o Único Objetivo Contra Bancos Brasileiros

O mercado financeiro brasileiro aprendeu a lidar com o ransomware. Nós construímos defesas perimetrais, contratamos apólices de seguros cibernéticos na casa dos milhões e criamos comitês de crise que sabem exatamente quem acionar às 3 da manhã de um domingo. Quando um grupo de cibercriminosos invade um banco de médio porte e criptografa os servidores exigindo pagamento em criptomoedas, a diretoria sabe qual cartilha seguir. É uma negociação hostil, um sequestro digital. Mas o que acontece quando o invasor não quer o seu dinheiro? O que acontece quando o objetivo da invasão é simplesmente apagar a sua instituição do mapa?

Bem-vindos à era do wiper malware no ecossistema financeiro latino-americano. Aqui na Ouro Capital, observamos uma mudança silenciosa, porém brutal, no comportamento das ameaças cibernéticas focadas no Brasil agora em 2026. Estamos falando de uma classe de arma digital desenhada exclusivamente para a destruição. Se você opera uma fintech, atua em uma subadquirente ou senta na cadeira de tecnologia de um banco múltiplo, preste atenção aqui. A lógica corporativa de "avaliar o custo do resgaté versus o custo da inatividade" não existe contra um wiper. Esse malware entra na rede, corrompe o Master Boot Record (MBR) dos seus servidores, sobrescreve bancos de dados inteiros com lixo algorítmico e desliga a luz ao sair.

Historicamente, enxergávamos os wipers como ferramentas exclusivas de guerra cibernética patrocinada por Estados-nação. O caso mais emblemático foi o NotPetya em 2017, que se disfarçou de ransomware para destruir infraestruturas na Ucrânia, mas acabou vazando para o mundo e gerando prejuízos de mais de US$ 10 bilhões a gigantes globais da logística e indústria. Mais recentemente, vimos o uso de códigos como HermeticWiper e AcidRain destruindo roteadores e servidores no leste europeu. O problema? O código-fonte dessas armas vazou. Fóruns na dark web democratizaram o acesso à destruição. Hoje, grupos hacktivistas, concorrentes desleais ou ex-funcionários com acesso privilegiado podem implantar um wiper contra uma processadora de pagamentos brasileira apenas para causar caos sistêmico.

Ransomware vs. Wiper: A Diferença Letal

Para o analista de segurança júnior, a tela azul da morte ou o servidor inacessível parecem os mesmos nos primeiros cinco minutos de um incidente. A matemática por trás da tela, no entanto, é completamente diferente.

O ransomware é um modelo de negócios (Ransomware-as-a-Service). O invasor aplica criptografia reversível. Ele precisa que os dados continuem intactos, ainda que inacessíveis, para garantir que você pague a chave de descriptografia. O cibercrime organizado depende da própria "reputação" — se eles não devolverem os dados após o pagamento, as próximas vítimas não pagarão. Há um incentivo financeiro para manter a integridade dos seus sistemas a longo prazo.

O wiper quebra essa roda. A anatomia de um ataque wiper é focada na aniquilação irrecuperável. Em vez de usar algoritmos complexos de criptografia (que exigem tempo de processamento e podem disparar alertas em sistemas de detecção e resposta de endpoint - EDR), o wiper ataca diretamente a fundação do armazenamento. Ele sobrescreve a Master File Table (MFT) no sistema de arquivos NTFS. Ele apaga os ponteiros que dizem ao disco rígido onde os arquivos estão localizados. Em casos mais agressivos, o malware executa ciclos de gravação com zeros (zero-filling) por todo o disco, garantindo que nem mesmo empresas especializadas em forense digital consigam recuperar os registros de transações via PIX ou saldos de clientes.

Na prática, um ataque de ransomware mal-sucedido resulta em dias de inatividade. Um ataque de wiper bem-sucedido exige que o banco compre hardware novo, instale sistemas operacionais do zero e tente restaurar o último backup viável — torcendo para que o invasor não tenha destruído os backups também.

O Alvo Brasil: Por Que Nossas Fintechs Estão na Mira?

O sistema financeiro brasileiro é um gigante hiperconectado. Transacionamos trilhões de reais mensalmente via PIX. O Open Finance integrou bancos tradicionais a aplicativos de finanças de terceiros através de milhares de APIs abertas. A Febraban aponta que os bancos brasileiros investem cerca de R$ 45 bilhões anuais em tecnologia. Somos o mercado mais avançado e digitalizado da América Latina.

Essa mesma eficiência cria um risco sistêmico absurdo. A digitalização agressiva das fintechs brasileiras muitas vezes ocorreu em um ritmo superior ao amadurecimento das suas esteiras de segurança. Players nativos digitais como Nubank, Stone, Mercado Pago e PagSeguro possuem orçamentos massivos de defesa cibernética. O elo fraco da corrente são as centenas de fintechs menores, provedores de Banking as a Service (BaaS) e correspondentes bancários digitais que operam com infraestrutura enxuta.

Se um atacante focado em extorsão invade um BaaS de médio porte, ele pede um resgate. Se um grupo com motivações ideológicas (hacktivismo) ou patrocinado por cartéis internacionais decide usar um wiper contra esse mesmo BaaS, o impacto em cascata derruba dezenas de fintechs parceiras simultaneamente. Os clientes finais perdem acesso ao saldo, cartões param de passar nas maquininhas e a confiança no sistema derrete em poucas horas.

O Brasil registra a maior taxa de ataques cibernéticos da América Latina. O que muda agora é a motivação. Observamos fóruns underground discutindo falhas em APIs do Open Finance brasileiro não para desviar dinheiro, mas para injetar payloads destrutivos como forma de retaliação contra instituições que bloquearam contas suspeitas de lavagem de dinheiro. O wiper se tornou a ferramenta de vingança do crime organizado.

Anatomia de um Ataque Destrutivo

Como um wiper entra na rede de um banco? A porta de entrada costuma ser surpreendentemente banal. Esqueça as invasões cinematográficas. A realidade envolve a compra de credenciais vazadas.

O ataque geralmente começa com os chamados Initial Access Brokers (IABs). Esses cibercriminosos são especializados apenas em invadir redes corporativas — via e-mails de phishing direcionado (spear-phishing) para funcionários do alto escalão, exploração de vulnerabilidades zero-day em firewalls de borda ou roubo de tokens de sessão. Uma vez dentro da rede, o IAB vende esse acesso em fóruns clandestinos. O operador do wiper compra a chave da porta da frente.

Movimentação Lateral e Escalonamento de Privilégios

Dentro do ambiente da fintech, o invasor não aciona o wiper imediatamente. Ele passa semanas em modo furtivo, mapeando a arquitetura de rede. O objetivo primário é comprometer o Active Directory (AD) da Microsoft ou o sistema de gerenciamento de identidades na nuvem (AWS IAM, Azure Entra ID). Quem controla o AD, controla a empresa.

O invasor desativa as ferramentas de segurança corporativa (antivírus, EDR, firewalls internos). Em seguida, ele localiza o Santo Graal de qualquer instituição financeira: os servidores de backup. Antes de destruir a produção, o atacante precisa garantir que a recuperação seja impossível. Ele acessa os storages de backup, corrompe os snapshots armazenados na nuvem e apaga os catálogos de restauração.

O Ponto de Ignição

Com os backups neutralizados e as defesas cegas, o invasor usa ferramentas legítimas de administração de rede — como o Group Policy Object (GPO) ou scripts do PowerShell — para distribuir o arquivo executável do wiper para milhares de endpoints e servidores simultaneamente.

Um comando é disparado. Em menos de 15 minutos, 5.000 máquinas perdem a capacidade de inicializar. Bancos de dados de transações (SQL, Oracle) são corrompidos em nível de bloco. A instituição financeira acorda na idade da pedra digital.

O Papel do BACEN e a Regulação Cibernética

O Banco Central do Brasil não está cego para essa escalada. A Resolução Conjunta nº 6, que atualizou e unificou as regras de segurança cibernética (evoluindo conceitos da antiga 4.893), é uma das regulamentações mais rígidas do mundo financeiro. O regulador exige que as instituições mantenham políticas de segurança atualizadas, planos de resposta a incidentes testados e, crucialmente, processos de continuidade de negócios.

O regulador cobra duas métricas implacáveis: o RTO (Recovery Time Objective), que define o tempo máximo que o banco pode ficar fora do ar, e o RPO (Recovery Point Objective), que define a quantidade máxima de dados que o banco tolera perder.

O problema estrutural que observamos nas auditorias é que muitos testes de estrêsse (strêss tests) de resposta a incidentes feitos pelas fintechs assumem cenários otimistas. Eles treinam a recuperação de um servidor que falhou ou de um banco de dados corrompido isoladamente. Poucos comitês de risco simulam o cenário "terra arrasada" causado por um wiper: a perda simultânea de toda a infraestrutura on-premise, da nuvem primária e dos backups online. Quando o BACEN baté na porta após um incidente grave, a multa por falha na continuidade de negócios pode ser a pá de cal para a instituição que já perdeu seus dados.

Sobrevivendo ao Apocalipse de Dados

Se a prevenção absoluta é uma ilusão técnica, a resposta contra o wiper malware reside na resiliência extrema. Para uma instituição financeira sobreviver a um ataque projetado para aniquilação, a arquitetura de tecnologia precisa adotar conceitos militares de sobrevivência.

Backups Imutáveis e Air-Gapping

A primeira linha de defesa contra um wiper é garantir que o invasor não possa destruir o seu passado. Isso exige backups imutáveis — storages configurados com tecnologia WORM (Write Once, Read Many). Uma vez que o backup é gravado, nem mesmo o administrador máximo da rede (root/domain admin) pode alterá-lo ou apagá-lo até que o período de retenção expire. O wiper, por herdar as permissões do usuário comprometido, também baté em uma parede de concreto.

Além da imutabilidade lógica, o mercado financeiro está redescobrindo o valor do "Air-Gap" físico. Trata-se de manter uma cópia dos dados críticos completamente desconectada de qualquer rede. Ironicamente, os antigos backups em fita magnética (LTO) voltaram com força total aos data centers dos grandes bancos brasileiros em 2026. Um malware não pode criptografar ou apagar uma fita que está físicamente guardada em um cofre a quilômetros de distância do servidor.

Arquitetura Zero Trust e Segmentação

O princípio do Zero Trust (Confiança Zero) dita que o sistema não deve confiar em ninguém, mesmo que o usuário já esteja dentro da rede corporativa. Uma fintech moderna não pode permitir que um funcionário do setor de marketing tenha visibilidade de rede sobre o cluster de banco de dados do core banking. A microssegmentação impede que o wiper se espalhe lateralmente. Se um segmento da rede for infectado, ele atua como um compartimento estanque de um submarino, isolando a inundação e salvando o resto da embarcação.

O mercado hoje não perdoa amadores. Operar uma instituição financeira no Brasil exige entender que o dinheiro não é mais físico; ele é um registro em um banco de dados. Proteger esse registro contra ferramentas de destruição em massa como o wiper malware deixou de ser uma discussão teórica de TI para se tornar a principal pauta de sobrevivência nos conselhos de administração. A diferença entre a fintech que vai celebrar sua próxima rodada de investimentos e a que vai estampar as páginas policiais por falência técnica reside, inteiramente, na capacidade de recuperar seus dados quando o pior acontecer.