Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões da ZDNET
- Os ataques às redes empresariais estão cada vez mais rápidos.
- Os cibercriminosos estão usando IA, mas os humanos ainda são o elo mais fraco.
- A defesa contra ataques requer mudanças estruturais na rede.
Aqui está o paradoxo da guerra cibernética moderna: cada vez mais, os atacantes estão usando máquinas que podem trabalhar muito mais rápido do que os humanos que os controlam. Em resposta, os alvos recorrem cada vez mais a sistemas automatizados para detectar e repelir esses intrusos.
Mas neste combate máquina-contra-máquina, os humanos ainda estão no centro de cada batalha, e esses meros mortais continuam a ser o ponto fraco. Essa é a conclusão deste ano pesquisa do cenário de segurança empresarial da Mandiant, uma empresa de segurança cibernética dos EUA – agora parte do Google Cloud – especializada em investigar grandes violações de segurança globais e aconselhar organizações sobre como se protegerem contra ameaças cibernéticas.
Além disso: 1 em cada 2 líderes de segurança dizem que não estão prontos para ataques de IA – 4 ações a serem tomadas agora
As redes empresariais modernas são amplamente distribuídas e podem delegar tarefas a parceiros por meio de software como serviço. Os bandidos estão fazendo a mesma coisa, relata Mandiant, usando um modelo de “divisão de trabalho”, no qual um grupo usa técnicas de baixo impacto, como anúncios maliciosos ou atualizações falsas de navegador, para obter acesso a uma rede e, em seguida, entrega o alvo comprometido a um grupo secundário para acesso prático.
E tudo isso acontece em um ritmo surpreendente. Em 2022, relata Mandiant, esse “tempo para transferência foi de mais de 8 horas. Em 2025, essa janela encolheu para uma média de apenas 22 segundos. Da mesma forma, o tempo médio para comprometer sistemas com explorações de dia zero também está caindo, com o tempo médio para explorar vulnerabilidades caindo para sete dias antes que os fornecedores tenham tempo de emitir um patch.
Identificando os atacantes
De acordo com a Mandiant, a maioria dos grupos secundários que conduzem “operações práticas no teclado” em redes empresariais comprometidas podem ser divididos em dois grupos com táticas e ritmos distintos. Os cibercriminosos buscam ganhos financeiros, usando ferramentas como ransomware, enquanto grupos de espionagem otimizam o acesso furtivo e de longo prazo.
Num extremo do espectro, os grupos criminosos cibernéticos foram otimizados para impacto imediato e negação deliberada da recuperação. Do outro lado, grupos sofisticados de espionagem cibernética e ameaças internas otimizadas para extrema persistência, utilizando dispositivos de borda não monitorados e funcionalidades de rede nativas para evitar a detecção.
Esses “tempos de permanência” – ou seja, o tempo desde a intrusão até a detecção – duram em média 14 dias, mas os incidentes de espionagem cibernética podem durar muito mais tempo, com um tempo médio de permanência de 122 dias.
Além disso: como construir melhores agentes de IA para o seu negócio – sem criar problemas de confiança
A Mandiant identificou mais de 16 setores verticais da indústria que estão sendo visados, com o setor de alta tecnologia (17%) e o setor financeiro (14,6%) no topo da lista.
De onde vêm as invasões
Não há surpresas aqui: quase um terço das invasões detectadas vêm de explorações. O segundo vetor mais comumente observado é a “engenharia social altamente interativa baseada em voz”, com grupos direcionados aos help desks de TI “para contornar a autenticação multifator (MFA) e obter acesso inicial a ambientes de software como serviço (SaaS)”.
Também não é surpreendente a crescente adoção de ferramentas de IA para reconhecimento, engenharia social e desenvolvimento de malware. Depois de obter acesso a uma rede, eles relatam, “os invasores estão transformando a IA em armas… o ladrão de credenciais QUIETVAULT foi observado verificando as máquinas alvo em busca de IA [command-line] ferramentas para executar prompts predefinidos para procurar arquivos de configuração e coletar tokens GitHub e NPM.”
Além disso: essas quatro vulnerabilidades críticas de IA estão sendo exploradas mais rápido do que os defensores conseguem responder
No entanto, a IA ainda desempenha um papel secundário. “Apesar destes rápidos avanços tecnológicos”, observa o relatório, “não consideramos que 2025 seja o ano em que as violações foram o resultado direto da IA. Do nosso ponto de vista nas linhas da frente, a grande maioria das intrusões bem-sucedidas ainda resulta de falhas humanas e sistémicas fundamentais”.
Os bandidos estão se movendo mais rápido e quebrando coisas
Toda a indústria de tecnologia aprendeu com o infame imperativo de Mark Zuckerberg para os engenheiros do Facebook: “Mova-se rápido e quebre as coisas”. Isto também se aplica aos cibercriminosos, que descobriram que os ataques de ransomware são ainda mais eficazes quando também visam a infraestrutura virtual que suporta ferramentas de backup:
Os grupos de ransomware não estão mais apenas criptografando dados; eles estão destruindo ativamente a capacidade de recuperação. … excluindo ativamente objetos de backup do armazenamento em nuvem. … Ao direcionar diretamente a camada de armazenamento de virtualização ou criptografar armazenamentos de dados do hipervisor, eles podem tornar todas as máquinas virtuais associadas inoperantes simultaneamente.
Além disso: Minha lista de verificação de segurança em 5 etapas para cada novo PC com Windows
A boa notícia é que os alvos também estão ficando mais inteligentes. “As organizações estão melhorando sua visibilidade interna. Em todas as investigações de 2025, 52% das vezes as organizações detectaram pela primeira vez evidências de atividades maliciosas internamente, um aumento em relação aos 43% em 2024.” Quanto mais cedo você descobrir evidências de uma intrusão, mais cedo poderá iniciar o processo de recuperação.
Como revidar
À medida que os invasores se tornam mais sofisticados e persistentes, os profissionais de TI também precisam intensificar seu jogo. O conselho da Mandiant inclui treinamento avançado para funcionários e equipes de suporte técnico sobre como reconhecer vetores de ataque modernos: reconhecendo ataques de engenharia social usando ferramentas baseadas em voz e aplicativos de mensagens, bem como solicitações não autorizadas de redefinição de MFA.
Além disso: os ataques na nuvem estão ficando mais rápidos e mortíferos – aqui está o seu melhor plano de defesa
Outras estratégias defensivas envolvem mudanças na infraestrutura de rede:
- Trate as plataformas de virtualização e gerenciamento como ativos de nível 0 com as mais rigorosas restrições de acesso.
- Para combater a destruição dos recursos de recuperação, separe os ambientes de backup do domínio corporativo do Active Directory e utilize armazenamento imutável.
- Implemente detecção avançada de ameaças em todo o ecossistema e estenda as políticas de retenção de logs muito além das janelas padrão de 90 dias.
- Audite regularmente as integrações de SaaS e encaminhe todos os aplicativos SaaS por meio de um provedor de identidade central (IdP).
- Implemente modelos de detecção baseados em comportamento que sinalizam atividades anômalas e desvios das linhas de base estabelecidas.
Na sua conclusão, os investigadores da Mandiant observam que “a identidade é o novo perímetro”. Simplesmente alternar senhas e aplicar MFA não é mais suficiente. É fundamental concentrar-se no fortalecimento dos controles de identidade e na mudança para a verificação contínua de identidade, especialmente com fornecedores terceirizados.
