90% dos ataques em 2025 envolverão acesso legítimo

Um relatório FortiGuard divulgado referente ao primeiro semestre de 2025 indica que atacantes com motivação financeira abandonam exploits e malware complexos, priorizando o uso de contas e ferramentas de acesso remoto para penetrar em redes, pois esta metodologia prova ser mais simples, mais barata e garante maior eficácia contra sistemas de detecção.

Crescimento do roubo de credenciais no ambiente empresarial

A análise dos casos revela que a obtenção de credenciais ocorre por phishing ou softwares de roubo de informação vendidos em plataformas, confirmando que o roubo de senhas é uma estratégia de acesso cujo custo para empresas com faturamento superior a um bilhão de dólares pode atingir US$ 20.000, e apenas centenas para organizações menores em regiões em desenvolvimento. Investigação de dezenas de incidentes, que abrangem setores desde a indústria até a área financeira e de telecomunicações, demonstrou um padrão: invasores obtêm acesso com credenciais roubadas, conectam-se via VPN e movimentam-se usando utilitários de administração remota como AnyDesk, Atera, Splashtop e ScreenConnect, permitindo que a atividade passe por trabalho rotineiro de administração de sistemas.

Estratégias de evasão de detecção e medidas de proteção

Em um ataque documentado, os invasores usaram credenciais de acesso para conectar-se a uma VPN corporativa sem autenticação multifator, extraíram senhas de hipervisor salvas no navegador e criptografaram máquinas virtuais, enquanto outros operadores obtiveram acesso com conta de administrador de domínio e instalaram o AnyDesk em massa por RDP e políticas de grupo, utilizando também ativamente ferramentas como Mimikatz e a vulnerabilidade Zerologon para escalonamento de privilégios. A FortiGuard enfatiza que a proteção exige a reformulação de abordagens, pois confiar em sistemas EDR que verificam código não oferece segurança, sendo necessário migrar para uma estratégia baseada em contas de usuário e análise de comportamento que responda a desvios como logins de geolocalizações incomuns ou atividade fora do horário comercial (consulte as recomendações de segurança da Fortinet sobre este tema), já que a tendência de incidentes com exploração de contas válidas, identificada desde 2024, continua a aumentar.