Relatório de resposta a incidentes - 2025

Relatório de
resposta a
incidentes
globais de 2025

Inscreva-se para receber atualizações Entre em contato

Resumo executivo

Vemos cinco grandes tendências emergentes remodelando o cenário de ameaças.

Primeiro, os agentes de ameaças estão ampliando o ransomware e a extorsão tradicionais com ataques criados para interromper intencionalmente as operações. Em 2024, 86% dos incidentes aos quais a Unit 42 respondeu envolveram a interrupção dos negócios - abrangendo tempo de inatividade operacional, danos à reputação ou os dois.
Em segundo lugar, os ataques à cadeia de suprimentos de software e à nuvem estão crescendo tanto em frequência quanto em sofisticação. Na nuvem, os agentes de ameaças geralmente se inserem em ambientes mal configurados para examinar vastas redes em busca de dados valiosos. Em uma campanha, os invasores examinaram mais de 230 milhões de alvos exclusivos em busca de informações confidenciais.
Em terceiro lugar, a velocidade cada vez maior das intrusões - ampliada pela automação e pelos kits de ferramentas de hackers simplificados - dá aos defensores um tempo mínimo para detectar e responder. Em quase um em cada cinco casos, a exfiltração de dados ocorreu na primeira hora após o comprometimento.
Em quarto lugar, as organizações enfrentam um risco elevado de ameaças internas, pois estados-nação como a Coreia do Norte têm como alvo as organizações para roubar informações e financiar iniciativas nacionais. Os casos de ameaças internas vinculadas à Coreia do Norte triplicaram em 2024.
Em quinto lugar, as primeiras observações de ataques assistidos por IA mostram como a IA pode ampliar a escala e a velocidade das invasões.

Em meio a essas tendências, também estamos vendo uma abordagem em várias frentes nos ataques, pois os agentes de ameaças visam várias áreas da superfície de ataque. De fato, 70% dos incidentes aos quais a Unit 42 respondeu ocorreram em três ou mais frentes, ressaltando a necessidade de proteger endpoints, redes, ambientes de nuvem e o fator humano em conjunto. E sobre o elemento humano — quase metade dos incidentes de segurança (44%) que investigamos envolveu um navegador da Web, incluindo ataques de phishing, redirecionamentos maliciosos e downloads de malware.

Com base em milhares de respostas a incidentes ao longo de anos de experiência, identificamos três facilitadores principais que permitem que os adversários tenham sucesso: complexidade, lacunas na visibilidade e confiança excessiva. Arquiteturas de segurança fragmentadas, ativos não gerenciados e contas excessivamente permissivas dão aos invasores o espaço de que precisam para ter sucesso.

Para enfrentar esses desafios, os líderes de segurança devem acelerar sua jornada rumo à Confiança Zero, reduzindo a confiança implícita em todo o ecossistema. Também é fundamental proteger os aplicativos e os ambientes de nuvem, desde o desenvolvimento até o tempo de execução, garantindo que as configurações incorretas e as vulnerabilidades sejam resolvidas rapidamente. Por fim, é essencial capacitar as operações de segurança para ver mais e responder mais rapidamente, com visibilidade consolidada dos registros no local, na nuvem e nos endpoints, bem como detecção e correção de ameaças orientadas por automação.

1. Introdução

Em minha carreira de duas décadas como responsável pela resposta a incidentes, testemunhei inúmeras mudanças no cenário de ameaças e nas táticas dos invasores.

Quando o ransomware apareceu pela primeira vez, a criptografia de arquivos tornou-se a tática preferida dos criminosos cibernéticos. Bloquear arquivos, receber o pagamento por uma chave de criptografia e seguir em frente. Os backups ficaram melhores e a extorsão dupla se tornou mais popular. Os criminosos cibernéticos aproveitaram o assédio (e ainda o fazem) para dizer às empresas: “paguem, ou vazaremos dados confidenciais”. Mas até isso está perdendo o brilho.

Quase todos os meses, recebo uma notificação sobre uma violação de dados. Ocasionalmente, abro e leio essas cartas; outras vezes, elas vão diretamente para o lixo. Como muitas pessoas, investi em um software de proteção contra roubo de identidade e aderi às práticas recomendadas de higiene cibernética. Com o ataque dessas notificações, é difícil não imaginar a pessoa comum pensando: Meus dados foram vazados novamente, e daí? Essa mentalidade de dessensibilização é perturbadora. E, no entanto, apesar dessa apatia pública, uma violação de dados ainda pode causar danos substanciais a uma empresa.

O ano passado marcou mais uma mudança no foco do invasor para a interrupção operacional intencional. Essa nova fase da extorsão com motivação financeira prioriza a sabotagem, em que os invasores destroem intencionalmente os sistemas, bloqueiam os clientes de seus ambientes e forçam um tempo de inatividade prolongado, para que os agentes de ameaças possam manter sua capacidade de causar o máximo impacto com seus ataques e comandar o pagamento das organizações.

Em 2024, a Unit 42 respondeu a mais de 500 grandes ataques cibernéticos. Esses incidentes envolveram grandes organizações que enfrentavam extorsão, invasões de rede, roubo de dados, ameaças persistentes avançadas e muito mais. Os alvos desses ataques abrangeram todas as principais verticais do setor e 38 países.

Respondemos a violações que ocorreram em uma velocidade sem precedentes, causando graves interrupções operacionais e impactos em cascata, desde tempo de inatividade e interrupções de serviço até custos que chegam a bilhões de dólares. Em todos os casos, a situação havia se agravado a ponto de o centro de operações de segurança (SOC) solicitar reforços.

Quando a Unit 42 é chamada, nossa equipe de resposta a incidentes trabalha rapidamente para conter ameaças, investigar incidentes e restaurar as operações. Após a crise, fazemos parcerias com os clientes para fortalecer sua postura de segurança contra ataques futuros.

A missão da Unit 42 é clara: proteger o mundo digital contra ameaças cibernéticas. Operando 24 horas por dia, 7 dias por semana, em todo o mundo, nossa equipe está unida pelo objetivo de deter os agentes de ameaças, caçar ameaças em evolução e ajudar as organizações a se prepararem e se recuperarem até mesmo dos ataques mais sofisticados.

Este relatório foi organizado para orientar você em nossas principais descobertas e insights acionáveis:

Ameaças e tendências emergentes: Uma visão do que está por vir, incluindo o aumento da extorsão orientada por interrupções, ataques assistidos por IA, ataques baseados na nuvem e na cadeia de suprimentos de software, ameaças internas de estado-nação e velocidade.
Os agentes de ameaças são bem-sucedidos: Análise das táticas, técnicas e procedimentos eficazes mais comuns, desde o acesso inicial até o impacto.
Recomendações para os defensores: Orientação prática para que executivos, CISOs e equipes de segurança fortaleçam suas defesas, criem resiliência e fiquem à frente da ameaça.

Durante a leitura, considere não apenas o que está acontecendo, mas também o que está por vir e como a sua organização pode se preparar para enfrentar os desafios de um ambiente de ameaças cada vez mais complexo.

Ler menos SAM RUBIN

Pronto para ser mais esperto que as ameaças virtuais?

Fique um passo à frente com nossas atualizações do Relatório de IR!

Receba atualizações exclusivas do Relatório Global de Resposta a Incidentes da Unit 42. Isso inclui insights sobre novas táticas, técnicas e procedimentos (TTPs) de agentes de ameaças, a perspectiva de nossos especialistas em segurança sobre o cenário de ameaças e muito mais!

Mantenha-se informado, mantenha-se seguro.

2. Ameaças e tendências emergentes

Em 2025, as organizações enfrentarão uma combinação complexa de ameaças de criminosos cibernéticos com fins financeiros, estados-nação com bons recursos, esquemas internos e hacktivistas com motivação ideológica. Embora os ataques de extorsão permaneçam dominantes entre os grupos criminosos, os sofisticados adversários de estados-nação têm como alvo a infraestrutura essencial, as cadeias de suprimentos e os principais setores. Os riscos internos se intensificam à medida que contratados e funcionários com acesso privilegiado podem contornar as defesas externas, e os hacktivistas exploram as redes de mídia social para coordenar interrupções em grande escala.

Diante desse cenário, a Unit 42 identificou cinco tendências principais nas quais vemos o impacto mais significativo e imediato sobre as organizações: ataques de extorsão intencionalmente disruptivos, exploração da cadeia de suprimentos de software e da nuvem, aumento da velocidade dos ataques, ameaças internas norte-coreanas e ameaças assistidas por IA.

Tendência 1. Interrupção das operações comerciais: A terceira onda de ataques de extorsão

À medida que as defesas melhoram, os backups se tornam mais comuns e bem-sucedidos com o amadurecimento da higiene cibernética. Os invasores foram forçados a inovar suas abordagens para garantir que possam comandar pagamentos consistentes — e mais altos.

Os ataques de extorsão evoluíram na última década: da criptografia, passando pela exfiltração e técnicas de multiextorsão, até a interrupção intencional. Embora o ransomware continue sendo uma das principais ameaças, os invasores passaram da criptografia exclusiva de dados para táticas mais perturbadoras, como assediar as partes interessadas e ameaçar operações críticas, resultando em longos períodos de inatividade.

Em 2024, 86% dos incidentes aos quais a Unit 42 respondeu tiveram algum tipo de perda relacionada ao impacto. Isso inclui:

Interrupção total dos negócios
Perdas relacionadas a ativos e fraudes
Danos à marca e ao mercado como resultado de ataques divulgados
Aumento dos custos operacionais, custos legais e regulatórios, entre outros

Podemos definir a evolução dos ataques de extorsão em termos de três ondas.

Onda 1: No início, existia a criptografia

O surgimento da criptomoeda possibilitou crimes em grande escala com riscos menores para o criminoso. Os agentes de ameaças adotaram rapidamente o ransomware como um método de ataque lucrativo, bloqueando arquivos essenciais, mantendo-os como resgate e exigindo um pagamento em criptomoeda para desbloqueá-los. Desde então, a criptomoeda se tornou um facilitador essencial dos ataques de ransomware:

Reduzindo o risco de identificação do invasor
Reduzindo a barreira de entrada para os criminosos cibernéticos
Ajudar o invasor a evitar a aplicação da lei e sanções internacionais

Nos primeiros casos de ransomware, o manual era simples. Entrar, criptografar os arquivos e sair. As investigações da Unit 42 desse período raramente descobriram sinais de exfiltração de dados.

Os invasores agora estão mais sofisticados, muitas vezes combinando a criptografia com o roubo de dados e ameaças de extorsão dupla, mas a criptografia em si ainda é uma tática utilizada. De fato, os dados mais recentes de resposta a incidentes da Unit 42 mostram que a criptografia continua sendo a tática mais comum usada em casos de extorsão, mantendo-se relativamente estável nos últimos quatro anos.

Com o tempo, à medida que as organizações aprimoraram suas práticas de backup de dados, a criptografia como única tática de extorsão tornou-se menos eficaz. Os backups ajudaram mais organizações a se recuperarem mais rapidamente - quase metade (49,5%) das vítimas afetadas conseguiu restaurar a partir do backup em 2024. Como visto na Figura 1, esse número é cerca de cinco vezes maior do que em 2022, quando apenas 11% das vítimas conseguiram restaurar a partir do backup.

Figura 1: A porcentagem de vítimas que restauraram com êxito arquivos criptografados a partir de backup aumentou 360% entre 2022 e 2024.

No entanto, essas medidas defensivas fazem pouco para combater o risco de os invasores publicarem ou venderem os dados roubados.

Ler mais Ler menos

Onda 2: Aumentando a aposta com a exfiltração de dados

Como o foco exclusivo na criptografia tornou-se menos eficaz, os invasores passaram a usar uma nova tática de extorsão: a exfiltração de dados e o subsequente assédio. Além de usar os dados exfiltrados para pressionar as vítimas por meio de chantagem e assédio, os agentes com motivação financeira obtiveram fluxos de receita adicionais, como o leilão de dados em mercados da dark web.

Os invasores ameaçavam vazar informações confidenciais publicamente, muitas vezes hospedando sites de vazamento que divulgavam suas supostas vítimas. Alguns bombardearam funcionários e clientes com mensagens mal-intencionadas.

No entanto, embora o roubo de dados continue sendo uma tática popular, sua eficácia começou a diminuir por vários motivos. A fadiga das violações de dados tornou os vazamentos na dark web menos impactantes para pressionar as vítimas a pagarem.

De acordo com o Relatório de violação de dados de 2023 do Identity Theft Resource Center, 353 milhões de vítimas tiveram seus dados vazados somente em 2023. Além disso, embora os invasores cumpram suas promessas na maioria das vezes, as organizações estão cada vez mais preocupadas com os casos em que isso não acontece.

De fato, em menos de dois terços dos casos de roubo de dados em 2024, os invasores forneceram qualquer prova de exclusão de dados (apenas 58%). Em alguns casos, a Unit 42 ficou ciente de que, apesar de fornecer essa suposta “prova”, o agente da ameaça havia retido pelo menos alguns dos dados. Embora dois terços das vezes ainda sejam a maioria das vezes, isso está longe do nível de certeza que a maioria das pessoas esperaria ao pagar uma taxa (geralmente exorbitante) por algo.

Os dados de sites públicos de vazamento apoiam essa tendência. Após um aumento de 50% nas vítimas de sites de vazamento entre 2022 e 2023, o número aumentou apenas 2% em 2024. Isso pode indicar que os agentes de ameaças estão achando que a extorsão em sites de vazamento é menos eficaz para forçar pagamentos.

As táticas de extorsão dependem de instilar medo e manter a atenção total da vítima. Para conseguir isso, os agentes de ameaças continuarão a desenvolver seus métodos para permanecer na vanguarda da interrupção.

Isso não significa que os invasores estejam abandonando a exfiltração. Como visto na Tabela 1, os agentes de ameaças continuam roubando dados mais da metade do tempo, e o uso de assédio está aumentando constantemente. No entanto, os agentes de ameaças estão adotando táticas adicionais para garantir que recebam seus pagamentos.

Tática de extorsão	2021	2022	2023	2024
Criptografia	96%	90%	89%	92%
Roubo de dados	53%	59%	53%	60%
Intimidação	5%	9%	8%	13%

Tabela 1: Prevalência de táticas de extorsão em casos relacionados à extorsão.

A interrupção deliberada é a próxima fase na evolução dos ataques com motivação financeira, pois os agentes de ameaças continuam aumentando o volume para chamar a atenção de suas vítimas.

Ler mais Ler menos

Onda 3: Interrupção operacional intencional

Os invasores estão aumentando a pressão ao se concentrarem em uma terceira tática: a interrupção intencional. Em 2024, 86% dos incidentes aos quais a Unit 42 respondeu envolveram algum tipo de perda que interrompeu os negócios, seja em termos operacionais, de reputação ou outros.

A Unit 42 observou que os invasores combinavam técnicas de criptografia com roubo de dados e depois iam ainda mais longe com outras táticas para interromper visivelmente as organizações. Eles prejudicaram a reputação da marca das vítimas ou assediaram seus clientes e parceiros. Os invasores também excluíram máquinas virtuais e destruíram dados (a seção 5.1 oferece um detalhamento completo das técnicas do MITRE ATT&CK usadas pelos invasores para esse tipo de impacto).

Já vimos invasores perturbarem vítimas que têm redes de parceiros profundas das quais dependem para fazer negócios. Quando uma organização precisa bloquear partes de sua rede para conter o agente da ameaça e corrigir o ataque antes de retomar as operações, seus parceiros são forçados a se desconectar. Quando voltam a ficar on-line, o processo de recertificação gera mais interrupções à medida que os parceiros se reconectam à rede.

Os invasores sofisticados atacaram as empresas usando essas táticas, inclusive nos setores de saúde, hotelaria, manufatura e infraestrutura crítica, com o objetivo de causar uma interrupção generalizada não apenas para a empresa, mas também para seus parceiros e clientes.

À medida que as empresas enfrentam o tempo de inatividade prolongado, a pressão sobre os relacionamentos com parceiros e clientes e os impactos nos resultados, os agentes de ameaças estão tirando proveito e exigindo mais pagamentos. As empresas que buscam colocar seus sistemas novamente on-line e minimizar o impacto financeiro (que pode chegar a milhões e, às vezes, até bilhões) estão sendo extorquidas por pagamentos mais altos. A demanda média de extorsão inicial aumentou quase 80%, passando de US$ 695.000 em 2023 para US$ 1,25 milhão em 2024.

Também examinamos as demandas em termos de quanto um agente de ameaças percebe que uma organização pode pagar. (Baseamos isso no que o agente da ameaça encontraria ao pesquisar fontes públicas de informações sobre uma organização). A demanda inicial média em 2024 é de 2% da receita anual percebida da organização vítima. Metade das demandas iniciais caiu entre meio por cento (0,5%) e 5% da receita anual percebida da vítima. Na extremidade alta, vimos os invasores tentarem extorquir valores que são maiores do que a receita anual percebida da organização vítima.

No entanto, embora as exigências tenham aumentado, a Unit 42 continua obtendo sucesso ao negociar o pagamento final (para clientes que pagam). Como resultado, a média de pagamento de resgate aumentou apenas US$ 30.000 para US$ 267.500 em 2024. Quando as organizações pagam, o valor médio é inferior a 1% de sua receita percebida (0,6%). A redução percentual média negociada pela Unit 42 é, portanto, mais de 50% menor do que a demanda inicial.

Ler mais Ler menos

Contramedidas: Permanecendo resiliente diante do aumento da interrupção

Um fator importante a ser considerado ao enfrentar agentes de ameaças voltados para a interrupção é a resiliência operacional: Você pode continuar funcionando se os sistemas essenciais ficarem inoperantes ou se os dados confidenciais ficarem fora de alcance? Quais operações comerciais são essenciais para manter? Quais são suas estratégias de recuperação de desastres e backup? Os parceiros essenciais estão preparados para mudar para novos sistemas diante de um ataque?

A melhor maneira de descobrir isso é com testes regulares e simulações de incidentes, que validam seus controles técnicos, treinam suas equipes de resposta e avaliam sua capacidade de manter os serviços essenciais. Ao se concentrar na resiliência, você não apenas reduz o impacto financeiro imediato de um ataque, mas também protege sua reputação de longo prazo e a confiança das partes interessadas — ativos essenciais em um cenário cibernético cada vez mais volátil.

Os ataques de extorsão e tudo o que vem com eles — criptografia, roubo de dados, assédio e interrupção intencional — não são uma tendência passageira. As estratégias de segurança cibernética devem evoluir constantemente para combater as táticas técnicas variáveis dos invasores e, ao mesmo tempo, reconhecer que os agentes de ameaças se adaptarão continuamente para superar defesas mais fortes.

Tendência 2. Impacto cada vez maior na cadeia de suprimentos de software e nos ataques à nuvem

Como as organizações dependem cada vez mais de recursos de nuvem para operações e armazenamento de dados valiosos, os incidentes relacionados à nuvem ou a aplicativos SaaS são alguns dos mais impactantes que vemos.

Um pouco menos de um terço dos casos (29%) em 2024 estava relacionado à nuvem. Isso significa que a nossa investigação envolveu a coleta de logs e imagens de um ambiente de nuvem ou abordou ativos hospedados externamente, como aplicativos SaaS.

Esses casos não representam necessariamente as situações em que os agentes de ameaças estão causando danos aos ativos de nuvem. Vemos isso em cerca de um em cada cinco casos em 2024 (21%), em que os agentes de ameaças afetaram negativamente os ambientes ou ativos de nuvem.

Ler mais Ler menos

Mostrar tudo +

Gerenciamento de identidade e acesso como fator contribuinte

Os problemas com o gerenciamento de identidade e acesso continuam sendo fatores contribuintes em um grande número de casos. Os criminosos cibernéticos, como Bling Libra (distribuidores do ransomware ShinyHunters) e Muddled Libra, obtêm acesso a ambientes de nuvem explorando configurações incorretas e encontrando credenciais expostas.

Embora a falta de autenticação multifator (MFA) ainda seja o fator contribuinte mais predominante desse tipo, vemos esse problema com menos frequência. Vimos isso em aproximadamente 25% das vezes em 2024, em comparação com aproximadamente um terço das vezes em 2023.

Outros problemas de gerenciamento de identidade e acesso estão tendendo para a direção errada. O acesso excessivo a políticas, as permissões excessivas e os problemas de senha tornaram-se mais prevalentes em 2024, conforme mostrado na Figura 2 abaixo.

Figura 2: Tendências em problemas de gerenciamento de identidade e acesso de 2023 a 2024.

As configurações incorretas do IAM foram o vetor de acesso inicial em aproximadamente 4% dos casos, mas esse número deve ser considerado em conjunto com a escala e o impacto dos ataques à nuvem. Incidentes desse tipo podem afetar uma organização em grande escala e também podem afetar outras organizações se os agentes de ameaças conseguirem controlar os recursos da nuvem.

Uma operação em nuvem de uma campanha de extorsão aproveitou as variáveis de ambiente expostas, o uso de credenciais de longa duração e a ausência de arquitetura de privilégios mínimos. Quando os agentes da ameaça conseguiram incorporar a infraestrutura de ataque nos ambientes de nuvem de várias organizações, eles usaram isso como ponto de partida para atacar outras organizações em grande escala. Isso incluiu a varredura de mais de 230 milhões de alvos exclusivos em busca de endpoints de API adicionais expostos. Como resultado, o agente da ameaça conseguiu atingir arquivos expostos de pelo menos 110.000 domínios, coletando mais de 90.000 variáveis exclusivas vazadas. Dessas variáveis, 7.000 estavam associadas a serviços de nuvem e 1.500 a contas de mídia social, muitas vezes incluindo nomes de contas, além das informações necessárias para autenticação.

Em várias ocasiões, a Unit 42 observou agentes de ameaças usando chaves de acesso/API vazadas para acesso inicial. Isso geralmente dá aos agentes de ameaças uma vantagem para um comprometimento posterior. O uso de contas válidas na nuvem (T1078.004) aparece repetidamente em nossos dados de casos em relação às seguintes táticas:

Acesso inicial (13% dos casos em que observamos essa tática)
Escalonamento de privilégios (8%)
Persistência (7%)
Evasão da defesa (7%)

Exfiltração e armazenamento em nuvem

Visibilidade e controle deficientes de SaaS e sistemas baseados em nuvem

Extração de dados da Web e abuso de API

Ataques habilitados para a nuvem

Ataques à cadeia de suprimentos de software e software de terceiros

Em 2024, respondemos a vários incidentes relacionados à cadeia de suprimentos de software.

Uma vulnerabilidade crítica na biblioteca de compactação de dados XZ Utils foi identificada antes que pudesse causar danos em grande escala. No entanto, isso continua sendo uma lição sobre o possível impacto dos comprometimentos da cadeia de suprimentos. De acordo com a Red Hat, no momento da divulgação, as ferramentas e bibliotecas da XZ continham “código malicioso que parece ser destinado a permitir acesso não autorizado”. Como o XZ Utils está incluído em várias das principais distribuições Linux - que, por sua vez, são usadas por várias organizações em todo o mundo - a implantação bem-sucedida desse código malicioso poderia ter exposto milhares de organizações em todo o mundo. Resultado de um “esforço de vários anos”, o problema no XZ Utils ressalta a necessidade de todas as organizações implementarem práticas recomendadas em relação ao software de código aberto incorporado em seus sistemas.

Várias vulnerabilidades em dispositivos VPN também levantaram preocupações sobre a integridade de softwares de terceiros. Vimos essas vulnerabilidades serem usadas como vetores de acesso inicial por agentes de ameaças de estados-nação e criminosos cibernéticos.

Os agentes de ameaças nem sempre precisam usar vulnerabilidades para atacar organizações através de software de terceiros. Em junho de 2024, a plataforma de dados baseada em nuvem Snowflake alertou que os agentes de ameaças estavam atacando algumas das contas dos seus clientes. A empresa disse que sua pesquisa indicou que os invasores estavam usando credenciais previamente comprometidas (T1078 - Contas válidas) e citou “ataques contínuos em todo o setor, baseados em identidade, com a intenção de obter dados de clientes”.

Em outro caso trabalhado pela Unit 42, os agentes de ameaças passaram meses fazendo força bruta em uma VPN (T1110 - Força bruta). Seu eventual sucesso permitiu que obtivessem acesso e mantivessem a persistência no ambiente da organização.

A complexidade da infraestrutura e a consequente falta de visibilidade podem dificultar a correção total dos ataques, principalmente quando são incorporados softwares de terceiros.

Contramedidas: Defesa contra ataques à cadeia de suprimentos de software e à nuvem

Para reduzir o risco de ataques à cadeia de suprimentos e à nuvem, concentre-se em algumas táticas importantes:

Limitar o abuso de credenciais: Aplique controles rigorosos de IAM, concedendo apenas os privilégios necessários para cada função. Use credenciais de curta duração e autenticação multifatorial sempre que possível.
Centralize o registro e a auditoria dos recursos de produção na nuvem: Encaminhe os registros para fora do host de origem para evitar adulterações e agregue-os para correlação entre os serviços. Rastreie anomalias, como as chamadas de API incomuns ou grandes transferências de dados.
Monitore os padrões de uso: Use a análise de registros para estabelecer linhas de base para o consumo normal de recursos e acionar alertas para desvios. Os invasores frequentemente aumentam o uso da CPU ou da largura de banda durante a exfiltração de dados ou a criptomineração.
Aplique o patch imediatamente: Trate bibliotecas de terceiros, imagens de contêineres e componentes de código aberto como parte de sua infraestrutura operacional. Desenvolva um processo para revisar com regularidade e implementar rapidamente atualizações de segurança.
Proteja as APIs e as integrações da cadeia de suprimentos: Aplique a limitação de taxa para impedir tentativas excessivas de extração ou força bruta e use ferramentas de varredura robustas para avaliar novas dependências antes de integrá-las à produção.

Ao aplicar essas medidas de forma consistente, as equipes de segurança podem identificar ataques antecipadamente, limitar seu impacto e manter a confiança de que os recursos da nuvem e os pipelines de software permanecem sob controle.

Tendência 3. Rapidez: Os ataques estão ficando mais rápidos, dando aos defensores menos tempo para responder

A Unit 42 observou uma notável aceleração nos ataques cibernéticos à medida que os agentes de ameaças adotam cada vez mais a automação, os modelos de ransomware como serviço (RaaS) e a IA generativa (GenAI) para simplificar suas campanhas. Essas ferramentas permitem que os invasores identifiquem rapidamente as vulnerabilidades, criem iscas convincentes de engenharia social e, por fim, executem ataques em escala e mais rapidamente.

A velocidade dos ataques força as organizações globais a reavaliarem seus recursos de resposta e a priorizarem a detecção precoce. Em muitos casos, apenas algumas horas podem determinar se um invasor conseguirá concluir sua missão, incluindo roubo de dados, criptografia ou interrupção operacional. Como os invasores continuam refinando seus métodos e acelerando seus cronogramas, a necessidade de medidas de segurança proativas e de resposta rápida a incidentes é fundamental.

Uma das maneiras pelas quais a Unit 42 avalia a velocidade do ataque é medindo o tempo de exfiltração — a rapidez com que um invasor exfiltra os dados roubados após o comprometimento inicial.

Em 2024, o tempo médio para a exfiltração em ataques aos quais a Unit 42 respondeu foi de cerca de dois dias. Esse período de tempo é notável porque as organizações geralmente levam vários dias para detectar e remediar um comprometimento.

Examinando o subconjunto de casos em que a exfiltração ocorreu mais rapidamente, a velocidade da exfiltração é ainda mais preocupante.

Em 1/4 dos casos, o tempo entre o comprometimento e a exfiltração foi inferior a cinco horas.
Isso é três vezes mais rápido do que em 2021, quando, no primeiro quartil de casos, a exfiltração ocorreu em menos de 15 horas.

Em uma grande proporção dos incidentes, os invasores são ainda mais rápidos.

Em um em cada cinco casos (19%), o tempo entre o comprometimento e a exfiltração foi inferior a uma hora.

Em três casos recentes aos quais a Unit 42 respondeu, observamos a velocidade do invasor em ação:

O RansomHub (rastreado pela Unit 42 como Spoiled Scorpius) acessou a rede de um governo municipal através de uma VPN que não possuía autenticação multifator. Sete horas depois de se estabelecer, o agente da ameaça exfiltrou 500 GB de dados da rede.

Um agente de ameaças forçou uma conta VPN para obter acesso a uma universidade. Depois de identificar um sistema sem proteção XDR, ele implantou o ransomware e exfiltrou os dados em 18 horas.

O Muddled Libra (também conhecido como Scattered Spider) fez engenharia social com sucesso na assistência técnica de um provedor de serviços para obter acesso a uma conta de gerenciador de acesso privilegiado (PAM). Usando esse acesso, eles recuperaram as credenciais armazenadas e comprometeram uma conta privilegiada de domínio — tudo isso em apenas 40 minutos. Com o acesso ao domínio protegido, o agente da ameaça violou um cofre de gerenciamento de senhas e adicionou uma conta comprometida ao ambiente de nuvem do cliente, aumentando as permissões para permitir a exfiltração de dados.

Os defensores têm menos tempo do que nunca para identificar, responder e conter um ataque. Em alguns casos, eles têm menos de uma hora para responder.

No entanto, estamos progredindo na redução do tempo de permanência, que é medido como o número de dias em que um invasor está presente em um ambiente de vítima antes que uma organização descubra ou detecte o invasor. O tempo de permanência em 2024 diminuiu 46%, passando de 13 dias em 2023 para 7 dias em 2024. Isso dá continuidade a uma tendência de diminuição do tempo de permanência que observamos desde 2021, quando o tempo de permanência foi de 26,5 dias.

Ler mais Ler menos

Contramedidas: Defesa contra ataques mais rápidos

Para melhorar sua defesa contra ataques cada vez mais rápidos, considere as seguintes táticas:

Meça os tempos de detecção e resposta: Acompanhar e promover a melhoria contínua do tempo médio de detecção (MTTD) e do tempo médio de resposta (MTTR) significa que seu SOC está ficando mais rápido.
Aproveite a análise orientada por IA: Centralize as fontes de dados e identifique as anomalias em tempo real, revelando alertas críticos mais rapidamente do que os métodos manuais.
Use manuais automatizados: Predefina ações de contenção para isolar endpoints comprometidos ou bloquear contas de usuários em minutos.
Teste continuamente: Realize regularmente exercícios de mesa e de red-team para garantir que a sua equipe de SecOps possa alternar sem problemas entre a detecção e a resposta.
Priorize os ativos de alto risco: Concentre os recursos de resposta rápida em seus sistemas mais críticos, onde o tempo de inatividade ou a perda de dados seriam mais prejudiciais.

Ao integrar visibilidade em tempo real, insights de IA e fluxos de trabalho automatizados, você pode superar até mesmo os adversários mais rápidos.

Tendência 4. A ascensão das ameaças internas:
A onda de ameaças internas da Coreia do Norte

As ameaças internas representam alguns dos riscos mais evasivos para qualquer organização, pois exploram o acesso privilegiado e os relacionamentos confiáveis dos quais as empresas dependem para operar. A capacidade de contornar muitas defesas externas torna a detecção dessas ameaças excepcionalmente difícil.

Recentemente, grupos de ameaças do estado-nação norte-coreano se envolveram em ataques ainda mais perturbadores de ameaças internas, colocando agentes em cargos técnicos em organizações internacionais. A campanha que rastreamos como Wagemole (também conhecida como “IT Workers”) transformou as próprias funções de engenharia em outra superfície de ataque. No processo, isso gera centenas de milhões de dólares e outras moedas fortes para o regime norte-coreano.

Os agentes de ameaças norte-coreanos exploram os processos tradicionais de contratação com identidades roubadas ou sintéticas apoiadas por portfólios técnicos detalhados. Esses portfólios podem incluir referências legítimas obtidas pela manipulação de identidade e históricos de trabalho reais anteriores que passam pela verificação básica.

Aproximadamente 5% dos nossos casos de resposta a incidentes em 2024 estavam relacionados a ameaças internas, e o número de casos vinculados à Coreia do Norte triplicou em comparação com o ano anterior. Embora a maior conscientização sobre a ameaça possa ter levado mais clientes a procurá-la, é significativo que esses agentes de ameaças continuem operando.

Nenhum setor está imune a essa ameaça. Em 2024, esses agentes expandiram seu alcance para incluir serviços financeiros, mídia, varejo, logística, entretenimento, telecomunicações, serviços de TI e contratados de defesa do governo. As grandes empresas de tecnologia continuaram sendo os principais alvos.

Ler mais Ler menos

Mostrar tudo + Ocultar tudo -

Contrato de força de trabalho

Essas campanhas geralmente têm como alvo as organizações que utilizam funções técnicas baseadas em contratos. As empresas de recrutamento tornam-se facilitadoras involuntárias dos esquemas de trabalhadores de TI norte-coreanos devido a:

Processos de verificação abreviados para atender às rápidas demandas de pessoal
Mecanismos limitados de verificação de identidade
Pouca visibilidade dos fornecedores de mão de obra subcontratada
Pressão para preencher rapidamente as vagas em um mercado competitivo

Embora os agentes norte-coreanos tenham obtido com sucesso cargos em tempo integral, a força de trabalho contratada continua sendo o vetor de infiltração mais utilizado.

Táticas em evolução

A sofisticação técnica desses agentes evoluiu. Se antes eles dependiam muito de ferramentas comerciais de gerenciamento remoto, recentemente passaram a usar abordagens mais sutis.

O mais preocupante é o uso crescente de soluções KVM-over-IP baseadas em hardware — pequenos dispositivos que se conectam diretamente às portas de vídeo e USB dos sistemas-alvo, fornecendo recursos de controle remoto que podem contornar a maioria das ferramentas de monitoramento de endpoints. Esses dispositivos são conectados aos computadores que a própria organização-alvo forneceu para promover os objetivos dos agentes de ameaças.

Os recursos de tunelamento do Visual Studio Code, originalmente projetados para desenvolvimento remoto legítimo, agora servem como canais secretos para manter o acesso.

A natureza dessas operações apresenta desafios de detecção porque muitos agentes possuem habilidades técnicas genuínas. Seu acesso parece legítimo porque de fato é. Eles realizam o trabalho que receberam e, ao mesmo tempo, atendem a seus verdadeiros objetivos.

Ameaças representadas por falsos funcionários de TI

Uma vez incorporados em uma empresa, além de receberem ilegalmente salários que ajudam a sustentar o regime, essas pessoas internas se envolvem em uma série de atividades mal-intencionadas:

Exfiltração de dados: Exfiltração sistemática de dados comerciais confidenciais e documentação interna, usando políticas de segurança, relatórios de vulnerabilidade e guias de entrevista para evitar a detecção e, ao mesmo tempo, visar os dados do cliente, o código-fonte e a propriedade intelectual.
Implementação de ferramentas não autorizadas: Introduzir gerenciamento remoto e outras ferramentas não autorizadas para manter o acesso ou se preparar para uma exploração posterior.
Alteração do código-fonte: Com acesso a um repositório de código-fonte, o agente da ameaça pode inserir um código de backdoor, possivelmente permitindo o acesso não autorizado ao sistema em organizações mais amplas ou adulterando transações financeiras.
Extorsão: Em alguns casos, os agentes aproveitam os dados roubados para exigir resgates, ameaçando vazar informações proprietárias. Em alguns casos, eles cumpriram essas ameaças.
Referências falsas: Os agentes de ameaças podem indicar seus associados para a organização, levando à contratação de outros funcionários de TI falsos. Em alguns casos, as contratações indicadas são meramente clones do autor da indicação original, usando diferentes identidades falsas para se passar por vários indivíduos.

Contramedidas: Defesa contra ameaças internas

O esquema norte-coreano de trabalhadores de TI deixou de ser uma simples coleta de receita e passou a ser uma estratégia mais evasiva de ameaças internas, visando a uma ampla gama de organizações em todo o mundo. O investimento estratégico do regime nessas operações é um compromisso de longo prazo com essa abordagem.

A defesa contra essa ameaça exige uma mudança na forma como as organizações abordam o gerenciamento da força de trabalho e a segurança.

O combate às ameaças internas exige mais do que apenas controles técnicos. Exige uma cultura de conscientização da segurança e monitoramento ativo das atividades dos usuários, principalmente entre os indivíduos com privilégios elevados.

Medidas como a implementação de políticas de privilégios mínimos e a atuação com base nos resultados de verificações completas de antecedentes podem ajudar a minimizar o potencial de abuso. Além disso, as organizações devem prestar muita atenção aos indicadores de comportamento, como transferências de dados incomuns ou acesso de última hora ao sistema por parte de funcionários que estejam próximos da data de saída. Como parte desse processo, é importante ter a capacidade de reunir indicadores de várias fontes de dados. Um comportamento pode parecer inócuo isoladamente, mas, em combinação com outros sinais, pode indicar a necessidade de uma investigação.

Em última análise, a confiança deve ser equilibrada com a verificação. Um único incidente interno pode minar anos de progresso organizacional, ameaçar a propriedade intelectual e causar danos à reputação. Ao fortalecer os processos internos, monitorar o acesso privilegiado e enfatizar a segurança em todos os níveis, as empresas podem reduzir significativamente a probabilidade de um evento interno prejudicial.

Tendência 5. O surgimento de ataques assistidos por IA

Embora ainda esteja nos estágios iniciais, o uso mal-intencionado da GenAI já está transformando o cenário das ameaças virtuais. Os invasores usam métodos orientados por IA para permitir campanhas de phishing mais convincentes, automatizar o desenvolvimento de malware e acelerar a progressão na cadeia de ataque, tornando os ataques cibernéticos mais difíceis de detectar e mais rápidos de executar. Embora o uso adverso da GenAI seja mais evolutivo do que revolucionário neste momento, não se engane: A GenAI já está transformando as capacidades de ataque ofensivo.

Mostrar tudo + Ocultar tudo -

Aprimorando as capacidades de ataque com GenAI

As ferramentas de GenAI, especialmente os LLMs, estão sendo aproveitadas tanto por APTs de estados-nação quanto por criminosos cibernéticos com motivação financeira para simplificar e ampliar os ataques. Essas tecnologias automatizam tarefas complexas que antes exigiam um esforço manual significativo, acelerando todo o ciclo de vida do ataque.

Por exemplo, os LLMs podem criar e-mails de phishing altamente convincentes que imitam comunicações corporativas legítimas com uma precisão sem precedentes, aumentando a taxa de sucesso das campanhas de phishing e tornando-as mais difíceis de detectar com as defesas tradicionais baseadas em assinaturas. Grupos mal-intencionados já estão vendendo ferramentas que podem criar deepfakes convincentes (desde ofertas gratuitas até “planos empresariais” que oferecem deepfakes por apenas US$ 249/mês).

No desenvolvimento de malware, os LLMs auxiliam na geração e no ofuscamento de códigos mal-intencionados, permitindo que os invasores criem malware polimórfico que pode escapar dos mecanismos de detecção padrão. Ao automatizar a criação de scripts de exploração e refinar cargas úteis de malware, a IA adversária reduz as barreiras técnicas para agentes de ameaças menos qualificados, ampliando o grupo de possíveis invasores. Além disso, as ferramentas orientadas por IA aumentam a capacidade de identificar e explorar vulnerabilidades.

Velocidade e IA

Um dos impactos mais profundos dos ataques assistidos por IA é o aumento da velocidade e da eficiência dos ataques cibernéticos. As tarefas que tradicionalmente levavam dias ou semanas agora podem ser concluídas em minutos.

Para testar isso, os pesquisadores da Unit 42 simularam um ataque de ransomware integrando a GenAI em cada estágio do ataque. A Figura 3 a seguir demonstra a velocidade de um ataque antes do uso da GenAI - conforme a referência do tempo médio realmente observado em nossas investigações de IR - em comparação com o tempo de uso da GenAI.

Com AI

Sem IA

Figura 3: Diferenças de velocidade em um ataque simulado, antes e depois de usar técnicas assistidas por IA.

Nossos testes reduziram o tempo de exfiltração da média de dois dias para 25 minutos, aproximadamente 100 vezes mais rápido. Embora esses resultados sejam baseados em laboratório, é fácil ver como essa rápida progressão do reconhecimento para a exploração reduz significativamente o “tempo até o impacto”, dificultando a resposta das organizações em tempo hábil para mitigar os danos.

Contramedidas: Defesa contra ataques assistidos por IA

Essas táticas podem ajudar você a se defender contra ataques assistidos por IA:

Implantar a detecção orientada por IA para detectar padrões maliciosos na velocidade da máquina, correlacionando dados de várias fontes.
Treinar a equipe para reconhecer phishing gerado por IA, deepfakes e tentativas de engenharia social direcionadas.
Incorporar simulações de adversários usando táticas baseadas em IA em exercícios de mesa para se preparar para ataques rápidos e em grande escala.
Desenvolver fluxos de trabalho automatizados para que seu SOC possa conter as ameaças antes que elas se desloquem ou exfiltrem dados.

3. Como os agentes de ameaças são bem-sucedidos: Táticas, técnicas e procedimentos eficazes comuns

Os agentes de ameaças continuam aumentando a velocidade, a escala e a sofisticação de seus ataques. Isso permite que eles causem danos generalizados em um curto espaço de tempo, dificultando que as organizações detectem suas atividades e as mitiguem com eficiência.

Em nossos dados de casos, observamos duas tendências principais:

Os agentes de ameaças frequentemente atacam as organizações em várias frentes.

Quando analisamos como os agentes de ameaças buscavam seus objetivos, eles passaram da engenharia social para o ataque a endpoints, recursos de nuvem e outros, conforme mostrado na Tabela 2.

Frentes de ataque	Porcentagem de casos
Endpoints	72%
Humanos	65%
Identidade	63%
Rede	58%
E-mail	28%
Nuvem	27%
Desempenho	21%
SecOps	14%
Banco de dados	1%

Tabela 2: Frentes de ataque em que vimos agentes de ameaças operando.

Em 84% dos incidentes, os agentes de ameaças atacaram a vítima pretendida em várias frentes (70% das vezes, em três ou mais). Em alguns incidentes aos quais respondemos, os agentes de ameaças atacaram em até oito frentes.

A crescente complexidade dos ataques exige uma visão unificada de todas as fontes de dados. Em 85% dos casos, os responsáveis pela resposta a incidentes da Unit 42 precisaram acessar vários tipos de fontes de dados para concluir a investigação. Os defensores devem se preparar para acessar e processar com eficiência as informações dessas várias fontes em uma organização.

O navegador é um canal importante para as ameaças.

Quase metade dos incidentes de segurança que investigamos (44%) envolveu atividades mal-intencionadas iniciadas ou facilitadas pelos navegadores dos funcionários. Isso incluiu phishing, abuso de redirecionamentos de URL e downloads de malware, cada um explorando a sessão do navegador sem detecção ou bloqueio adequados.

A interação do usuário com links, domínios ou arquivos maliciosos, combinada com controles de segurança insuficientes, levou ao comprometimento. As organizações devem melhorar a visibilidade e implementar controles robustos no nível do navegador para detectar, bloquear e responder a essas ameaças antes que elas se espalhem.

As seções a seguir abrangem nossas observações sobre intrusão, bem como insights sobre técnicas de ataque comuns que obtivemos dos dados de casos da Unit 42.

Ler mais Ler menos

3.1. Intrusão: Crescimento da engenharia social, tanto generalizada quanto direcionada

Em 2024, o phishing recuperou seu lugar como o vetor de acesso inicial mais comum nos casos da Unit 42, respondendo por aproximadamente 1/4 de nossos incidentes (23%), conforme mostrado na Figura 4.

Mostrar tudo

Figura 4: Vetores de acesso inicial observados em incidentes aos quais a Unit 42 respondeu ao longo dos anos. Outros tipos de engenharia social incluem envenenamento de SEO, malvertising, smishing, bombardeio de MFA e comprometimento da assistência técnica. Outros vetores de acesso inicial incluem o abuso de relacionamentos ou ferramentas confiáveis, bem como ameaças internas.

Os vetores de acesso inicial isoladamente não contam toda a história. Diferentes vetores de acesso inicial geralmente correspondiam a diferentes perfis e objetivos dos agentes de ameaças. Por exemplo, quando os agentes de ameaças obtiveram acesso por phishing, o tipo de incidente associado foi, na maioria das vezes, o comprometimento de e-mails comerciais (76% dos casos), seguido de longe por extorsão, especificamente ransomware (quase 9%).

Os agentes de estado-nação, que representam uma porcentagem pequena, mas impactante, de incidentes, preferem vulnerabilidades de software/API como vetor de acesso inicial.

Os defensores devem estar cientes da frequência com que os agentes de ameaças usam credenciais previamente comprometidas, que geralmente são adquiridas de agentes de acesso inicial. As pesquisas na deep web e na dark web podem revelar credenciais previamente comprometidas.

Alguns vetores de acesso inicial menos comuns podem levar a comprometimentos significativos. Por exemplo, a Unit 42 continua observando o grupo de crimes cibernéticos Muddled Libra obtendo acesso a organizações pela engenharia social da assistência técnica. No entanto, outros agentes de ameaças também utilizam essa técnica, como um agente com motivação financeira baseado na Nigéria.

Os agentes que usam esse tipo de técnica perpetuam a fraude sem o uso de malware, munidos de documentos de identidade falsos ou números de telefone VoIP localizados geograficamente na cidade onde estão suas vítimas pretendidas. A porcentagem de ataques direcionados em nossos dados aumentou de 6% dos incidentes em 2022 para 13% em 2024.

Ler mais Ler menos

Contramedidas: Defesa contra ataques de engenharia social

Os defensores devem continuar usando estratégias de defesa em profundidade para se preparar para vetores de acesso inicial comuns e minimizar o impacto dos agentes de ameaças que conseguem acesso aos sistemas.

O treinamento em segurança é essencial para ajudar a preparar os funcionários para resistir a ataques de engenharia social. O treinamento deve ir além do phishing e do spear phishing. O treinamento também deve incluir:

Estratégias para melhorar a segurança física (como evitar o acesso não autorizado por aproximação de crachá)
Práticas recomendadas contra a perda de dispositivos
O que fazer se os dispositivos forem roubados ou deixados sem supervisão
Indicadores de ameaças internas
Sinais de alerta a serem observados nas chamadas à assistência técnica
Sinais de deepfakes

3.2. Insights sobre técnicas de ataque dos dados de casos da Unit 42

Com base nas táticas e técnicas que observamos que os invasores mais sofisticados usaram em 2024, nossos analistas de inteligência contra ameaças identificaram três insights importantes para os defensores:

Qualquer tipo de acesso pode ajudar os invasores. Mesmo se um grupo de ameaças parecer focado em outros alvos, ainda assim é importante estar preparado para defender sua organização contra eles.
Os agentes de ameaças avançadas nem sempre usam ataques complexos. Se uma abordagem mais simples funcionar, eles vão usá-la.
Apesar da prevalência da extorsão, nem todos os agentes de ameaças anunciam sua presença. Os agentes de ameaças de estado-nação, por exemplo, geralmente se especializam em permanecer silenciosamente em uma rede comprometida, especialmente com técnicas de “subsistência”.

As seções a seguir entram em mais detalhes sobre as técnicas usadas por grupos de ameaças de estado-nação e outros agentes motivados.

Mostrar tudo + Ocultar tudo -

Todos os acessos são importantes

As organizações geralmente não priorizam a defesa contra agentes específicos, acreditando que esses grupos estão concentrados em outros alvos. No entanto, muitos agentes nos mostraram repetidamente que grupos persistentes tendem a impactar muitas organizações ao longo do caminho para atingir seus objetivos finais.

Ao longo de 2024, a Unit 42 rastreou muitas organizações violadas por agentes de estado-nação. Esses agentes nem sempre estão satisfazendo diretamente os objetivos de espionagem. Às vezes, eles estão se apoderando de dispositivos para apoiar suas atividades futuras ( T1584 - Infraestrutura comprometida).

Por exemplo, o Insidious Taurus, também conhecido como Volt Typhoon, é conhecido por abusar desses dispositivos comprometidos de forma oportunista (geralmente roteadores de rede voltados para a Internet e ativos de Internet das Coisas) para criar botnets que comandam e controlam o tráfego de rede entregue a ou de vítimas adicionais.

Os agentes também foram observados visando e comprometendo fornecedores de tecnologia para coletar informações confidenciais específicas de clientes ou mesmo para explorar o acesso interconectado a vítimas posteriores (T1199 - Relação de confiança).

Sua rede ainda pode estar em risco de ser comprometida por agentes de ameaças, mesmo que você não seja o alvo direto.

A arte comercial bem-sucedida nem sempre é nova ou sofisticada

O termo “ameaça persistente avançada” criou a ilusão de que todas as atividades desses adversários são novas e complexas. Na realidade, mesmo os agentes com bons recursos geralmente seguem o caminho de menor resistência. Isso inclui a exploração de vulnerabilidades conhecidas (e até mesmo antigas) (T1190 - Aplicativo voltado para o público), simplesmente abusando de recursos legítimos de acesso remoto (T1133 - Serviços remotos externos) ou roubando informações usando serviços on-line populares existentes (T1567 - Exfiltração por serviço da Web).

Vemos problemas sistêmicos e erros comumente repetidos nas redes, como configurações incorretas e dispositivos expostos voltados para a Internet. Isso diminui a barreira para os agentes mal-intencionados.

A atividade pós-comprometimento pode ser silenciosa e paciente

A maioria dos incidentes envolveu agentes de ameaças com motivação financeira, muitos dos quais agem rapidamente e anunciam sua presença com o objetivo de extorsão. No entanto, também vemos incidentes nos quais os adversários evitam acionar alertas e se esforçam para burlar os mecanismos de defesa, para fins como espionagem.

Às vezes, os invasores exploram ainda mais a complexidade das redes, escondendo-se no “ruído” da atividade esperada do usuário. Eles abusam de recursos legítimos de um ambiente comprometido, uma abordagem conhecida como “de subsistência”. O sucesso que os invasores podem obter com essa abordagem destaca o desafio, muitas vezes incontrolável para os defensores, de categorizar atividades benignas e mal-intencionadas.

Como um exemplo muito comum no mundo real, você consegue distinguir imediatamente entre administradores e uma APT ao observar as seguintes ações?

Comandos executados
Alterações na configuração do sistema Alterações na configuração do sistema
Logins
Tráfego de rede

Técnica	Tendências para 2024
T1078 - Contas válidas	Essa foi uma das principais técnicas observadas como vetor de acesso inicial, representando mais de 40% dos tipos de técnicas agrupadas encontradas em associação com essa tática. É provável que ela seja possibilitada por pontos fracos no gerenciamento de identidade e acesso e no gerenciamento de superfície de ataque (ASM), tais como: Ausência de MFA (28% dos casos) Senhas fracas/padrão (20% dos casos) Controles insuficientes de força bruta/bloqueio de contas (17% dos casos) Permissões de conta excessivas (17% dos casos)
T1059 - Interpretador de comandos e scripts	Essa foi a principal técnica de execução (mais de 61% dos casos associados à tática de execução abusam do PowerShell dessa forma, por exemplo). Outros utilitários de sistema comumente abusados incluem outros dispositivos nativos do Windows, Unix, de rede e shells específicos de aplicativos para executar várias tarefas.
T1021 - Serviços remotos	O abuso desses serviços foi a técnica mais observada para o Movimento Lateral (dos tipos de técnicas agrupadas encontradas em associação com essa tática, mais de 86% envolviam serviços remotos). Isso amplia ainda mais a tendência que destaca a reutilização de credenciais legítimas. Em vez de usos mais tradicionais dessas credenciais, aqui as vemos usadas para autenticação através de protocolos de rede interna, como RDP (mais de 48% dos casos), SMB (mais de 27% dos casos) e SSH (mais de 9% dos casos).

Técnica

Tendências para 2024

T1078 - Contas válidas

Essa foi uma das principais técnicas observadas como vetor de acesso inicial, representando mais de 40% dos tipos de técnicas agrupadas encontradas em associação com essa tática. É provável que ela seja possibilitada por pontos fracos no gerenciamento de identidade e acesso e no gerenciamento de superfície de ataque (ASM), tais como:

Ausência de MFA (28% dos casos)
Senhas fracas/padrão (20% dos casos)
Controles insuficientes de força bruta/bloqueio de contas (17% dos casos)
Permissões de conta excessivas (17% dos casos)

T1059 - Interpretador de comandos e scripts

Essa foi a principal técnica de execução (mais de 61% dos casos associados à tática de execução abusam do PowerShell dessa forma, por exemplo). Outros utilitários de sistema comumente abusados incluem outros dispositivos nativos do Windows, Unix, de rede e shells específicos de aplicativos para executar várias tarefas.

T1021 - Serviços remotos

O abuso desses serviços foi a técnica mais observada para o Movimento Lateral (dos tipos de técnicas agrupadas encontradas em associação com essa tática, mais de 86% envolviam serviços remotos). Isso amplia ainda mais a tendência que destaca a reutilização de credenciais legítimas. Em vez de usos mais tradicionais dessas credenciais, aqui as vemos usadas para autenticação através de protocolos de rede interna, como RDP (mais de 48% dos casos), SMB (mais de 27% dos casos) e SSH (mais de 9% dos casos).

Tabela 3: Técnicas mais proeminentes de “subsistência” dos casos de IR da Unit 42.

Além da subsistência, observamos vários agentes — particularmente envolvidos com ransomware — tentando usar ferramentas de desativação de EDR para “modificar o ambiente” como parte de suas operações. Aproximadamente 30% dos tipos de técnicas agrupadas observadas associadas à Evasão de Defesa envolviam a T1562 - Prejudicar as defesas. Isso inclui subtécnicas como:

Embora existam muitos truques, vemos mais violações envolvendo agentes de ameaças que abusam da arte comercial de trazer seu próprio driver vulnerável (BYOVD). Eles usam essa técnica para obter as permissões necessárias para contornar e até mesmo atacar o EDR e outras proteções defensivas instaladas em um host comprometido. As técnicas relacionadas incluem:

Contramedidas: Defesa contra TTPs eficazes comuns

Os defensores devem manter um entendimento claro da superfície de ataque interna e externa da organização. Avaliar periodicamente quais dados ou dispositivos estão acessíveis ou expostos na Internet voltada para o público e minimizar as configurações de acesso remoto perigosas e as configurações incorretas. Remova os sistemas executados em sistemas operacionais que não são mais suportados com atualizações de segurança regulares e esteja ciente das vulnerabilidades dos seus sistemas, inclusive os mais antigos, especialmente aqueles com código PoC publicado.

Mantenha uma linha de base acionável do seu ambiente, incluindo contas, software/aplicativos e outras atividades aprovadas para uso. Implemente um registro robusto e aproveite as ferramentas analíticas que podem ajudar a estabelecer rapidamente conexões entre várias fontes de dados para detectar padrões de comportamento incomuns.

4. Recomendações para os defensores

Esta seção examina mais de perto os problemas sistêmicos mais frequentemente explorados pelos invasores e as estratégias direcionadas para combatê-los. Ao abordar esses fatores de forma proativa, as organizações podem reduzir significativamente o risco cibernético, fortalecer a resiliência e manter uma vantagem decisiva contra as ameaças atuais e emergentes.

4.1. Fatores contribuintes comuns

Os fatores contribuintes comuns são problemas sistêmicos que permitem que os agentes de ameaças tenham sucesso repetidas vezes. Ao abordar esses problemas de forma proativa, as organizações reduzem a probabilidade e o impacto dos ataques cibernéticos.

Com base em milhares de incidentes, identificamos três fatores facilitadores principais: complexidade, lacunas na visibilidade e confiança excessiva. Esses fatores possibilitam o acesso inicial, permitem que as ameaças aumentem sem controle e ampliam os danos gerais. O enfrentamento direto desses fatores fortalecerá significativamente as defesas e aumentará a resiliência.

Mostrar tudo + Ocultar tudo -

1. Complexidade da segurança: Uma ameaça à eficácia do SecOps e da resposta a incidentes

Os ambientes atuais de TI e segurança geralmente se assemelham a uma colcha de retalhos de aplicativos legados, infraestrutura integrada e iniciativas de transformação incompletas. Isso faz com que muitas organizações dependam de 50 ou mais ferramentas de segurança diferentes. Adquiridas aos poucos para lidar com ameaças individuais, essas ferramentas geralmente não têm integração, criando silos de dados e impedindo que as equipes mantenham uma visão unificada de seus ambientes.

Em 75% dos incidentes que investigamos, as evidências essenciais da invasão inicial estavam presentes nos registros. No entanto, devido a sistemas complexos e desarticulados, essas informações não estavam prontamente acessíveis ou operacionalizadas de forma eficaz, permitindo que os invasores explorassem as brechas sem serem detectados.

Ao mesmo tempo, várias fontes de dados são essenciais para detectar e responder com eficácia. Aproximadamente 85% dos incidentes exigiram a correlação de dados de várias fontes para compreender totalmente o escopo e o impacto. Quase a metade (46%) exigiu a correlação de dados de quatro ou mais fontes. Quando esses sistemas não se comunicam — ou a telemetria é incompleta — as pistas essenciais permanecem ocultas até que seja tarde demais.

Caso em questão:
em um ataque de ransomware, o sistema de detecção e resposta de endpoint (EDR) capturou o movimento lateral, enquanto o comprometimento inicial estava oculto em registros de rede não monitorados. Essa visibilidade fragmentada atrasou a detecção por um longo período de tempo, dando aos invasores tempo suficiente para exfiltrar dados e implantar cargas de ransomware.

2. Brechas na visibilidade: Não é possível proteger o que não se conhece

A visibilidade em toda a empresa é a base das operações de segurança eficazes, mas as brechas continuam comuns. Os serviços em nuvem, em particular, representam um desafio significativo. A Unit 42 descobriu que as organizações criam uma média de 300 novos serviços em nuvem por mês. Sem a visibilidade adequada do tempo de execução, as equipes de SecOps não têm conhecimento das exposições e dos ataques. Os ativos não gerenciados e não monitorados, sejam eles endpoints, aplicativos ou TI invisível, oferecem aos invasores pontos de entrada fáceis no ambiente de uma organização.

De fato, problemas com ferramentas de segurança e gerenciamento foram um fator contribuinte em quase 40% dos casos. Essas brechas permitiram que os invasores estabelecessem um ponto de apoio, se movessem lateralmente e aumentassem os privilégios sem serem detectados.

Caso em questão:
em um incidente, o Muddled Libra usou uma conta de usuário privilegiada para aumentar as permissões no ambiente AWS do cliente, obtendo permissões para a exfiltração de dados. Como o serviço de nuvem não estava integrado ao SOC ou ao SIEM da organização, a atividade suspeita inicialmente não foi detectada.

3. O excesso de confiança amplia o impacto

O acesso excessivamente permissivo é uma responsabilidade perigosa. Nos incidentes a que respondemos, os invasores exploram de forma consistente as contas excessivamente permissivas e os controles de acesso inadequados para intensificar seus ataques.

De fato, em 41% dos incidentes, houve pelo menos um fator contribuinte relacionado a problemas com o gerenciamento de identidade e acesso, incluindo contas e funções com permissões excessivas. Isso leva ao movimento lateral, ao acesso a informações e aplicativos confidenciais e, por fim, permite que os invasores tenham sucesso.

Também nesse caso, os ambientes de nuvem são especialmente vulneráveis: Os pesquisadores da Unit 42 descobriram que, em quase metade dos incidentes relacionados à nuvem, havia pelo menos um fator contribuinte relacionado a problemas com o gerenciamento de identidade e acesso, incluindo contas e funções com permissões excessivas.

Em muitos casos, os invasores obtiveram muito mais acesso do que deveriam, considerando os tipos de funções que comprometeram. Depois que o acesso inicial é obtido — por phishing, roubo de credenciais ou exploração de vulnerabilidades —, essa confiança excessiva permite que os invasores aumentem rapidamente os privilégios, extraiam dados e interrompam as operações.

Caso em questão:
no caso de uma empresa de serviços de TI, os invasores exploraram contas de administrador excessivamente permissivas para se moverem lateralmente e aumentarem os privilégios depois de forçar uma VPN sem autenticação multifator. Essa confiança excessiva permitiu que os invasores implantassem ransomware em 700 servidores ESXI, interrompendo as principais operações comerciais da empresa e afetando mais de 9.000 sistemas.

4,2. Recomendações para os defensores

Ao lidar com a complexidade, as lacunas de visibilidade e o excesso de confiança, as organizações podem reduzir significativamente o risco e o impacto dos ataques cibernéticos. Isso não apenas evita o tempo de inatividade prolongado e a correção cara das violações, mas também preserva a continuidade operacional e a confiança das partes interessadas. As recomendações a seguir incluem estratégias para abordar esses problemas sistêmicos de frente.

Mostrar tudo +

1. Capacite as operações de segurança para ver mais e responder mais rapidamente

O SOC é sua última linha de defesa. Quando os controles de rede, identidade, endpoint ou aplicativo falham, essa equipe precisa das ferramentas e dos recursos para detectar e responder rapidamente — antes que as ameaças aumentem. Capacite seu SOC com visibilidade abrangente em toda a empresa e a tecnologia para identificar os problemas.

Processe todos os dados de segurança relevantes: Agregue e normalize a telemetria da infraestrutura de nuvem, dos sistemas locais, da identidade, dos endpoints e dos aplicativos para criar uma única fonte de verdade. Essa visão unificada não apenas reduz as brechas, mas também a complexidade de lidar com várias ferramentas. Mapeie a superfície de ataque interna e externa para inventariar todos os ativos e proprietários e integrar a inteligência contra ameaças para priorizar os indicadores de alto risco.
Detecte e priorize ameaças com recursos orientados por IA: Use a inteligência artificial e o aprendizado de máquina para examinar vastos conjuntos de dados, identificando ameaças ocultas e comportamentos anômalos. A análise comportamental assistida por IA ajuda a prever ataques antes que eles se materializem totalmente. O SOC deve medir o MTTD para avaliar as melhorias. A busca regular de ameaças e a correlação de sinais de várias fontes resolvem o problema da “agulha em um palheiro”.
Ative a resposta a ameaças em tempo real com automação: Automatizar os fluxos de trabalho de resposta a incidentes é fundamental para conter as ameaças na velocidade da máquina, antes que um invasor possa aumentar os privilégios ou exfiltrar dados confidenciais. O SOC deve monitorar o MTTR para promover a melhoria contínua. A integração perfeita entre as plataformas do SOC, os sistemas de TI e os aplicativos de negócios também elimina os gargalos manuais que atrasam a correção.
Faça a transição da segurança reativa para a proativa: Combine exercícios de red team, simulação de incidentes e avaliações contínuas de segurança para refinar a lógica de detecção e os manuais de resposta. Esse ciclo de feedback consistente garante que o SOC se adapte à medida que surgem novas ameaças. Elevar as habilidades do SOC com treinamento avançado elimina as lacunas de conhecimento e garante que sua organização esteja preparada para a próxima onda de ataques.
Aprofunde seu banco de dados com especialistas em IR: Ter uma equipe de IR dedicada, como a Unit 42, garante que você tenha suporte especializado na discagem rápida quando os incidentes aumentarem. Além da resposta a emergências, os créditos de retenção podem financiar serviços proativos, como caça a ameaças, exercícios teóricos e avaliações de purple team, fortalecendo sua prontidão e aprimorando as defesas antes que os invasores ataquem.

Ao alinhar seu SOC com esses princípios fundamentais, sua organização pode superar os adversários, conter incidentes rapidamente e desenvolver defesas antes dos riscos emergentes.

2. Acelere sua jornada rumo à Confiança Zero

A Confiança Zero é um modelo estratégico de segurança centrado na eliminação da confiança implícita e na validação contínua de cada usuário, dispositivo e aplicativo, independentemente do local ou da plataforma. Embora a adoção total possa ser complexa, até mesmo o progresso incremental reduzirá os riscos, protegerá os dados confidenciais e criará resiliência. Essas recomendações de alto nível mapeiam os três fatores contribuintes comuns (complexidade, lacunas na visibilidade e confiança excessiva), garantindo que sua jornada de Confiança Zero aborde diretamente esses pontos problemáticos.

Identifique e verifique todos os usuários, dispositivos e aplicativos: Autentique de forma consistente todas as entidades — humanas ou máquinas — antes de conceder acesso, seja no local ou remoto. Isso fecha lacunas e reduz a complexidade, garantindo uma única fonte de verdade para a identidade. As entidades verificadas devem ser monitoradas continuamente, minimizando o acesso não autorizado.
Imponha o acesso estrito com o mínimo de privilégio: Conceda às funções somente o acesso necessário, orientado por regras com reconhecimento de contexto que levam em conta a identidade, a postura do dispositivo e a sensibilidade dos dados. Isso neutraliza o problema da “confiança excessiva”, limitando a extensão dos danos se uma conta for comprometida. A segmentação da rede isola ainda mais os ativos essenciais e impede que os invasores se movimentem lateralmente.
Aplique uma inspeção de segurança holística: Analise o tráfego de rede, inclusive fluxos criptografados, para evitar e detectar ameaças ativas sem prejudicar o desempenho. Adapte os controles para ambientes distintos (por exemplo, nuvem, IoT) para reduzir a complexidade operacional e evitar lacunas na visibilidade. Essa abordagem de inspeção integrada aumenta a precisão da detecção de ameaças e acelera a resposta a incidentes.
Controle o acesso e a movimentação de dados: Proteja as informações confidenciais classificando os dados e aplicando políticas robustas de manuseio. As tecnologias de prevenção de perda de dados (DLP) monitoram os fluxos e impedem transferências não autorizadas, protegendo sua organização contra roubo de propriedade intelectual, violações de conformidade e repercussões financeiras.

Ao adotar esses princípios de Confiança Zero — mesmo que seja uma etapa acionável de cada vez —, você não apenas aborda os principais fatores que os invasores usam, mas também cria um modelo de segurança sustentável que sua equipe executiva pode apoiar.

3. Aplicativos e nuvem seguros do desenvolvimento ao tempo de execução

Como os adversários têm como alvo os ambientes de nuvem e as cadeias de suprimentos de software, incorporar a segurança ao DevOps, obter visibilidade em tempo real de configurações incorretas e vulnerabilidades e permitir que a sua equipe de SecOps monitore e responda continuamente a ataques baseados na nuvem é fundamental para se manter à frente da ameaça. As recomendações a seguir detalham como integrar a segurança em cada etapa, evitando violações antes da produção e contendo rapidamente as ameaças em tempo real.

Impeça que problemas de segurança cheguem à produção: Integre a segurança no início do ciclo de vida do desenvolvimento. Proteja as ferramentas de desenvolvimento e DevOps, controle componentes de terceiros e de código aberto e execute varreduras contínuas durante o processo de CI/CD. Essa abordagem shift-left descobre vulnerabilidades antes que elas cheguem à produção.
Corrija os pontos fracos de segurança recém-descobertos: Monitore continuamente a infraestrutura de nuvem em busca de configurações incorretas, vulnerabilidades e permissões excessivas. A varredura automatizada e a correção baseada em riscos garantem que, quando surgirem problemas, eles sejam rapidamente identificados e contidos. Isso é fundamental para deter os invasores antes que eles se estabeleçam.
Identifique e bloqueie ataques em tempo de execução: Proteja aplicativos, APIs e cargas de trabalho com detecção de ameaças em tempo real e controles preventivos. O monitoramento contínuo ajuda a neutralizar atividades mal-intencionadas em andamento, minimizando a interrupção operacional e eliminando os invasores antes que as ameaças aumentem.
Automatize a detecção e a resposta na nuvem: Aproveite os serviços nativos da nuvem e as ferramentas de segurança de terceiros para orquestrar a resposta automatizada a incidentes. Ao remover os gargalos manuais, você reduz o tempo que os invasores têm para se movimentar, exfiltrar dados ou aumentar os privilégios.

Concentrar-se nesses recursos combate as ameaças emergentes na nuvem e na cadeia de suprimentos de software, garantindo que as tentativas de violação do seu ambiente sejam interrompidas antecipadamente.

5. Apêndice: Técnicas MITRE ATT&CK^® por tática, tipos de investigação e outros dados de casos

5.1 Visão geral das técnicas observadas da MITRE ATT&CK por tática

A série de gráficos a seguir (Figuras 5-16) mostra as técnicas de MITRE ATT&CK® que observamos em associação com táticas específicas. Observe que as porcentagens mostradas representam a prevalência de cada técnica quando comparadas com os outros tipos de técnicas identificadas para cada tática respectiva. Essas porcentagens não representam a frequência com que as técnicas apareceram nos casos.

Acesso inicial

Figura 5: Prevalência relativa de técnicas observadas em associação com a tática de acesso inicial

5.2. Dados por região e setor

O tipo mais comum de investigação que realizamos em 2024 foi a intrusão na rede (cerca de 25% dos casos). O fato de vermos tanto esse tipo de investigação é uma boa notícia, pois usamos essa classificação quando a intrusão na rede é a única atividade maliciosa que observamos. Acreditamos que o aumento desse tipo de investigação significa que, pelo menos em alguns casos, os clientes estão nos chamando mais cedo na cadeia de ataque, o que pode fazer com que os invasores sejam detidos antes que tenham a chance de atingir seus outros objetivos.

Embora os defensores de todos os setores e regiões compartilhem muitas das mesmas preocupações, observamos algumas variações por região e setor.

Na América do Norte, o comprometimento de e-mails corporativos ficou em segundo lugar, logo após a intrusão na rede (19% dos casos versus 23%). Na EMEA, se todos os tipos de extorsão forem considerados (com e sem criptografia), a extorsão supera ligeiramente a invasão de rede em nossos dados (31% dos casos versus 30%).

Fica claro o quanto a extorsão é uma preocupação significativa quando analisamos os dados do nosso setor. No setor de alta tecnologia, a extorsão com e sem criptografia também foi o principal tipo de investigação (22%). Esse também é o caso da manufatura, o setor mais comumente representado nos sites de vazamento da dark web dos grupos de ransomware (25%).

O comprometimento de e-mails comerciais continua sendo uma ameaça substancial, principalmente para serviços financeiros (25% dos casos), serviços profissionais e jurídicos (23%) e atacado e varejo (21%).

Além da proporção substancial de casos que envolvem ou afetam os serviços de nuvem das organizações, observamos uma tendência pequena, mas crescente, de casos focados principalmente em comprometimentos do plano de controle da nuvem ou do plano de dados. Isso inclui 4% dos casos em geral, mas é maior em setores como o de alta tecnologia e serviços profissionais e jurídicos (9% dos casos para ambos). Esses ataques especificamente voltados para a nuvem têm o potencial de causar um impacto significativo. No caso de ataques ao plano de controle da nuvem, os invasores podem obter acesso a toda a infraestrutura de nuvem de uma organização. Os ataques ao plano de dados têm a possibilidade de coletar uma grande quantidade de dados confidenciais, considerando o tipo e o escopo dos dados normalmente armazenados na nuvem.

Ler mais Ler menos

Tipo de investigação por região

América do Norte

Figura 17: Tipo de investigação por região - América do Norte

Tipo de investigação por setor

As figuras 19 a 24 abaixo mostram um detalhamento dos principais tipos de investigação associados aos seis setores mais representados em nossos dados de resposta a incidentes.

Alta tecnologia

Figura 19: Tipo de investigação por setor - Alta tecnologia

6. Dados e metodologia

Para este relatório, obtivemos dados de mais de 500 casos aos quais a Unit 42 respondeu entre outubro de 2023 e dezembro de 2024, bem como de outros dados de casos que remontam a 2021.

Nossos clientes variam de pequenas organizações com menos de 50 funcionários a empresas da Fortune 500 e Global 2000 e organizações governamentais com mais de 100.000 funcionários.

As organizações afetadas estavam sediadas em 38 países diferentes. Aproximadamente 80% das organizações visadas nesses casos estavam localizadas nos EUA. Os casos relacionados a organizações sediadas na Europa, no Oriente Médio e na Ásia-Pacífico formam os outros 20% do trabalho. Os ataques frequentemente têm impacto além dos locais onde as organizações estão sediadas.

Combinamos esses dados de casos com insights de nossa pesquisa sobre ameaças, que se baseia na telemetria de produtos, bem como em observações de sites de vazamento da dark web e outros dados de código aberto.

Os responsáveis pela resposta a incidentes também compartilharam suas observações sobre as principais tendências com base no trabalho direto com os clientes.

Vários fatores podem afetar a natureza de nossos dados, incluindo uma tendência de trabalhar com organizações maiores com posturas de segurança mais maduras. Também optamos por enfatizar casos que acreditamos revelar tendências emergentes, o que, para alguns tópicos, significa focar em segmentos menores do conjunto de dados.

Para alguns tópicos, optamos por filtrar nossos dados para remover fatores que poderiam distorcer nossos resultados. Por exemplo, oferecemos nossos serviços de resposta a incidentes para ajudar nossos clientes a investigar os possíveis impactos do CVE-2024-3400, o que fez com que essa vulnerabilidade fosse super-representada em nosso conjunto de dados. Em alguns lugares, corrigimos os dados para remover essa representação excessiva.

Nosso princípio orientador tem sido o de fornecer ao leitor insights sobre o cenário de ameaças atuais e futuras, possibilitando uma defesa aprimorada.

Colaboradores:

Aditi Adya, Consultora

Jim Barber, Consultor sênior

Richard Emerson, Gerente da Unidade de Resposta da Intel

Evan Gordenker, Gerente sênior de consultoria

Michael J. Graven, Diretor de Operações de Consultoria Global

Eva Mehlert, Executiva sênior e gerente de comunicações internas, Unit 42

Lysa Myers, Editora técnica sênior

Erica Naone, Gerente Sênior, Engajamento Externo da Unit 42

Dan O'Day, Diretor de Consultoria

Prashil Pattni, Pesquisador Sênior de Ameaças

Laury Rodriguez, Consultora

Sam Rubin, Vice-Presidente Sênior, Consultoria e Inteligência de Ameaças da Unit 42

Doel Santos, Pesquisador principal de ameaças

Mike Savitz, Diretor sênior de consultoria

Michael Sikorski, CTO e vice-presidente de engenharia, Unit 42

Samantha Stallings, Editora de produção sênior

Jamie Williams, Pesquisador principal de inteligência contra ameaças

Relatório de resposta a incidentes - 2025

Resumo executivo

1. Introdução

SAM RUBIN

Pronto para ser mais esperto que as ameaças virtuais?

Fique um passo à frente com nossas atualizações do Relatório de IR!

Mantenha-se informado, mantenha-se seguro.

2. Ameaças e tendências emergentes

Onda 1: No início, existia a criptografia

Onda 2: Aumentando a aposta com a exfiltração de dados

Onda 3: Interrupção operacional intencional

Contramedidas: Permanecendo resiliente diante do aumento da interrupção

Tendência 2. Impacto cada vez maior na cadeia de suprimentos de software e nos ataques à nuvem

Tendência 3. Rapidez: Os ataques estão ficando mais rápidos, dando aos defensores menos tempo para responder

Contramedidas: Defesa contra ataques mais rápidos

Tendência 4. A ascensão das ameaças internas: A onda de ameaças internas da Coreia do Norte

Contrato de força de trabalho

Táticas em evolução

Ameaças representadas por falsos funcionários de TI

Contramedidas: Defesa contra ameaças internas

Tendência 5. O surgimento de ataques assistidos por IA

Aprimorando as capacidades de ataque com GenAI

Velocidade e IA

Contramedidas: Defesa contra ataques assistidos por IA

3. Como os agentes de ameaças são bem-sucedidos: Táticas, técnicas e procedimentos eficazes comuns

Os agentes de ameaças frequentemente atacam as organizações em várias frentes.

O navegador é um canal importante para as ameaças.

3.1. Intrusão: Crescimento da engenharia social, tanto generalizada quanto direcionada

Contramedidas: Defesa contra ataques de engenharia social

3.2. Insights sobre técnicas de ataque dos dados de casos da Unit 42

Todos os acessos são importantes

A arte comercial bem-sucedida nem sempre é nova ou sofisticada

A atividade pós-comprometimento pode ser silenciosa e paciente

Contramedidas: Defesa contra TTPs eficazes comuns

4. Recomendações para os defensores

4.1. Fatores contribuintes comuns

1. Complexidade da segurança: Uma ameaça à eficácia do SecOps e da resposta a incidentes

2. Brechas na visibilidade: Não é possível proteger o que não se conhece

3. O excesso de confiança amplia o impacto

4,2. Recomendações para os defensores

5. Apêndice: Técnicas MITRE ATT&CK® por tática, tipos de investigação e outros dados de casos

5.1 Visão geral das técnicas observadas da MITRE ATT&CK por tática

5.2. Dados por região e setor

Tipo de investigação por região

Tipo de investigação por setor

6. Dados e metodologia

Colaboradores:

Tendência 4. A ascensão das ameaças internas:
A onda de ameaças internas da Coreia do Norte

5. Apêndice: Técnicas MITRE ATT&CK^® por tática, tipos de investigação e outros dados de casos