Pesquisadores da Sophos identificaram que 67% de todos os incidentes cibernéticos investigados no último ano tiveram como origem ataques relacionados à identidade. O Relatório Sophos Active Adversary 2026, que analisou 661 casos entre novembro de 2024 e outubro de 2025, revela que os invasores continuam explorando credenciais comprometidas, autenticação multifator (MFA) frágil e sistemas de identidade mal protegidos.
Acesso inicial e falta de MFA
O estudo aponta uma mudança no foco dos atacantes: a atividade de força bruta (15,6%) praticamente empatou com a exploração de vulnerabilidades (16%) como método inicial de acesso. Em 59% dos casos analisados, não havia MFA implementado, facilitando o uso abusivo de credenciais roubadas. “As organizações precisam adotar uma abordagem proativa para a segurança de identidade”, afirmou John Shier, Field CISO da Sophos.
O tempo médio de permanência dos invasores nas redes caiu para três dias, impulsionado pela movimentação mais rápida dos criminosos e pela resposta mais ágil dos defensores, especialmente em ambientes gerenciados. Após invadir uma organização, os atacantes levam em média apenas 3,4 horas para alcançar o servidor de Active Directory (AD).
Ransomware fora do horário comercial
O ransomware continua sendo uma atividade predominantemente fora do expediente. Cerca de 88% das cargas de ransomware são implantadas fora do horário comercial, enquanto 79% das ações de exfiltração de dados ocorrem no mesmo período. A pesquisa também registrou o maior número de grupos de ameaças ativos na história do relatório, com Akira presente em 22% dos incidentes e 51 marcas de ransomware identificadas, das quais 24 são novas.
Desafios de telemetria e IA
A falta de telemetria compromete os esforços de defesa: a ausência de logs devido a problemas de retenção de dados dobrou em relação ao ano anterior. Apesar do hype em torno da inteligência artificial, a Sophos não encontrou evidências de uma grande transformação impulsionada por IA nas técnicas de ataque, embora a tecnologia tenha aumentado a escala e o refinamento de campanhas de phishing.






