security-265130_1280.jpg

67% dos ataques têm origem em falhas de acesso

Pesquisadores da Sophos identificaram que 67% de todos os incidentes cibernéticos investigados no último ano tiveram como origem ataques relacionados à identidade. O Relatório Sophos Active Adversary 2026, que analisou 661 casos entre novembro de 2024 e outubro de 2025, revela que os invasores continuam explorando credenciais comprometidas, autenticação multifator (MFA) frágil e sistemas de identidade mal protegidos.

Acesso inicial e falta de MFA

O estudo aponta uma mudança no foco dos atacantes: a atividade de força bruta (15,6%) praticamente empatou com a exploração de vulnerabilidades (16%) como método inicial de acesso. Em 59% dos casos analisados, não havia MFA implementado, facilitando o uso abusivo de credenciais roubadas. “As organizações precisam adotar uma abordagem proativa para a segurança de identidade”, afirmou John Shier, Field CISO da Sophos.

O tempo médio de permanência dos invasores nas redes caiu para três dias, impulsionado pela movimentação mais rápida dos criminosos e pela resposta mais ágil dos defensores, especialmente em ambientes gerenciados. Após invadir uma organização, os atacantes levam em média apenas 3,4 horas para alcançar o servidor de Active Directory (AD).

Ransomware fora do horário comercial

O ransomware continua sendo uma atividade predominantemente fora do expediente. Cerca de 88% das cargas de ransomware são implantadas fora do horário comercial, enquanto 79% das ações de exfiltração de dados ocorrem no mesmo período. A pesquisa também registrou o maior número de grupos de ameaças ativos na história do relatório, com Akira presente em 22% dos incidentes e 51 marcas de ransomware identificadas, das quais 24 são novas.

Desafios de telemetria e IA

A falta de telemetria compromete os esforços de defesa: a ausência de logs devido a problemas de retenção de dados dobrou em relação ao ano anterior. Apesar do hype em torno da inteligência artificial, a Sophos não encontrou evidências de uma grande transformação impulsionada por IA nas técnicas de ataque, embora a tecnologia tenha aumentado a escala e o refinamento de campanhas de phishing.