Análise de Ciberataques do Google: Tendências e Insights de 2025
Um relatório da Mandiant (Google) revela as principais tendências em ciberataques, incluindo o aumento do phishing por voz, os setores mais visados e o uso crescente de IA por atacantes. Descubra como se proteger proativamente contra essas ameaças em evolução.
MundiX News·17 de abril de 2026·10 min de leitura·👁 9 views
Análise de Ciberataques do Google
A Mandiant, uma empresa do Google, preparou um estudo bastante interessante sobre ciberataques, baseado em 500 mil horas de investigações realizadas em 2025. Este artigo compartilha os detalhes mais relevantes.
Principais Vetores de Ataque: Exploração de Vulnerabilidades e Engenharia Social
A exploração de vulnerabilidades lidera como o principal vetor de ataque, representando 32% dos casos. Observa-se um aumento nos incidentes relacionados à engenharia social, com destaque para o phishing por voz e aplicativos de mensagens. O vishing (phishing por voz) superou significativamente o phishing por e-mail, respondendo por 11% dos incidentes, enquanto o e-mail ficou em 6%.
O vishing é frequentemente utilizado para persuadir as vítimas a fornecerem credenciais e autorizarem versões controladas por atacantes de softwares legítimos como serviço (SaaS) para acessar dados corporativos. Em alguns casos, até mesmo funcionários de suporte técnico foram alvos, com os atacantes se passando por colegas solicitando redefinições de senha e alterações nas configurações de autenticação multifator (MFA).
A pré-comprometimento (acesso inicial obtido por meio de terceiros) foi o terceiro método de ataque mais comum, representando 10% dos casos, seguido por credenciais roubadas (9%).
Setores Mais Visados: Tecnologia, Finanças, Serviços e Saúde
De acordo com a Mandiant, as empresas de alta tecnologia são as mais visadas por ciberataques (17%), seguidas pelas instituições financeiras (14,6%). Organizações que prestam serviços empresariais e profissionais ocupam o terceiro lugar (13,3%).
Completam a lista dos setores mais atacados: saúde (11,9%), comércio (7,3%), organizações governamentais (5,8%), educação e telecomunicações (4,6% cada) e construção e indústria do entretenimento (4,1% cada). Os setores de transporte (3,4%), defesa (2,7%) e energia e saneamento (2,2% cada) figuram no final da lista.
Motivação Principal: Extorsão
As invasões com o objetivo de extorsão, incluindo ataques de ransomware e extorsão por roubo de dados sem criptografia, representaram 23% do total de invasões no ano passado e aproximadamente três quartos das invasões com motivação financeira.
A Mandiant detectou evidências de roubo de dados em 40% das investigações realizadas no ano passado. Incidentes relacionados à extorsão por roubo de dados representaram 10% das investigações.
Em muitas investigações, os atacantes buscavam credenciais e dados úteis para se estabelecerem no sistema, movimentarem-se lateralmente e elevarem seus privilégios. Outros casos de roubo de dados foram mais amplos e oportunistas.
Em alguns casos, os atacantes estavam interessados em dados pessoais, como informações de contato de clientes e detalhes de pedidos. A Mandiant identificou grupos de ameaças que usavam dados pessoais roubados para tentativas subsequentes de vishing.
A Mandiant também descobriu grupos de atacantes que subornavam contratados para fornecerem credenciais corporativas ou outro acesso a organizações-alvo, levando ao roubo de dados e tentativas de extorsão.
Das novas ferramentas maliciosas descobertas e nomeadas no ano passado, 33% eram backdoors, 14% eram droppers, 14% eram loaders, 6% eram ransomware, 6% eram launchers, 5% eram programas para roubo de credenciais e 5% eram programas para mineração de dados.
Durante as investigações de casos de ransomware, a Mandiant identificou muitas operações baseadas em parcerias para obter acesso inicial, mais frequentemente por meio de serviços de distribuição de malware (30% de todos os ataques observados). A segunda forma mais comum de infecção foram as vulnerabilidades (27%). Ataques de força bruta foram a causa de 20% das invasões relacionadas a ransomware, seguidos por roubo de credenciais e comprometimento de recursos da web (10% cada).
A visão tradicional do ransomware como uma ameaça dupla – criptografia e roubo de dados – já não reflete a realidade das operações de extorsão modernas. Os operadores de ransomware e seus associados estão cada vez mais focados em impedir que as organizações-alvo recuperem seus dados. Os atacantes visam os níveis de sistema e administração, também conhecidos como infraestrutura de serviços confiáveis.
O termo "infraestrutura de serviços confiáveis" geralmente está associado a interfaces de gerenciamento de plataformas e tecnologias que fornecem serviços básicos às organizações, como tecnologias de backup e plataformas de virtualização. Isso permite que os hackers reduzam a capacidade de recuperação da organização, exercendo a máxima pressão para forçá-la a pagar. Para isso, eles atacam serviços de identidade, sistemas de gerenciamento de virtualização e sistemas de backup.
Essa evolução nas táticas levou a uma redução nos tempos de permanência detectados pela Mandiant durante as investigações. Os operadores de ransomware reduziram o tempo de permanência no sistema em comparação com anos anteriores, muitas vezes assumindo o controle administrativo poucas horas após obterem o acesso inicial.
Inteligência Artificial a Serviço dos Hackers
O relatório destaca o interesse de grupos de hackers em inteligência artificial. No ano passado, os hackers aplicaram cada vez mais ferramentas de IA para aumentar a eficiência em diferentes estágios do ciclo de vida do ataque, especialmente em tarefas como reconhecimento, engenharia social e desenvolvimento de malware. No ano passado, as investigações da Mandiant identificaram grupos que usavam iscas relacionadas à IA, roubavam credenciais para acessar aplicativos de IA e atacavam empresas que desenvolvem tecnologias de IA.
Grupos de ameaças também estão usando ferramentas de inteligência artificial em ambientes comprometidos para realizar suas operações. Por exemplo, a Mandiant investigou o comprometimento da cadeia de suprimentos de software do gerenciador de pacotes NPM, que levou à instalação do programa de roubo de credenciais QUIETVAULT. Após a ativação, o QUIETVAULT verifica se as ferramentas de interface de linha de comando (CLI) estão instaladas no computador-alvo e, em caso afirmativo, executa um comando predefinido para procurar arquivos de configuração. Em seguida, a ferramenta tenta coletar tokens do GitHub e NPM e, se encontrados, copiá-los para um repositório público do GitHub.
Infecção Acidental Ameaça Grandes Problemas
A Mandiant observa que muitos hackers que obtêm acesso inicial confiam na infecção acidental, em vez de hacking direcionado. Isso leva ao fato de que os hackers que obtêm acesso inicial não causam preocupação suficiente aos serviços de segurança da informação. No entanto, os hackers que obtiveram acesso inicial acidentalmente geralmente fornecem acesso a grupos de hackers mais qualificados, que já operam dentro da rede corporativa. Isso requer uma revisão dos princípios de operação e cenários de resposta dos serviços de segurança da informação, que são responsáveis por proteger a organização e garantir a continuidade dos processos de negócios.
Plataformas de Virtualização Também Sob Mira
Nos últimos anos, os atacantes têm cada vez mais como alvo a infraestrutura virtualizada para atingir seus objetivos. As plataformas de virtualização geralmente consistem em três componentes principais: um servidor de gerenciamento centralizado dedicado para administrar máquinas virtuais, hipervisores para alocar recursos de hardware e as próprias máquinas virtuais.
A Mandiant observou a atividade de atacantes visando cada um dos três componentes da infraestrutura virtualizada ao longo do ciclo de vida do ataque - desde a obtenção do acesso inicial até o roubo de dados confidenciais.
Aplicações SaaS em Grupo de Risco
O sistema moderno de segurança da informação empresarial passou de um perímetro de rede tradicional para um ecossistema complexo, que consiste em infraestrutura interconectada e plataformas de "software como serviço" (SaaS). Essas plataformas integradas desempenham um papel importante no gerenciamento de identidade, colaboração de funcionários, otimização de processos internos e outras áreas. No entanto, devido à interconexão das plataformas SaaS com a infraestrutura de nuvem corporativa, os atacantes podem usar as identidades usadas no SaaS para penetrar em outras partes do sistema. Esses incidentes geralmente ocorrem devido a uma combinação de vários fatores: uso de integrações de terceiros, direitos de acesso excessivamente amplos e configurações incorretas.
Devido à estreita integração das tecnologias de nuvem e SaaS, invadir um aplicativo SaaS pode permitir que os atacantes penetrem facilmente em outros segmentos. Nesses casos, a falha de um componente confiável desencadeia uma reação em cadeia em toda a organização. À medida que as organizações migram cada vez mais para a infraestrutura de nuvem, deficiências como permissões OAuth não controladas e direitos de acesso amplos à API aumentam o risco de que um token comprometido leve a um incidente significativo. No ano passado, houve uma mudança estratégica: os atacantes começaram a contornar as defesas tradicionais, como firewalls e autenticação multifator, usando identidades não humanas (NHI) e segredos roubados, como tokens OAuth e atualizações.
Ao mirar em plataformas de fornecedores que atuam como uma "fonte de dados confiável" centralizada para integração de identidade, os atacantes podem obter tokens legítimos e pré-autorizados para comprometer ambientes subsequentes. Assim, invadir um fornecedor se transforma em um ataque em grande escala a toda a cadeia de suprimentos, onde tokens roubados são usados como chaves reutilizáveis para acessar armazenamentos de dados confidenciais de clientes.
Boa Proteção Contra Ataques - Ciberproteção Proativa
A Mandiant conclui que os analistas da empresa de análise de ameaças cibernéticas notaram que os invasores estão usando inteligência artificial para acelerar os ataques, passando de e-mails em massa para engenharia social hiperpersonalizada usando tecnologias de voz e implantando malware capaz de consultar grandes modelos de linguagem no processo de execução. No entanto, apesar do rápido desenvolvimento da tecnologia, os incidentes investigados pela Mandiant foram causados principalmente por erros humanos e de sistema fundamentais.
Foram observadas diferenças significativas nas ações dos invasores. Enquanto os grupos de crimes cibernéticos buscavam danos imediatos e negação intencional de recuperação, atacando propositalmente sistemas de backup, serviços de identidade e sistemas de gerenciamento de virtualização, os grupos de espionagem cibernética buscavam o máximo de sigilo. Operando a partir de dispositivos periféricos não controlados e usando funções de rede integradas para evitar a detecção, esses invasores aumentaram o tempo médio de permanência no sistema para 14 dias.
Para se proteger contra essas táticas, métodos e procedimentos, as organizações devem agir com a mesma velocidade que os invasores. A proteção proativa e sustentável não pode ser limitada a ferramentas estáticas. Requer autenticação constante, proteção cuidadosa de níveis de gerenciamento críticos e controle total sobre todo o ecossistema, incluindo o nível de virtualização e dispositivos de rede.
As equipes de especialistas em segurança devem passar por testes "vermelhos" completos e realistas, incluindo táticas modernas usando inteligência artificial. Além disso, as organizações devem realizar regularmente exercícios práticos para atualizar os esquemas de resposta a incidentes.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Análise de Ciberataques do Google
A Mandiant, uma empresa do Google, preparou um estudo bastante interessante sobre ciberataques, baseado em 500 mil horas de investigações realizadas em 2025. Este artigo compartilha os detalhes mais relevantes.
Principais Vetores de Ataque: Exploração de Vulnerabilidades e Engenharia Social
A exploração de vulnerabilidades lidera como o principal vetor de ataque, representando 32% dos casos. Observa-se um aumento nos incidentes relacionados à engenharia social, com destaque para o phishing por voz e aplicativos de mensagens. O vishing (phishing por voz) superou significativamente o phishing por e-mail, respondendo por 11% dos incidentes, enquanto o e-mail ficou em 6%.
O vishing é frequentemente utilizado para persuadir as vítimas a fornecerem credenciais e autorizarem versões controladas por atacantes de softwares legítimos como serviço (SaaS) para acessar dados corporativos. Em alguns casos, até mesmo funcionários de suporte técnico foram alvos, com os atacantes se passando por colegas solicitando redefinições de senha e alterações nas configurações de autenticação multifator (MFA).
A pré-comprometimento (acesso inicial obtido por meio de terceiros) foi o terceiro método de ataque mais comum, representando 10% dos casos, seguido por credenciais roubadas (9%).
Setores Mais Visados: Tecnologia, Finanças, Serviços e Saúde
De acordo com a Mandiant, as empresas de alta tecnologia são as mais visadas por ciberataques (17%), seguidas pelas instituições financeiras (14,6%). Organizações que prestam serviços empresariais e profissionais ocupam o terceiro lugar (13,3%).
Completam a lista dos setores mais atacados: saúde (11,9%), comércio (7,3%), organizações governamentais (5,8%), educação e telecomunicações (4,6% cada) e construção e indústria do entretenimento (4,1% cada). Os setores de transporte (3,4%), defesa (2,7%) e energia e saneamento (2,2% cada) figuram no final da lista.
Motivação Principal: Extorsão
As invasões com o objetivo de extorsão, incluindo ataques de ransomware e extorsão por roubo de dados sem criptografia, representaram 23% do total de invasões no ano passado e aproximadamente três quartos das invasões com motivação financeira.
A Mandiant detectou evidências de roubo de dados em 40% das investigações realizadas no ano passado. Incidentes relacionados à extorsão por roubo de dados representaram 10% das investigações.
Em muitas investigações, os atacantes buscavam credenciais e dados úteis para se estabelecerem no sistema, movimentarem-se lateralmente e elevarem seus privilégios. Outros casos de roubo de dados foram mais amplos e oportunistas.
Em alguns casos, os atacantes estavam interessados em dados pessoais, como informações de contato de clientes e detalhes de pedidos. A Mandiant identificou grupos de ameaças que usavam dados pessoais roubados para tentativas subsequentes de vishing.
A Mandiant também descobriu grupos de atacantes que subornavam contratados para fornecerem credenciais corporativas ou outro acesso a organizações-alvo, levando ao roubo de dados e tentativas de extorsão.
Das novas ferramentas maliciosas descobertas e nomeadas no ano passado, 33% eram backdoors, 14% eram droppers, 14% eram loaders, 6% eram ransomware, 6% eram launchers, 5% eram programas para roubo de credenciais e 5% eram programas para mineração de dados.
Durante as investigações de casos de ransomware, a Mandiant identificou muitas operações baseadas em parcerias para obter acesso inicial, mais frequentemente por meio de serviços de distribuição de malware (30% de todos os ataques observados). A segunda forma mais comum de infecção foram as vulnerabilidades (27%). Ataques de força bruta foram a causa de 20% das invasões relacionadas a ransomware, seguidos por roubo de credenciais e comprometimento de recursos da web (10% cada).
A visão tradicional do ransomware como uma ameaça dupla – criptografia e roubo de dados – já não reflete a realidade das operações de extorsão modernas. Os operadores de ransomware e seus associados estão cada vez mais focados em impedir que as organizações-alvo recuperem seus dados. Os atacantes visam os níveis de sistema e administração, também conhecidos como infraestrutura de serviços confiáveis.
O termo "infraestrutura de serviços confiáveis" geralmente está associado a interfaces de gerenciamento de plataformas e tecnologias que fornecem serviços básicos às organizações, como tecnologias de backup e plataformas de virtualização. Isso permite que os hackers reduzam a capacidade de recuperação da organização, exercendo a máxima pressão para forçá-la a pagar. Para isso, eles atacam serviços de identidade, sistemas de gerenciamento de virtualização e sistemas de backup.
Essa evolução nas táticas levou a uma redução nos tempos de permanência detectados pela Mandiant durante as investigações. Os operadores de ransomware reduziram o tempo de permanência no sistema em comparação com anos anteriores, muitas vezes assumindo o controle administrativo poucas horas após obterem o acesso inicial.
Inteligência Artificial a Serviço dos Hackers
O relatório destaca o interesse de grupos de hackers em inteligência artificial. No ano passado, os hackers aplicaram cada vez mais ferramentas de IA para aumentar a eficiência em diferentes estágios do ciclo de vida do ataque, especialmente em tarefas como reconhecimento, engenharia social e desenvolvimento de malware. No ano passado, as investigações da Mandiant identificaram grupos que usavam iscas relacionadas à IA, roubavam credenciais para acessar aplicativos de IA e atacavam empresas que desenvolvem tecnologias de IA.
Grupos de ameaças também estão usando ferramentas de inteligência artificial em ambientes comprometidos para realizar suas operações. Por exemplo, a Mandiant investigou o comprometimento da cadeia de suprimentos de software do gerenciador de pacotes NPM, que levou à instalação do programa de roubo de credenciais QUIETVAULT. Após a ativação, o QUIETVAULT verifica se as ferramentas de interface de linha de comando (CLI) estão instaladas no computador-alvo e, em caso afirmativo, executa um comando predefinido para procurar arquivos de configuração. Em seguida, a ferramenta tenta coletar tokens do GitHub e NPM e, se encontrados, copiá-los para um repositório público do GitHub.
Infecção Acidental Ameaça Grandes Problemas
A Mandiant observa que muitos hackers que obtêm acesso inicial confiam na infecção acidental, em vez de hacking direcionado. Isso leva ao fato de que os hackers que obtêm acesso inicial não causam preocupação suficiente aos serviços de segurança da informação. No entanto, os hackers que obtiveram acesso inicial acidentalmente geralmente fornecem acesso a grupos de hackers mais qualificados, que já operam dentro da rede corporativa. Isso requer uma revisão dos princípios de operação e cenários de resposta dos serviços de segurança da informação, que são responsáveis por proteger a organização e garantir a continuidade dos processos de negócios.
Plataformas de Virtualização Também Sob Mira
Nos últimos anos, os atacantes têm cada vez mais como alvo a infraestrutura virtualizada para atingir seus objetivos. As plataformas de virtualização geralmente consistem em três componentes principais: um servidor de gerenciamento centralizado dedicado para administrar máquinas virtuais, hipervisores para alocar recursos de hardware e as próprias máquinas virtuais.
A Mandiant observou a atividade de atacantes visando cada um dos três componentes da infraestrutura virtualizada ao longo do ciclo de vida do ataque - desde a obtenção do acesso inicial até o roubo de dados confidenciais.
Aplicações SaaS em Grupo de Risco
O sistema moderno de segurança da informação empresarial passou de um perímetro de rede tradicional para um ecossistema complexo, que consiste em infraestrutura interconectada e plataformas de "software como serviço" (SaaS). Essas plataformas integradas desempenham um papel importante no gerenciamento de identidade, colaboração de funcionários, otimização de processos internos e outras áreas. No entanto, devido à interconexão das plataformas SaaS com a infraestrutura de nuvem corporativa, os atacantes podem usar as identidades usadas no SaaS para penetrar em outras partes do sistema. Esses incidentes geralmente ocorrem devido a uma combinação de vários fatores: uso de integrações de terceiros, direitos de acesso excessivamente amplos e configurações incorretas.
Devido à estreita integração das tecnologias de nuvem e SaaS, invadir um aplicativo SaaS pode permitir que os atacantes penetrem facilmente em outros segmentos. Nesses casos, a falha de um componente confiável desencadeia uma reação em cadeia em toda a organização. À medida que as organizações migram cada vez mais para a infraestrutura de nuvem, deficiências como permissões OAuth não controladas e direitos de acesso amplos à API aumentam o risco de que um token comprometido leve a um incidente significativo. No ano passado, houve uma mudança estratégica: os atacantes começaram a contornar as defesas tradicionais, como firewalls e autenticação multifator, usando identidades não humanas (NHI) e segredos roubados, como tokens OAuth e atualizações.
Ao mirar em plataformas de fornecedores que atuam como uma "fonte de dados confiável" centralizada para integração de identidade, os atacantes podem obter tokens legítimos e pré-autorizados para comprometer ambientes subsequentes. Assim, invadir um fornecedor se transforma em um ataque em grande escala a toda a cadeia de suprimentos, onde tokens roubados são usados como chaves reutilizáveis para acessar armazenamentos de dados confidenciais de clientes.
Boa Proteção Contra Ataques - Ciberproteção Proativa
A Mandiant conclui que os analistas da empresa de análise de ameaças cibernéticas notaram que os invasores estão usando inteligência artificial para acelerar os ataques, passando de e-mails em massa para engenharia social hiperpersonalizada usando tecnologias de voz e implantando malware capaz de consultar grandes modelos de linguagem no processo de execução. No entanto, apesar do rápido desenvolvimento da tecnologia, os incidentes investigados pela Mandiant foram causados principalmente por erros humanos e de sistema fundamentais.
Foram observadas diferenças significativas nas ações dos invasores. Enquanto os grupos de crimes cibernéticos buscavam danos imediatos e negação intencional de recuperação, atacando propositalmente sistemas de backup, serviços de identidade e sistemas de gerenciamento de virtualização, os grupos de espionagem cibernética buscavam o máximo de sigilo. Operando a partir de dispositivos periféricos não controlados e usando funções de rede integradas para evitar a detecção, esses invasores aumentaram o tempo médio de permanência no sistema para 14 dias.
Para se proteger contra essas táticas, métodos e procedimentos, as organizações devem agir com a mesma velocidade que os invasores. A proteção proativa e sustentável não pode ser limitada a ferramentas estáticas. Requer autenticação constante, proteção cuidadosa de níveis de gerenciamento críticos e controle total sobre todo o ecossistema, incluindo o nível de virtualização e dispositivos de rede.
As equipes de especialistas em segurança devem passar por testes "vermelhos" completos e realistas, incluindo táticas modernas usando inteligência artificial. Além disso, as organizações devem realizar regularmente exercícios práticos para atualizar os esquemas de resposta a incidentes.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
