Anatomia dos Ataques Cibernéticos em 2025: O que a Kaspersky Observou em 400.000 Alertas em um Ano

A Kaspersky publicou um relatório global sobre ameaças cibernéticas com base em dados de seus serviços MDR (Managed Detection and Response), Incident Response e Compromise Assessment. O relatório detalha estatísticas sobre ataques reais contra 200.000 clientes corporativos, uma análise das táticas dos invasores e números surpreendentes sobre o quão mal a maioria dos SOCs (Security Operations Centers) utilizam seus próprios dados.

Números que Definem o Contexto

O sistema MDR gerou cerca de 400.000 alertas de segurança em um ano. Após a filtragem inicial, a inteligência artificial (IA) fechou quase 95.000 deles – aproximadamente 24% – automaticamente. Os 300.000 restantes foram encaminhados para analistas do SOC, que filtraram cerca de 87% como não exigindo resposta. Cerca de 21.000 incidentes chegaram às notificações dos clientes.

O tempo médio de detecção até a notificação foi de 42 minutos para incidentes de alta criticidade, 33 minutos para incidentes médios e 31 minutos para incidentes de baixa criticidade. Em 2025, esse número foi reduzido em aproximadamente 22% em comparação com 2024, devido à automação.

Boas Notícias: Incidentes Críticos Diminuíram

A proporção de incidentes de alta criticidade tem diminuído por seis anos consecutivos. O pico foi em 2021, com 14,3% de todos os incidentes. Em 2025, esse número foi de 3,8%.

Isso não significa que se tornou mais seguro. Significa que os ataques são cada vez mais interrompidos antes que causem danos. O MDR identificou até três incidentes de alta criticidade diariamente.

Quase 97% de todos os incidentes são de criticidade média e baixa. Há muito malware automatizado e ataques oportunistas. Ataques controlados por humanos são menores em porcentagem, mas ainda são os mais perigosos.

Quem Está Sob Ataque

O top 3 das indústrias mais atacadas em 2025:

• Setor público – 19% dos incidentes
• Indústria – 17%
• TI – 15% (ultrapassou o setor financeiro pela primeira vez)

A ascensão do setor de TI ao terceiro lugar não é acidental. Os invasores estão explorando cada vez mais ataques à cadeia de suprimentos: invadindo provedores de serviços e integradores de TI e, em seguida, acessando seus clientes por meio de seu acesso. O relatório inclui um caso em que os invasores comprometeram sequencialmente mais de duas organizações para atingir um terceiro alvo.

A proporção de incidentes críticos no setor de TI é de 4,9%. No setor público, é de 4,3%. Isso está acima da média.

Como Eles Entram: Top 3 Vetores Iniciais

De acordo com o Incident Response em 2025:

• Exploração de aplicativos publicamente acessíveis – 43,7%
• Credenciais comprometidas – 25,4%
• Relações de confiança (ataques por meio de contratados e parceiros) – 15,5%

Notavelmente, e-mails maliciosos desapareceram completamente do top 3 de vetores iniciais em 2023. O phishing não desapareceu, mas agora raramente é um ponto de entrada em uma rede corporativa – muitas vezes serve como o primeiro elo em uma cadeia mais complexa.

Ataques por meio de relações de confiança apareceram no top 3 apenas em 2023. Em dois anos, eles se tornaram uma tendência constante. O esquema é simples: eles invadem uma pequena empresa contratada que não tem segurança da informação normal, mas tem acesso remoto à infraestrutura do cliente. Do ponto de vista do cliente, o tráfego parece legítimo.

Como os Ataques Terminam

O resultado mais comum de um ataque bem-sucedido é a criptografia de dados: 39% de todos os incidentes que resultaram em danos. Depois disso, há o estabelecimento de persistência para impacto subsequente (12%) e a exfiltração por meio de serviços da web (7%).

Existe uma diferença entre aqueles que notam um ataque antes que ocorram danos e aqueles que o notam depois:

• Grupo I (descobriu quando tudo já havia acontecido): criptografia de dados, destruição de dados, interrupção de serviços.
• Grupo II (detectou atividade suspeita antecipadamente): estabelecimento de persistência sem conclusão do ataque, comprometimento do Active Directory.

O tempo de detecção não depende do vetor de ataque, mas da maturidade da segurança da informação na organização. Um invasor que penetra por meio de uma vulnerabilidade em um aplicativo público pode ficar na rede por dias, semanas, meses ou anos – dependendo de quão bem o monitoramento é construído.

Quais Vulnerabilidades Foram Exploradas em 2025

50% das vulnerabilidades identificadas durante o Incident Response permitem a execução remota de código (RCE) – em alguns casos sem autenticação.

Das descobertas atuais:

• CVE-2025-31324 (SAP NetWeaver, CVSS 9.8) – upload de arquivos arbitrários sem autorização
• CVE-2025-42999 (SAP NetWeaver, CVSS 9.1) – desserialização insegura, RCE
• CVE-2025-61882 (Oracle E-Business Suite, CVSS 9.8) – tomada de controle não autenticada sobre o serviço
• CVE-2024-55591 (Fortinet FortiOS, CVSS 9.8) – bypass de autenticação via websocket

Ao mesmo tempo, um terço de todas as vulnerabilidades exploradas datam de 2021. As vulnerabilidades do Microsoft Exchange (ProxyLogon e similares) ainda estão no topo – quatro anos após a publicação dos patches.

A conclusão é inconveniente, mas óbvia: a maioria das invasões ocorre não por meio de zero-day, mas por meio de exploits conhecidos há muito tempo para os quais os patches existem há muito tempo.

Ferramentas: O Que os Invasores Usaram

Do relatório MDR sobre LOLBins (ferramentas integradas do sistema operacional que os invasores usam para evitar a detecção):

• powershell.exe (14,4%)
• rundll32.exe (5,9%)
• mshta.exe (3,8%)
• comsvcs.dll (3,0%)
• msedge.exe (2,7%)

O mshta.exe cresceu este ano devido à tendência de CAPTCHAs falsos: o usuário passa por uma "verificação" - e discretamente inicia uma payload maliciosa.

Das ferramentas especializadas descobertas durante o Incident Response:

• Mimikatz (14,3%) – extração de hashes de senha
• PowerShell (8,1%) – execução de comandos arbitrários
• PsExec / AnyDesk (7,5% cada) – gerenciamento remoto

Em casos reais no relatório, um ataque é descrito onde os invasores usaram um binário legítimo do Microsoft Defender (MPDefender.exe) para carregar uma DLL maliciosa por meio do mecanismo de DLL Hijacking – um clássico Living off the Land.

O Problema Que Não É Discutido: O SOC Não Usa Seus Dados

O relatório contém uma seção sobre a avaliação da maturidade do SOC – e há números desagradáveis lá.

O nível médio de cobertura de fontes de eventos por regras de correlação é de 43%. Ou seja, mais da metade dos dados que o SOC coleta não participa da detecção de ameaças.

Quanto mais fontes de dados, pior a situação. Para um SOC com 50–70+ fontes, apenas cerca de 30% dos dados são cobertos por regras. O resto é coletado "por precaução" ou para fins de conformidade.

Os três problemas mais comuns são:

• Degradação da cobertura: o perímetro do SOC é definido durante o projeto e não é controlado posteriormente. Com o tempo, aparecem pontos cegos.
• Regras do fornecedor sem configuração: as organizações pegam um pacote de regras do fabricante e não o adaptam à sua infraestrutura. O resultado é um alto nível de falsos positivos e lacunas na cobertura.
• Coleta desequilibrada: os dados são coletados, mas a lógica de detecção não é escrita para eles. A telemetria de rede, bancos de dados, servidores web – tradicionalmente permanecem sem cobertura.

Técnica Que Apareceu no Topo em 2025

No top 10 das técnicas com a melhor conversão (a proporção de ameaças reais para falsos positivos) em 2025, T1568: Dynamic Resolution – gerenciamento e controle dinâmicos – entrou pela primeira vez. Conversão de 23%.

Este é um mecanismo característico de ataques avançados envolvendo humanos: Domain Generation Algorithms, Fast Flux DNS. Todos os três subtipos foram registrados em incidentes reais.

Além disso, o relatório analisa detalhadamente um ataque em que um invasor usou o abuso de reserva de URL no Windows HTTP.sys para criar um canal C2 oculto – o tráfego foi registrado diretamente através da pilha HTTP do kernel, ignorando o registro do IIS e parecendo tráfego legítimo do Exchange.

O Que Fazer Com Tudo Isso

• Atualize.

Um terço das vulnerabilidades ativamente exploradas são de 2021. Os patches existem. O problema está no gerenciamento de atualizações, não na falta de soluções.

• Verifique o acesso do contratado.

Ataques por meio de relações de confiança são 15,5% dos vetores iniciais e estão crescendo. Cada contratado com acesso remoto é um ponto de entrada potencial.

• Meça a cobertura do SOC.

Se você não sabe qual porcentagem de fontes de eventos é coberta por regras de detecção, provavelmente é menos de 50%. Comece com um inventário.

• Preste atenção ao SAP e Oracle.

CVE-2025-31324 e CVE-2025-42999 para SAP NetWeaver, CVE-2025-61882 para Oracle E-Business Suite – todos com CVSS acima de 9, todos explorados em ataques reais em 2025.

• Não se esqueça das pessoas.

As técnicas de User Execution e Phishing estão no top 3 pelo segundo ano consecutivo. Os programas de conscientização de segurança da informação funcionam quando são regulares e específicos, e não instruções únicas.

• Verifique o Active Directory.

O comprometimento do AD aparece em incidentes por meio de relações de confiança e em ataques prolongados. A configuração do AD é um ponto fraco comum visto na Avaliação de Comprometimento.

Fonte: Kaspersky Security Services, "Anatomia do Cenário de Ameaças Cibernéticas: Relatório Global", 2026. Os dados são baseados em estatísticas dos serviços Managed Detection and Response, Incident Response, Compromise Assessment e SOC Consulting para 2025.