Segurança

Credenciais roubadas lideram ataques cibernéticos em 2026

Créditos: Funtap/IStock

A Sophos, empresa de soluções de segurança para o combate a ataques cibernéticos, anuncia o Relatório Sophos Active Adversary 2026. O estudo revela que 67% de todos os incidentes investigados no último ano pelas equipes de Incident Response (IR) e Managed Detection and Response (MDR) da Sophos tiveram como origem ataques relacionados à identidade.

CONTEÚDO RELACIONADO: Análise de segurança mostra uso de ferramentas de IA para orquestrar ataques e movimentação de malware

Os dados evidenciam como os invasores continuam explorando credenciais comprometidas, autenticação multifator (MFA) fraca ou inexistente e sistemas de identidade mal protegidos — muitas vezes sem precisar implantar novas ferramentas ou técnicas.

As principais descobertas incluem:

  • Mudança de foco da exploração de vulnerabilidades para credenciais comprometidas, com atividade de força bruta (15,6%) praticamente empatada com a exploração de vulnerabilidades (16%) como método inicial de acesso.
  • O tempo médio de permanência caiu para três dias, impulsionado pela movimentação mais rápida dos invasores e pela resposta mais ágil dos defensores — especialmente em ambientes MDR.
  • Os atacantes estão chegando mais rapidamente ao Active Directory (AD). Após invadir uma organização, levam em média apenas 3,4 horas para alcançar o servidor de AD.
  • O ransomware continua sendo uma atividade predominantemente fora do horário comercial. 88% das cargas de ransomware são implantadas fora do horário comercial. Da mesma forma, 79% das ações de exfiltração de dados ocorrem fora do horário comercial.
  • A falta de telemetria compromete os esforços de defesa. A ausência de logs devido a problemas de retenção de dados dobrou em relação ao ano anterior, principalmente em aplicações de firewall com retenção padrão de apenas sete dias e, em alguns casos, de apenas 24 horas.

Ataques à identidade aceleram enquanto lacunas de MFA persistem

O relatório aponta um aumento contínuo nos ataques baseados em comprometimento de identidade, incluindo roubo de credenciais, força bruta e phishing. Embora a exploração de vulnerabilidades ainda seja relevante, os invasores estão cada vez mais recorrendo a contas válidas para obter acesso inicial, contornando defesas tradicionais de perímetro.

Além disso, em 59% dos casos analisados não havia MFA implementado, o que facilitou o uso abusivo de credenciais roubadas ou comprometidas para penetrar nas organizações.

Mais grupos de ameaças, risco ampliado

Os pesquisadores da Sophos observaram o maior número de grupos de ameaças ativos já registrado na história do relatório, ampliando o panorama geral de risco e tornando ainda mais desafiadora a atribuição de ataques.

  • Akira (GOLD SAHARA) e Qilin (GOLD FEATHER) foram as marcas de ransomware mais ativas, com Akira presente em 22% dos incidentes.
  • 51 marcas de ransomware apareceram nos casos analisados, sendo 27 já conhecidas e 24 novas.
  • Apenas quatro marcas ou técnicas (LockBit, MedusaLocker, Phobos e o abuso do BitLocker) persistem continuamente desde 2020, primeiro ano de dados do Active Adversary Report.
  • Apenas quatro marcas ou técnicas (LockBit, MedusaLocker, Phobos e o abuso do BitLocker) persistem continuamente desde 2020, primeiro ano de dados do Active Adversary Report.

O hype da IA encontra a realidade

Apesar das previsões amplamente divulgadas, a Sophos não encontrou evidências de uma grande transformação impulsionada por IA no comportamento dos atacantes. Embora a IA generativa tenha aumentado a escala e o refinamento de campanhas de phishing e engenharia social, ainda não resultou em técnicas de ataque fundamentalmente novas.

Recomendações defensivas

Com base nas conclusões do Relatório Active Adversary 2026, a Sophos recomenda que as organizações:

  • Implementem MFA resistente a phishing e validem sua configuração.
  • Reduzam a exposição da infraestrutura de identidade e de serviços voltados à internet.
  • Apliquem patches de vulnerabilidades conhecidas com agilidade, especialmente em dispositivos de borda.
  • Garantam monitoramento 24/7 por meio de MDR ou capacidades equivalentes.
  • Preservem e retenham logs de segurança para apoiar detecção e investigação rápidas.

O Relatório Sophos Active Adversary 2026 analisou 661 casos de IR e MDR conduzidos entre 1º de novembro de 2024 e 31 de outubro de 2025, abrangendo organizações de 70 países e 34 setores.

Participe das comunidades IPNews no InstagramFacebook, LinkedIn X.

Newsletter

Inscreva-se para receber nossa newsletter semanal
com as principais notícias em primeira mão.


    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *