O cenário de ameaças cibernéticas em 2025 consolidou uma divergência clara nas táticas, técnicas e procedimentos (TTPs) dos atacantes. Enquanto grupos de cibercrime focam em impacto imediato e na destruição de capacidades de recuperação (denial of recovery), grupos de espionagem priorizam a persistência extrema, utilizando dispositivos de borda desmonitorados e funcionalidades nativas para evadir a detecção. O M-Trends 2026, baseado em 500 mil horas de investigações globais, serve como um alerta para que organizações brasileiras reavaliem seus modelos de defesa e resiliência.
O panorama em números: M-Trends 2026
As métricas deste ano revelam como os adversários estão contornando controles de segurança modernos:
- Dwell Time Global: A mediana de tempo de permanência subiu para 14 dias (contra 11 no ano anterior). Em incidentes de espionagem, esse número dispara para 122 dias, evidenciando que ataques sofisticados passam despercebidos por longos períodos em ambientes com baixa visibilidade.
- Vetores de infecção: Exploits continuam sendo o vetor principal (32%), mas o vishing (phishing via voz) saltou para 11%, tornando-se uma ameaça real para help desks e processos de validação de identidade.
- Detecção Interna: 52% das organizações detectaram atividades maliciosas por meios próprios, sinalizando um amadurecimento nas estratégias de observabilidade e monitoramento interno, embora a lacuna para detecção externa ainda seja preocupante.
- Alvos setoriais: O setor de tecnologia (TI) superou o financeiro como o mais visado (17% vs 14,6%), o que reflete a importância de cadeias de suprimentos de software e sistemas SaaS como alvos estratégicos.
A colisão da janela de "hand-off"
Um ponto crítico para gestores de TI no Brasil é a velocidade operacional dos atacantes. O tempo entre o acesso inicial e a entrega do ambiente para um grupo que executa ataques de alto impacto (como ransomware) encolheu de 8 horas em 2022 para apenas 22 segundos em 2025. Isso significa que o infostealer realizado na ponta já prepara o terreno para uma operação massiva automaticamente.
Vishing e a crise de identidade em SaaS
Com a evolução do MFA, o phishing via email tradicional perdeu força (caindo para 6%), cedendo espaço para a engenharia social interativa. O risco não está apenas no acesso humano: a captura de tokens OAuth e cookies de sessão, combinada com chaves hard-coded encontradas em vendors terceiros, permite que atacantes pivoteiem para instâncias SaaS com privilégios elevados sem disparar alertas de login tradicional.
Do ransomware à negação de recuperação
O foco dos grupos de ransomware, como os que utilizam as famílias REDBIKE ou AGENDA, mudou. O alvo atual é a infraestrutura de backup, serviços de identidade (Active Directory) e o plano de gerenciamento (hypervisors). A estratégia é clara: tornar a restauração técnica impossível, forçando o pagamento do resgate. Para empresas dependentes de tecnologia, isso deixa de ser um problema de segurança e torna-se um dilema crítico de continuidade de negócios.
Dispositivos de borda e resistência à detecção
O uso de dispositivos de borda (VPNs, firewalls, roteadores) para persistência extrema é um desafio real. Por não suportarem agentes de EDR tradicionais, eles servem como zona cega. O malware customizado, como o BRICKSTORM, opera na memória e sobrevive a reboots, muitas vezes com tempos de permanência que superam em muito as políticas de retenção de logs de 90 dias comumente aplicadas em ambientes corporativos.
O papel da IA no cenário de ameaças
Embora a IA seja usada pelos atacantes para acelerar o ciclo de vida do ataque (como através de distillation attacks ou pesquisa de configurações por prompts), a grande maioria das violações ainda ocorre por falhas humanas ou sistêmicas básicas. O foco defensivo deve ser o hardening de pipelines e a adoção de frameworks como o Google SAIF (Secure AI Framework).
Recomendações estratégicas
- Trate alertas de baixa severidade como indicadores críticos: A velocidade de hand-off exige que a resposta a incidentes seja automatizada e imediata.
- Isolamento de planos de controle (Tier-0): Separe fisicamente e logicamente seus ambientes de backup e plataformas de virtualização, utilizando armazenamento imutável.
- Identidade contínua: Não confie apenas no primeiro login. Audite integrações SaaS e centralize identidades em um IdP robusto.
- Detectação comportamental: Saia do modelo estático de IOCs (Indicadores de Comprometimento) para uma análise baseada em comportamento, focando em desvios de linha de base.
- Visibilidade e Retenção: Se você retém logs apenas por 90 dias, você está cego. Aumente a retenção e centralize telemetria de dispositivos de rede e hypervisores.
Artigo originalmente publicado por Jurgen KutscherVice President, Mandiant Consulting, Google Cloud em Cloud Blog.
