Uma nova pesquisa da Cisco Talos Incident Response revelou uma mudança significativa nas táticas de grupos cibercriminosos, com o uso crescente de web shells – ferramentas que exploram falhas em aplicações web vulneráveis – como principal meio de acesso inicial a redes corporativas no quarto trimestre de 2024. Essa abordagem substituiu o uso de credenciais válidas comprometidas, que havia sido a técnica predominante nos últimos anos.
A pesquisa destaca que 35% dos ataques analisados no período utilizaram web shells para explorar aplicações expostas e sem correções de segurança, um aumento expressivo em relação ao trimestre anterior, quando essa técnica representava menos de 10% dos casos. O ransomware continua sendo uma ameaça crítica, embora tenha representado uma fatia ligeiramente menor dos ataques do que em períodos anteriores. No entanto, o relatório aponta um aumento no final do ano, com destaque para o BlackBasta, um ransomware que tem se consolidado como uma ameaça a ser monitorada em 2025.
Outro dado preocupante é a persistência dos invasores dentro dos sistemas das vítimas, com tempo médio de permanência variando entre 17 e 44 dias antes da ativação do ransomware. Em alguns casos, criminosos passaram mais de um mês mapeando redes internas, coletando credenciais e identificando informações sensíveis antes de executar o ataque. Além disso, 75% das campanhas de ransomware analisadas utilizaram credenciais válidas comprometidas para movimentação lateral e execução do malware, reforçando a necessidade de políticas robustas de autenticação.
O relatório também destaca o aumento do uso de ferramentas de acesso remoto, como Splashtop, AnyDesk e LogMeIn, que foram empregadas em 100% dos ataques de ransomware no período. Esses softwares permitem que criminosos acessem redes comprometidas e ampliem sua presença dentro do ambiente da vítima antes de lançar o ataque final.
Entre os setores mais atingidos, a educação foi novamente o principal alvo dos ataques cibernéticos, representando 30% das invasões. A administração pública também sofreu com tentativas massivas de ataques por força bruta, como o password spraying, onde criminosos tentam acessar contas usando um grande volume de senhas comuns. Em um dos casos relatados, uma organização registrou 13 milhões de tentativas de login em apenas 24 horas.
A tendência para 2025 aponta para a intensificação dos ataques que exploram vulnerabilidades não corrigidas, a crescente sofisticação das campanhas de ransomware e a necessidade urgente de adoção de autenticação multifator (MFA) para mitigar o impacto dessas ameaças. O estudo reforça a importância de práticas de segurança cibernética mais rígidas para enfrentar um cenário de riscos cada vez mais complexos.
