🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ransomware e a criptografia ainda são os sinais definidores dos ataques cibernéticos modernos ou a indústria está muito fixada no ruído, enquanto perde uma mudança mais perigosa que acontece silenciosamente ao seu redor?
De acordo com o novo Red Report 2026 do Picus Labs, que analisou mais de 1,1 milhão de arquivos maliciosos e mapeou 15,5 milhões de ações adversárias observadas em 2025, os invasores não estão mais otimizando para interrupções. Em vez disso, o seu objectivo é agora o acesso invisível e a longo prazo.
Para ser claro, o ransomware não vai a lugar nenhum e os adversários continuam a inovar. Mas os dados mostram uma mudança estratégica clara, afastando-se de ataques barulhentos e destrutivos, em direção a técnicas projetadas para evitar a detecção, persistir em ambientes e explorar silenciosamente a identidade e a infraestrutura confiável. Em vez de invadir e incendiar sistemas, os invasores atuais se comportam cada vez mais como parasitas digitais. Eles vivem dentro do host, alimentam-se de credenciais e serviços e permanecem indetectados pelo maior tempo possível.
A atenção do público muitas vezes gravita em torno de interrupções dramáticas e de impacto visível. Os dados do Relatório Vermelho deste ano contam uma história mais discreta, que revela onde os defensores estão realmente a perder visibilidade.
O sinal do ransomware está desaparecendo
Na última década, a criptografia de ransomware serviu como o sinal mais claro de risco cibernético. Quando seus sistemas travavam e suas operações congelavam, o comprometimento era inegável.
Esse sinal está agora a perder relevância. Ano após ano, os dados criptografados para impacto (T1486) caíram 38%, passando de 21,00% em 2024 para 12,94% em 2025. Esse declínio não mostra capacidade reduzida do invasor. Em vez disso, reflete uma mudança deliberada na estratégia.
Em vez de bloquear dados para forçar o pagamento, os agentes de ameaças estão a migrar para a extorsão de dados como o seu principal modelo de monetização. Ao evitar a criptografia, os invasores mantêm os sistemas operacionais enquanto:
Exfiltre dados confidenciais silenciosamente
Colete credenciais e tokens
Permaneça incorporado em ambientes por longos períodos
Aplicar pressão mais tarde através de extorsão em vez de perturbação
A implicação é clara: o impacto não é mais definido por sistemas bloqueados, mas por quanto tempo os invasores conseguem manter o acesso aos sistemas de um host sem serem detectados.
“O modelo de negócios do adversário mudou da interrupção imediata para o acesso de longa duração.” – Picus Red Report 2026
O roubo de credenciais se torna o plano de controle (um quarto dos ataques)
À medida que os invasores adotam uma persistência prolongada e furtiva, a identidade se torna o caminho mais confiável para o controle.
O Red Report 2026 mostra que as credenciais de armazenamentos de senhas (T1555) aparecem em quase um em cada quatro ataques (23,49%), tornando o roubo de credenciais um dos comportamentos mais prevalentes observados no último ano.
Em vez de depender de despejos barulhentos de credenciais ou de cadeias de exploração complexas, os invasores estão cada vez mais extraindo credenciais salvas diretamente de navegadores, chaveiros e gerenciadores de senhas. Depois de terem credenciais válidas, o escalonamento de privilégios e a movimentação lateral geralmente ficam a apenas algumas ferramentas administrativas nativas de distância.
Cada vez mais campanhas modernas de malware se comportam como parasitas digitais. Não há alarmes, nem falhas, nem indicadores óbvios. Apenas um silêncio assustador.
Essa mesma lógica agora molda a estratégia do invasor de forma mais ampla.
80% das principais técnicas de ATT&CK agora favorecem a furtividade
Apesar da amplitude da estrutura MITRE ATT&CK®, a atividade de malware no mundo real continua concentrada em torno de um pequeno conjunto de técnicas que priorizam cada vez mais a evasão e a persistência.
O Red Report 2026 revela um desequilíbrio gritante: oito das dez principais técnicas MITRE ATT&CK são agora dedicadas principalmente à evasão, persistência ou comando e controle furtivo. Isso representa a maior concentração de tradecraft com foco furtivo que o Picus Labs já registrou, sinalizando uma mudança fundamental nas métricas de sucesso do invasor.
Em vez de priorizar o impacto imediato, os adversários modernos estão otimizando o tempo de permanência máximo. As técnicas que permitem que os invasores se escondam, se misturem e permaneçam operacionais por longos períodos agora superam aquelas projetadas para causar disrupção.
Aqui estão alguns dos comportamentos mais comumente observados no relatório deste ano:
T1055 – A injeção de processo permite que o malware seja executado dentro de processos confiáveis do sistema, dificultando a distinção entre atividades maliciosas e execuções legítimas.
T1547 – A execução de inicialização automática de inicialização ou logon garante persistência sobrevivendo a reinicializações e logins de usuários.
T1071 – Os protocolos de camada de aplicação fornecem “canais de sussurro” para comando e controle, combinando o tráfego do invasor com comunicações normais na web e na nuvem.
T1497 – A virtualização e a evasão de sandbox permitem que o malware detecte ambientes de análise e se recuse a executar quando suspeitar que está sendo observado.
O efeito combinado é poderoso. Processos que parecem legítimos usam processos legítimos
De acordo com o novo Red Report 2026 do Picus Labs, que analisou mais de 1,1 milhão de arquivos maliciosos e mapeou 15,5 milhões de ações adversárias observadas em 2025, os invasores não estão mais otimizando para interrupções. Em vez disso, o seu objectivo é agora o acesso invisível e a longo prazo.
Para ser claro, o ransomware não vai a lugar nenhum e os adversários continuam a inovar. Mas os dados mostram uma mudança estratégica clara, afastando-se de ataques barulhentos e destrutivos, em direção a técnicas projetadas para evitar a detecção, persistir em ambientes e explorar silenciosamente a identidade e a infraestrutura confiável. Em vez de invadir e incendiar sistemas, os invasores atuais se comportam cada vez mais como parasitas digitais. Eles vivem dentro do host, alimentam-se de credenciais e serviços e permanecem indetectados pelo maior tempo possível.
A atenção do público muitas vezes gravita em torno de interrupções dramáticas e de impacto visível. Os dados do Relatório Vermelho deste ano contam uma história mais discreta, que revela onde os defensores estão realmente a perder visibilidade.
O sinal do ransomware está desaparecendo
Na última década, a criptografia de ransomware serviu como o sinal mais claro de risco cibernético. Quando seus sistemas travavam e suas operações congelavam, o comprometimento era inegável.
Esse sinal está agora a perder relevância. Ano após ano, os dados criptografados para impacto (T1486) caíram 38%, passando de 21,00% em 2024 para 12,94% em 2025. Esse declínio não mostra capacidade reduzida do invasor. Em vez disso, reflete uma mudança deliberada na estratégia.
Em vez de bloquear dados para forçar o pagamento, os agentes de ameaças estão a migrar para a extorsão de dados como o seu principal modelo de monetização. Ao evitar a criptografia, os invasores mantêm os sistemas operacionais enquanto:
Exfiltre dados confidenciais silenciosamente
Colete credenciais e tokens
Permaneça incorporado em ambientes por longos períodos
Aplicar pressão mais tarde através de extorsão em vez de perturbação
A implicação é clara: o impacto não é mais definido por sistemas bloqueados, mas por quanto tempo os invasores conseguem manter o acesso aos sistemas de um host sem serem detectados.
“O modelo de negócios do adversário mudou da interrupção imediata para o acesso de longa duração.” – Picus Red Report 2026
O roubo de credenciais se torna o plano de controle (um quarto dos ataques)
À medida que os invasores adotam uma persistência prolongada e furtiva, a identidade se torna o caminho mais confiável para o controle.
O Red Report 2026 mostra que as credenciais de armazenamentos de senhas (T1555) aparecem em quase um em cada quatro ataques (23,49%), tornando o roubo de credenciais um dos comportamentos mais prevalentes observados no último ano.
Em vez de depender de despejos barulhentos de credenciais ou de cadeias de exploração complexas, os invasores estão cada vez mais extraindo credenciais salvas diretamente de navegadores, chaveiros e gerenciadores de senhas. Depois de terem credenciais válidas, o escalonamento de privilégios e a movimentação lateral geralmente ficam a apenas algumas ferramentas administrativas nativas de distância.
Cada vez mais campanhas modernas de malware se comportam como parasitas digitais. Não há alarmes, nem falhas, nem indicadores óbvios. Apenas um silêncio assustador.
Essa mesma lógica agora molda a estratégia do invasor de forma mais ampla.
80% das principais técnicas de ATT&CK agora favorecem a furtividade
Apesar da amplitude da estrutura MITRE ATT&CK®, a atividade de malware no mundo real continua concentrada em torno de um pequeno conjunto de técnicas que priorizam cada vez mais a evasão e a persistência.
O Red Report 2026 revela um desequilíbrio gritante: oito das dez principais técnicas MITRE ATT&CK são agora dedicadas principalmente à evasão, persistência ou comando e controle furtivo. Isso representa a maior concentração de tradecraft com foco furtivo que o Picus Labs já registrou, sinalizando uma mudança fundamental nas métricas de sucesso do invasor.
Em vez de priorizar o impacto imediato, os adversários modernos estão otimizando o tempo de permanência máximo. As técnicas que permitem que os invasores se escondam, se misturem e permaneçam operacionais por longos períodos agora superam aquelas projetadas para causar disrupção.
Aqui estão alguns dos comportamentos mais comumente observados no relatório deste ano:
T1055 – A injeção de processo permite que o malware seja executado dentro de processos confiáveis do sistema, dificultando a distinção entre atividades maliciosas e execuções legítimas.
T1547 – A execução de inicialização automática de inicialização ou logon garante persistência sobrevivendo a reinicializações e logins de usuários.
T1071 – Os protocolos de camada de aplicação fornecem “canais de sussurro” para comando e controle, combinando o tráfego do invasor com comunicações normais na web e na nuvem.
T1497 – A virtualização e a evasão de sandbox permitem que o malware detecte ambientes de análise e se recuse a executar quando suspeitar que está sendo observado.
O efeito combinado é poderoso. Processos que parecem legítimos usam processos legítimos
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #do #ransomware #à #residência: #por #dentro #da #ascensão #do #parasita #digital
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário