🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O acesso remoto e as ferramentas administrativas confiáveis desempenham um papel central na forma como as organizações operam hoje. De acordo com o Relatório Anual de Ameaças de 2026 da Blackpoint Cyber, elas também são cada vez mais fundamentais para o início das invasões.
Baseado na análise de milhares de investigações de segurança realizadas durante o período do relatório, o relatório destaca uma mudança no comportamento dos invasores. Em vez de confiar principalmente na exploração de vulnerabilidades, os agentes de ameaças frequentemente obtiveram acesso usando credenciais válidas, ferramentas legítimas e ações rotineiras orientadas pelo usuário.
O relatório examina esses padrões, documenta onde a atividade de intrusão foi interrompida e apresenta prioridades defensivas derivadas dos resultados analisados de resposta a incidentes observados ao longo de 2025.
Dados adicionais e orientações sobre incidentes serão abordados durante um próximo webinar ao vivo organizado pela Blackpoint Cyber.
➡️ Cadastre-se aqui
Principais conclusões do Relatório Anual de Ameaças de 2026
Os invasores estão entrando por caminhos de acesso legítimos
Em todos os incidentes analisados no relatório, os invasores eram mais propensos a fazer login usando acesso legítimo do que a explorar vulnerabilidades como ponto de entrada principal.
O abuso de VPN SSL foi responsável por 32,8% de todos os incidentes identificáveis, tornando-se um dos vetores de acesso inicial mais comuns. Em muitos casos, os agentes de ameaças autenticaram-se usando credenciais válidas, mas comprometidas, resultando em sessões VPN que pareciam legítimas aos controles de segurança.
Uma vez estabelecido o acesso, essas sessões geralmente proporcionavam amplo alcance interno, permitindo que os invasores avançassem rapidamente em direção a sistemas de alto valor sem acionar alertas imediatamente.
Ferramentas de TI confiáveis estão sendo usadas contra organizações
O relatório também documenta o abuso frequente de ferramentas legítimas de monitorização e gestão remota como método de acesso e persistência.
O abuso de RMM apareceu em 30,3% dos incidentes identificáveis, com o ScreenConnect presente em mais de 70% dos casos de RMM não autorizados. Como essas ferramentas são comumente usadas para administração de TI padrão, as instalações não autorizadas muitas vezes pareciam atividades esperadas e eram difíceis de distinguir sem forte visibilidade.
O relatório observa que os ambientes com múltiplas ferramentas de acesso remoto em uso eram mais propensos a ver instâncias não autorizadas misturadas com as ferramentas existentes.
A engenharia social, e não as explorações, causou a maioria dos incidentes
Embora os caminhos de acesso legítimos permitissem muitas invasões, a interação do usuário representava o maior impulsionador do volume geral de incidentes.
Campanhas falsas no estilo CAPTCHA e ClickFix foram responsáveis por 57,5% de todos os incidentes identificáveis, tornando-os o padrão de ataque mais comum documentado no relatório.
Em vez de explorar vulnerabilidades de software, essas campanhas dependiam de avisos enganosos. Os usuários foram instruídos a colar comandos na caixa de diálogo Executar do Windows como parte do que parecia ser uma etapa de verificação de rotina. A execução usou ferramentas integradas do Windows, sem downloads tradicionais de malware ou atividades de exploração.
Intrusões na nuvem focadas na reutilização de sessões após MFA
A autenticação multifator foi habilitada em muitos ambientes de nuvem associados a incidentes investigados, mas mesmo assim ocorreu comprometimento da conta.
O phishing Adversary-in-the-Middle foi responsável por aproximadamente 16% das desativações de contas na nuvem documentadas no relatório. Nestes cenários, a MFA funcionou conforme concebido. Em vez de ignorar a autenticação, os invasores capturaram tokens de sessão autenticados emitidos após uma MFA bem-sucedida e os reutilizaram para acessar serviços em nuvem.
Do ponto de vista da plataforma em nuvem, esta atividade está alinhada com uma sessão autenticada legítima.
Do acesso inicial à dinamização da rede
Muitos dos ataques descritos acima começam com acesso legítimo. O que acontece a seguir é onde ocorre o dano real.
Em uma investigação recente, nosso SOC identificou um novo implante chamado Roadk1ll, projetado para funcionar em sistemas que usam comunicação baseada em WebSocket e manter o acesso enquanto se integra ao tráfego de rede.
Participe do Episódio #002 do Inside the SOC para ver como esses ataques progridem desde o acesso inicial até o comprometimento total do ambiente.
Salve seu assento
O que essas descobertas significam para as equipes de segurança
Em todos os setores, ambientes e tipos de ataque, o relatório destaca um padrão consistente: muitas invasões bem-sucedidas dependiam de atividades que se misturavam às operações normais.
Em vez de confiar em novas explorações ou malware avançado, os invasores abusaram dos fluxos de trabalho diários, como logins remotos, ferramentas confiáveis e ações padrão do usuário. Com base nas cadeias de ataque analisadas, o relatório identifica várias prioridades defensivas:
Trate o acesso remoto como uma atividade de alto risco e alto impacto
Mantenha um inventário completo de ferramentas RMM aprovadas e remova agentes legados ou não utilizados
Restrinja instalações de software não aprovadas e limite a execução de diretórios graváveis pelo usuário
Aplicativo
Baseado na análise de milhares de investigações de segurança realizadas durante o período do relatório, o relatório destaca uma mudança no comportamento dos invasores. Em vez de confiar principalmente na exploração de vulnerabilidades, os agentes de ameaças frequentemente obtiveram acesso usando credenciais válidas, ferramentas legítimas e ações rotineiras orientadas pelo usuário.
O relatório examina esses padrões, documenta onde a atividade de intrusão foi interrompida e apresenta prioridades defensivas derivadas dos resultados analisados de resposta a incidentes observados ao longo de 2025.
Dados adicionais e orientações sobre incidentes serão abordados durante um próximo webinar ao vivo organizado pela Blackpoint Cyber.
➡️ Cadastre-se aqui
Principais conclusões do Relatório Anual de Ameaças de 2026
Os invasores estão entrando por caminhos de acesso legítimos
Em todos os incidentes analisados no relatório, os invasores eram mais propensos a fazer login usando acesso legítimo do que a explorar vulnerabilidades como ponto de entrada principal.
O abuso de VPN SSL foi responsável por 32,8% de todos os incidentes identificáveis, tornando-se um dos vetores de acesso inicial mais comuns. Em muitos casos, os agentes de ameaças autenticaram-se usando credenciais válidas, mas comprometidas, resultando em sessões VPN que pareciam legítimas aos controles de segurança.
Uma vez estabelecido o acesso, essas sessões geralmente proporcionavam amplo alcance interno, permitindo que os invasores avançassem rapidamente em direção a sistemas de alto valor sem acionar alertas imediatamente.
Ferramentas de TI confiáveis estão sendo usadas contra organizações
O relatório também documenta o abuso frequente de ferramentas legítimas de monitorização e gestão remota como método de acesso e persistência.
O abuso de RMM apareceu em 30,3% dos incidentes identificáveis, com o ScreenConnect presente em mais de 70% dos casos de RMM não autorizados. Como essas ferramentas são comumente usadas para administração de TI padrão, as instalações não autorizadas muitas vezes pareciam atividades esperadas e eram difíceis de distinguir sem forte visibilidade.
O relatório observa que os ambientes com múltiplas ferramentas de acesso remoto em uso eram mais propensos a ver instâncias não autorizadas misturadas com as ferramentas existentes.
A engenharia social, e não as explorações, causou a maioria dos incidentes
Embora os caminhos de acesso legítimos permitissem muitas invasões, a interação do usuário representava o maior impulsionador do volume geral de incidentes.
Campanhas falsas no estilo CAPTCHA e ClickFix foram responsáveis por 57,5% de todos os incidentes identificáveis, tornando-os o padrão de ataque mais comum documentado no relatório.
Em vez de explorar vulnerabilidades de software, essas campanhas dependiam de avisos enganosos. Os usuários foram instruídos a colar comandos na caixa de diálogo Executar do Windows como parte do que parecia ser uma etapa de verificação de rotina. A execução usou ferramentas integradas do Windows, sem downloads tradicionais de malware ou atividades de exploração.
Intrusões na nuvem focadas na reutilização de sessões após MFA
A autenticação multifator foi habilitada em muitos ambientes de nuvem associados a incidentes investigados, mas mesmo assim ocorreu comprometimento da conta.
O phishing Adversary-in-the-Middle foi responsável por aproximadamente 16% das desativações de contas na nuvem documentadas no relatório. Nestes cenários, a MFA funcionou conforme concebido. Em vez de ignorar a autenticação, os invasores capturaram tokens de sessão autenticados emitidos após uma MFA bem-sucedida e os reutilizaram para acessar serviços em nuvem.
Do ponto de vista da plataforma em nuvem, esta atividade está alinhada com uma sessão autenticada legítima.
Do acesso inicial à dinamização da rede
Muitos dos ataques descritos acima começam com acesso legítimo. O que acontece a seguir é onde ocorre o dano real.
Em uma investigação recente, nosso SOC identificou um novo implante chamado Roadk1ll, projetado para funcionar em sistemas que usam comunicação baseada em WebSocket e manter o acesso enquanto se integra ao tráfego de rede.
Participe do Episódio #002 do Inside the SOC para ver como esses ataques progridem desde o acesso inicial até o comprometimento total do ambiente.
Salve seu assento
O que essas descobertas significam para as equipes de segurança
Em todos os setores, ambientes e tipos de ataque, o relatório destaca um padrão consistente: muitas invasões bem-sucedidas dependiam de atividades que se misturavam às operações normais.
Em vez de confiar em novas explorações ou malware avançado, os invasores abusaram dos fluxos de trabalho diários, como logins remotos, ferramentas confiáveis e ações padrão do usuário. Com base nas cadeias de ataque analisadas, o relatório identifica várias prioridades defensivas:
Trate o acesso remoto como uma atividade de alto risco e alto impacto
Mantenha um inventário completo de ferramentas RMM aprovadas e remova agentes legados ou não utilizados
Restrinja instalações de software não aprovadas e limite a execução de diretórios graváveis pelo usuário
Aplicativo
#samirnews #samir #news #boletimtec #o #acesso #de #rotina #está #alimentando #invasões #modernas, #revela #um #novo #relatório #de #ameaças
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário