Um relatório FortiGuard divulgado referente ao primeiro semestre de 2025 indica que as ameaças com motivação financeira abandonaram explorações e malware complexos, priorizando o uso de contas e ferramentas de acesso remoto para penetrar em redes, pois esta metodologia prova ser mais simples, mais barata e garante maior eficácia contra sistemas de detecção.
Crescimento do roubo de credenciais no ambiente empresarial
UM análise dos casos revelam que a obtenção de credenciais ocorre por phishing ou softwares de roubo de informações vendidas em plataformas, confirmando que o roubo de senhas é uma estratégia de acesso cujo custo para empresas com faturamento superior a um bilhão de dólares pode atingir US$ 20.000, e apenas centenas para organizações menores em regiões em desenvolvimento. Investigação de descobertas de incidentes, que abrangem setores desde a indústria até a área financeira e de telecomunicações, declarada um padrão: invasores obtiveram acesso com credenciais roubadas, conectando-se via VPN e movimentando-se usando transportes remotos como AnyDesk, Atera, Splashtop e ScreenConnect, permitindo que a atividade passe por trabalho rotineiro de administração de sistemas.
Estratégias de evasão de detecção e medidas de proteção
Em um ataque documentado, os invasores obtiveram credenciais de acesso para se conectar a uma VPN corporativa sem autenticação multifator, extraíram senhas de hipervisor salva no navegador e criptografa máquinas virtuais, enquanto outros operadores obtêm acesso com conta de administrador de domínio e instalam o AnyDesk em massa por RDP e políticas de grupo, utilizando também ferramentas como Mimikatz e a vulnerabilidade Zerologon para escalonamento de privilégios. A FortiGuard enfatiza que a proteção exige uma reformulação de abordagens, pois confiar em sistemas EDR que verificam o código não oferece segurança, sendo necessário migrar para uma estratégia baseada em contas de usuário e análise de comportamento que responda a desvios como logins de geolocalizações requeridas ou atividades fora do horário comercial (consulte as recomendações de segurança da Fortinet sobre este tema), já que a tendência de incidentes com exploração de contas válidas, identificadas desde 2024, continua a aumentar.
