A exploração de serviços remotos externos e o uso de contas válidas constituem o principal método de acesso inicial a redes comprometidas, segundo o Sophos Active Adversary Report 2025.
A análise de mais de 400 casos de Deteção e Resposta Geridas (MDR) e Resposta a Incidentes (IR) em 2024 indica que em 56% das situações os atacantes obtiveram acesso através de login.
Este método alinha-se com as causas principais de ataques identificadas no estudo. Pelo segundo ano consecutivo, as credenciais comprometidas surgem como o fator predominante, responsáveis por 41% dos incidentes analisados, seguidas pela exploração de vulnerabilidades e ataques de força bruta.
Relatório Sophos: Métodos de acesso preferidos pelos atacantes
O Sophos Active Adversary Report 2025 detalha que a combinação de acesso a serviços remotos externos, como firewalls e VPNs, com a utilização de contas válidas é a tática prevalente.
As credenciais comprometidas representam a causa raiz em 41% dos casos investigados pela Sophos em 2024. A exploração de vulnerabilidades de software contribuiu para 21,79% dos incidentes, enquanto os ataques de força bruta foram responsáveis por 21,07%.
Além disso, o protocolo RDP (Remote Desktop Protocol) esteve envolvido em 84% dos casos analisados, o que o torna a ferramenta Microsoft mais frequentemente explorada neste contexto.
A rapidez da progressão dos ciberataques
A análise da Sophos X-Ops evidencia a velocidade com que os atacantes progridem após o acesso inicial. Em casos de ransomware, exfiltração e extorsão de dados, o tempo médio entre o início do ataque e a extração de dados foi de aproximadamente 73 horas (cerca de três dias).
O tempo mediano para uma tentativa de compromisso do Diretório Ativo (AD), um componente crítico em redes Windows, foi de apenas 11 horas após a ação inicial. O tempo de permanência geral dos atacantes na rede diminuiu de quatro para dois dias em 2024, uma redução atribuída em parte à inclusão de casos MDR na análise.
No entanto, a deteção em casos exclusivamente de IR manteve-se nos quatro dias para ransomware e aumentou para 11,5 dias noutros tipos de ataque. Casos geridos por serviços MDR apresentaram tempos de permanência mais curtos: três dias para ransomware e um dia para outros ataques.
Observou-se ainda que 83% dos ataques de ransomware foram despoletados fora do horário laboral das organizações visadas. Os grupos de ransomware mais identificados nos incidentes foram Akira, Fog e LockBit.
Os dados do Sophos Active Adversary Report 2025 sublinham uma alteração no panorama das ameaças, com os atacantes a privilegiarem o acesso através de credenciais legítimas em detrimento da intrusão forçada.
A rapidez com que conseguem mover-se nas redes e exfiltrar dados, juntamente com a prevalência do roubo de credenciais, reforça a necessidade de abordagens de segurança proativas e monitorização contínua para uma deteção e resposta eficazes.
Outros artigos interessantes:
