Hackers não precisam mais hackear, eles usam credenciais legítimas

O panorama da cibersegurança corporativa está passando por uma mudança silenciosa, mas de grande impacto. Dados recentes revelam uma realidade alarmante: em mais da metade dos casos de detecção e resposta a incidentes, os cibercriminosos sequer precisaram invadir os sistemas. 

Em vez disso, eles entraram pela “porta da frente” – usando credenciais legítimas, explorando serviços expostos e frequentemente sem levantar suspeitas até que seja tarde demais.

• Saiba mais: Hackers chineses desenvolvem novo método para invadir dispositivos de rede

De acordo com o mais recente relatório de inteligência de ameaças da Sophos – empresa que lidero no Brasil –, o Sophos Active Adversary Report 2025, 56% dos ataques analisados em 2024 envolveram o uso de serviços remotos externos, como VPNs e firewalls, em conjunto com contas válidas. 

Essa combinação, cada vez mais comum, evidencia o novo modus operandi dos atacantes, que consiste em infiltrar-se de maneira discreta, utilizando ferramentas legítimas para escalar privilégios e comprometer ambientes inteiros com uma rapidez impressionante.

O dado mais preocupante mostrado no relatório talvez seja o tempo de duração dos ataques: entre a ação inicial dos criminosos e a extração de dados, passam, em média, pouco mais de 72 horas, sendo que o intervalo para comprometer ativos críticos como o Active Directory (AD) – um dos mais importantes em qualquer rede Windows – foi de apenas 11 horas. Ou seja, muitas vezes, quando a ameaça é detectada, os invasores já fizeram o estrago ou estão prestes a fazê-lo.

• Confira: Email bombing: a nova arma dos cibercriminosos para enganar empresas

Outro ponto que salta aos olhos é o domínio contínuo do Remote Desktop Protocol (RDP), presente em 84% dos casos analisados. Ferramentas como essa, essenciais para o dia a dia das empresas, se tornaram alvos preferenciais por sua ampla adoção e, infelizmente, por configurações de segurança frequentemente negligenciadas. 

Essa nova realidade evidencia um colapso parcial das defesas tradicionais. Sistemas baseados apenas em prevenção, como firewalls e antivírus, já não são suficientes, uma vez que a sofisticação das ameaças exige abordagens mais proativas, com monitoramento contínuo, análise de comportamento e resposta coordenada em tempo real.

Apesar de ser inegável que credenciais comprometidas se tornaram a principal causa raiz das invasões – representando 41% dos incidentes – isso não é um dado isolado: trata-se do segundo ano consecutivo em que essa ação lidera o ranking. 

A recorrência mostra que, mesmo com alertas sucessivos da comunidade de segurança, muitas organizações ainda subestimam o valor da autenticação multifatorial ou negligenciam o controle de acesso a serviços sensíveis. 

O cenário é ainda mais preocupante para pequenas e médias empresas, que muitas vezes não dispõem de equipes dedicadas ou infraestrutura para detectar movimentações atípicas. Para elas, a velocidade do ataque é sinônimo de prejuízo certo, seja em dados, reputação ou continuidade operacional.

Por outro lado, há um dado encorajador no relatório: o tempo médio de permanência – ou seja, o intervalo entre o início de um ataque e sua detecção – caiu de quatro para apenas dois dias em 2024. Essa redução significativa está diretamente ligada ao aumento dos casos envolvendo serviços de Detecção e Resposta Gerenciada (MDR). 

Em investigações conduzidas por equipes especializadas de MDR, o tempo de resposta foi ainda mais ágil: três dias em incidentes com ransomware e apenas um dia em casos sem esse tipo de ameaça. Isso demonstra que contar com soluções como essas não apenas fortalece a detecção precoce, como também oferece uma reação mais coordenada e eficaz – elementos essenciais para mitigar os impactos de uma invasão.

Além disso, é fundamental entender que, hoje, os adversários atuam com estratégia e paciência. Eles não disparam malware aleatoriamente: eles estudam, esperam, e atacam no momento exato – muitas vezes fora do horário comercial, como mostram os dados do relatório, que apontam que 83% dos arquivos maliciosos foram lançados durante a noite.

O combate a esse novo modelo de ataque requer, antes de tudo, uma mudança de mentalidade. Segurança não pode ser tratada como um investimento pontual ou reativo. É uma prática contínua, que exige atualização constante, integração de ferramentas e, principalmente, consciência de que o maior risco talvez esteja dentro da rede, disfarçado como um usuário legítimo. 

• Leia também: Ramsomware remoto: o crescimento da tática capaz de driblar a segurança de endpoints

O futuro da cibersegurança pertence a quem entende que a resposta é tão importante quanto a prevenção e, num cenário onde os criminosos têm horas para agir, cada segundo de atraso pode custar caro.