A Sophos acaba de divulgar o relatório Active Adversary Report 2025, revelando que, em 56% dos casos analisados, os ciberatacantes obtiveram acesso às redes empresariais através de login com credenciais válidas, ao invés de técnicas tradicionais de invasão. A análise, que incidiu sobre mais de 400 incidentes de Managed Detection and Response (MDR) e Resposta a Incidentes (IR), aponta para uma tendência clara de exploração de serviços remotos expostos, como firewalls e VPNs, associada à utilização de contas legítimas.

Pelo segundo ano consecutivo, as credenciais comprometidas lideraram como principal causa de ataque, estando na origem de 41% dos incidentes. A rapidez com que os atacantes atuam também impressiona: em média, são necessários apenas três dias para exfiltrar dados após o início do ataque. E entre a exfiltração e a deteção passam menos de três horas, demonstrando a importância de respostas automáticas e em tempo real.

Outra conclusão relevante do relatório é que, em apenas 11 horas, os invasores conseguem iniciar tentativas de comprometimento do Active Directory, o que lhes permite potencialmente controlar toda a rede. Apesar de o tempo médio de permanência dos atacantes estar a diminuir — quatro dias em casos IR e dois dias em MDR —, a janela de atuação continua suficiente para causar danos severos.

O relatório também evidencia que 83% dos ataques de ransomware foram lançados fora do horário laboral e que o Remote Desktop Protocol (RDP) foi utilizado em 84% dos casos, consolidando-se como uma das ferramentas mais exploradas.

Os relatores recomendam que as empresas adotem uma abordagem ativa de cibersegurança, com medidas como autenticação multifator resistente a phishing, correção regular de vulnerabilidades, e implementação de soluções EDR ou MDR com monitorização 24/7, bem como a criação e teste de planos de resposta a incidentes.