A Sophos, líder global em cibersegurança, lançou o Sophos Active Adversary Report 2025, um estudo que analisou mais de 400 casos de Detecção e Resposta Gerenciada (MDR) e Resposta a Incidentes (IR) ao longo de 2024. O relatório revelou que, em 56% dos casos, os cibercriminosos obtiveram acesso às redes sem precisar invadi-las, explorando serviços remotos externos como firewalls e VPNs por meio de contas válidas.
Pelo segundo ano consecutivo, credenciais comprometidas foram a principal origem das invasões, representando 41% dos ataques. Em seguida, aparecem exploração de vulnerabilidades (21,79%) e ameaças de força bruta (21,07%).
A velocidade dos ataques está aumentando
O estudo também analisou a rapidez dos ataques de ransomware, extração e extorsão de dados. O tempo médio entre o primeiro acesso dos invasores e a extração dos dados foi de 72,98 horas (3,04 dias). Além disso, entre a obtenção do arquivo e a detecção da ameaça, passaram-se em média apenas 2,7 horas.
“A segurança passiva não é mais suficiente. Prevenção é essencial, mas resposta rápida é fundamental. As empresas precisam monitorar suas redes ativamente e agir com rapidez diante de qualquer movimentação suspeita. Nosso relatório mostra que instituições com monitoramento proativo detectam ameaças mais rapidamente e mitigam impactos com mais eficiência.” – John Shier, CISO de campo da Sophos.
Outros destaques do relatório
Invasão completa pode ocorrer em apenas 11 horas – esse é o tempo médio que os atacantes levam para comprometer o Active Directory (AD), um dos principais alvos em redes Windows.
Grupos de ransomware mais frequentes – Akira liderou os ataques de ransomware em 2024, seguido por Fog e LockBit.
Tempo de permanência caiu para dois dias – a detecção de ataques melhorou, reduzindo o tempo médio que os invasores permanecem na rede antes de serem identificados.
Ataques de ransomware acontecem à noite – 83% dos ataques ocorreram fora do horário comercial das empresas-alvo.
RDP segue como principal vetor de ataques – o Remote Desktop Protocol (RDP) esteve envolvido em 84% dos casos analisados.
Recomendações da Sophos para empresas
Para reforçar a segurança contra ataques cibernéticos, a Sophos sugere:
- Bloquear portas RDP expostas
- Implementar autenticação multifatorial (MFA) resistente a phishing
- Manter sistemas atualizados com patches de segurança, especialmente em dispositivos voltados para a internet
- Adotar soluções de EDR ou MDR com monitoramento 24×7
- Criar um plano de resposta a incidentes e testá-lo regularmente
