A Sophos divulgou o Relatório Active Adversary 2026, indicando que 67% dos incidentes investigados no último ano tiveram origem em falhas de acesso, incluindo credenciais comprometidas, autenticação multifator (MFA) fraca ou inexistente e sistemas de identidade mal protegidos.
Ataques à identidade aceleram
O estudo mostra que os invasores estão cada vez mais utilizando contas válidas para acessar sistemas, contornando defesas tradicionais de perímetro. Em 59% dos casos, não havia MFA implementado, facilitando o uso abusivo de credenciais.
“O dado mais preocupante do relatório vem sendo construído ao longo dos anos: a predominância de causas raiz relacionadas à identidade no acesso inicial bem-sucedido. Credenciais comprometidas, ataques de força bruta, phishing e outras táticas exploram fragilidades que não podem ser resolvidas apenas com uma boa política de aplicação de patches. As organizações precisam adotar uma abordagem proativa para a segurança de identidade”, afirma John Shier, Field CISO da Sophos.
O relatório aponta ainda que ataques ao Active Directory ocorrem em média 3,4 horas após a invasão inicial, e que 88% das cargas de ransomware e 79% das ações de exfiltração de dados ocorrem fora do horário comercial.
Maior diversidade de grupos de ameaças
O estudo identificou o maior número de grupos de ameaças ativos já registrado, ampliando o risco global. Entre os destaques estão os ransomwares Akira (GOLD SAHARA), presente em 22% dos incidentes, e Qilin (GOLD FEATHER). Das 51 marcas de ransomware detectadas, 27 já eram conhecidas e 24 surgiram recentemente. Apenas LockBit, MedusaLocker, Phobos e o abuso do BitLocker mantêm atividade contínua desde 2020.
“A atuação das forças de segurança continua causando disrupção no ecossistema de ransomware. Para os defensores, é fundamental entender os grupos e seus TTPs (táticas, técnicas e procedimentos) para proteger melhor suas organizações”, complementa Shier.
IA aumenta escala, mas não muda o básico
Embora a IA generativa tenha ampliado a escala e o refinamento de campanhas de phishing e engenharia social, a Sophos não identificou técnicas de ataque fundamentalmente novas. “A IA está trazendo escala e ruído, mas ainda não substitui os invasores. No futuro, a GenAI pode se tornar um novo acelerador, mas, por enquanto, o básico continua sendo essencial: proteção robusta de identidade, telemetria confiável e capacidade de resposta rápida quando algo dá errado”, afirma Shier.
Recomendações defensivas
A Sophos recomenda:
- Implementar MFA resistente a phishing e validar sua configuração.
- Reduzir a exposição da infraestrutura de identidade e serviços voltados à internet.
- Aplicar patches rapidamente, principalmente em dispositivos de borda.
- Garantir monitoramento 24/7 via MDR ou equivalente.
- Preservar e reter logs de segurança para detecção e investigação rápidas.
O Relatório Active Adversary 2026 analisou 661 casos de IR e MDR entre 1º de novembro de 2024 e 31 de outubro de 2025, abrangendo 70 países e 34 setores.
