O phishing continua sendo o método mais utilizado para o acesso inicial em ataques cibernéticos, segundo o relatório trimestral da Cisco Talos. Embora tenha registrado queda de 50% em relação ao trimestre anterior, o phishing respondeu por cerca de 33% dos incidentes no segundo trimestre deste ano.
Os cibercriminosos exploraram principalmente contas de e-mail internas comprometidas ou de parceiros confiáveis em 75% dos casos, o que ajudou a contornar controles de segurança e ganhar a confiança das vítimas.
“O objetivo da maioria dos ataques de phishing observados demonstrava ser a coleta de credenciais, sugerindo que os cibercriminosos podem considerar a intermediação de credenciais comprometidas como mais simples, confiável e lucrativa do que outras atividades, como a engenharia de um pagamento financeiro ou o roubo de dados proprietários”, destaca o relatório.
Ransomware mantém alta representatividade e grupo Qilin chama atenção
Incidentes de ransomware e pré-ransomware representaram metade de todos os ataques registrados, mantendo o volume similar ao trimestre anterior. O relatório da Talos documentou pela primeira vez a atuação do ransomware Qilin, com táticas e métodos inéditos, inclusive um novo modo de roubo de dados.
“A análise da Cisco Talos para a atividade Qilin deste trimestre indica uma potencial expansão do grupo de afiliadas e/ou um aumento no ritmo operacional”, observa o estudo. Publicações recentes mostram que as divulgações do grupo duplicaram desde fevereiro de 2025, reforçando a necessidade de monitoramento constante.
Ainda segundo o relatório, os operadores de ransomware usaram uma versão desatualizada do PowerShell, a 1.0, em um terço dos ataques, provavelmente para evitar detecção e aumentar a flexibilidade ofensiva.
Técnicas de phishing e impacto da utilização de contas legítimas
O phishing por meio de contas internas comprometidas permanece uma técnica eficaz para os invasores. O relatório exemplifica casos em que e-mails legítimos redirecionaram usuários para páginas falsas do Microsoft Office 365, solicitando autenticação multifator (MFA) para roubar credenciais e tokens de sessão.
“A utilização de contas legítimas oferece vantagens como a capacidade de contornar controles de segurança e parecer confiável para o destinatário”, detalha o documento.
A pesquisa também destaca que a ausência de solicitações financeiras diretas em e-mails maliciosos pode tornar as mensagens menos suspeitas e aumentar a taxa de sucesso dos ataques.
Setor educacional é o mais visado no trimestre
Em uma mudança significativa, o setor educacional foi o mais atacado no período, ao contrário do trimestre anterior, quando não houve registros de incidentes direcionados a essa área. Esta tendência está alinhada com o relatório anual de 2024 da Cisco Talos, que já apontava a educação como um dos setores mais afetados por ataques de ransomware.
Desafios e recomendações para a autenticação multifator
Mais de 40% dos atendimentos relacionados a incidentes envolveram problemas com a autenticação multifator, como má configuração, ausência do recurso ou desvio da autenticação.
Em alguns casos, os invasores exploraram recursos de autoatendimento do MFA para adicionar dispositivos controlados por eles, burlando essa camada de proteção e estabelecendo persistência.
O relatório recomenda atenção especial a abusos de códigos de desvio, registro de novos dispositivos, criação e remoção de contas que ignoram o MFA, reforçando a necessidade de monitoramento constante para garantir a eficácia da autenticação.
Importância do registro centralizado e monitoramento avançado
Um quarto dos incidentes envolveram organizações com sistemas de registro insuficientes, o que dificultou investigações e respostas.
A Cisco Talos enfatiza a implementação de soluções de Gerenciamento de Informações e Eventos de Segurança (SIEM) para registro centralizado. Assim, mesmo se um invasor alterar ou apagar logs no host comprometido, os registros originais permanecem preservados para análise forense.
Além disso, o uso de firewall de aplicação web (WAF) e a ativação do registro de fluxo em todos os endpoints são recomendados para melhorar a detecção e resposta a ameaças em tempo real, reduzindo o impacto dos ataques.
