Dados de 2025 indicam queda de 38% na técnica de criptografia para impacto e maior concentração de roubo de credenciais, evasão, persistência e comando e controle discreto.
| Componente | Malware e ações adversárias mapeadas no Red Report 2026 da Picus Labs, com mais de 1,1 milhão de arquivos maliciosos e 15,5 milhões de ações observadas em 2025. |
| Vetor | Uso recorrente de roubo de credenciais em repositórios de senhas, injeção de processos, execução automática em inicialização ou login, protocolos de camada de aplicação para comando e controle e evasão de virtualização ou sandbox. |
| Impacto | Mudança de ataques ruidosos baseados em criptografia para permanência prolongada, exploração de identidade, abuso de processos confiáveis e redução de sinais visíveis de comprometimento. |
| Prioridade | Reforçar detecção comportamental, higiene de credenciais, validação contínua de controles e telemetria capaz de identificar uso indevido de processos, identidade e canais confiáveis. |
| Artefatos | Técnicas citadas incluem T1486, T1555, T1055, T1547, T1071 e T1497. |
| Tendência | T1486 caiu de 21,00% em 2024 para 12,94% em 2025, enquanto T1555 apareceu em 23,49% dos ataques analisados. |
O conjunto de observações de 2025 descreve uma mudança relevante no comportamento de operadores maliciosos: a criptografia de dados, antes tratada como um dos sinais mais visíveis de comprometimento por ransomware, perdeu centralidade como indicador dominante. A técnica T1486, associada à criptografia para impacto, caiu de 21,00% em 2024 para 12,94% em 2025. Essa redução não indica desaparecimento de ransomware, mas mostra que parte dos operadores está privilegiando acesso persistente, exploração de identidade e permanência silenciosa em vez de interrupção imediata de sistemas.
A lógica operacional passa a depender menos de um evento ostensivo, como indisponibilidade causada por arquivos criptografados, e mais de controle prolongado sobre contas, serviços e processos confiáveis. Nesse modelo, o risco defensivo aumenta porque a ausência de travamento, falha ou indisponibilidade não equivale à ausência de comprometimento. O ambiente pode continuar funcional enquanto credenciais são coletadas, comunicações de comando e controle se misturam a tráfego comum e mecanismos de persistência mantêm o acesso após reinicializações ou novos logins.
O dado mais direto dessa mudança aparece no peso de T1555, técnica ligada à obtenção de credenciais em armazenamentos de senhas. Ela aparece em 23,49% dos ataques analisados, quase um em cada quatro casos. O foco em credenciais salvas em navegadores, chaveiros e gerenciadores de senhas reduz a necessidade de exploração complexa quando o atacante consegue operar com identidade válida. Para defesa, isso desloca a prioridade para sinais de uso anômalo de contas, extração de segredos locais, abuso de ferramentas administrativas nativas e movimentações que parecem legítimas quando vistas apenas por assinatura.
A cadeia técnica descrita combina acesso furtivo, coleta de credenciais, execução dentro de processos confiáveis e manutenção de canais discretos. T1055, injeção de processos, permite que código malicioso opere no contexto de processos que já são esperados no sistema, dificultando a separação entre execução legítima e atividade maliciosa. Quando esse comportamento se combina com ferramentas administrativas nativas, a defesa baseada apenas em nomes de binários, hashes conhecidos ou bloqueios estáticos perde efetividade.
A persistência é reforçada por T1547, execução automática em inicialização ou login. Esse padrão permite que o malware sobreviva a reinicializações e sessões de usuário, preservando presença operacional sem depender de ações visíveis. Em ataques orientados à permanência, esse ponto é crítico: o objetivo não é necessariamente gerar impacto imediato, mas manter capacidade de retorno e continuar observando, coletando ou acionando etapas posteriores quando as condições forem favoráveis.
A comunicação também segue a mesma lógica de normalização. T1071, uso de protocolos de camada de aplicação, permite que tráfego de comando e controle se misture a fluxos comuns de web, nuvem e aplicações corporativas. O problema defensivo não é apenas identificar uma conexão externa, mas distinguir uso legítimo de HTTP, HTTPS ou serviços de aplicação de uma sessão controlada por operador malicioso. Isso exige correlação com processo de origem, identidade usada, destino, frequência, volume, horário e histórico do ativo.
A evasão de ambiente de análise aparece como outro ponto importante. T1497 subiu para uma faixa mais relevante de técnicas observadas, indicando que amostras maliciosas avaliam o contexto de execução antes de revelar comportamento. O exemplo citado envolve LummaC2 analisando padrões de movimento do mouse, distância euclidiana e ângulos de cursor para diferenciar interação humana de movimentos lineares típicos de sandbox. Quando o ambiente parece artificial, a amostra pode permanecer inativa, reduzindo a chance de detecção em análise automatizada.
A superfície exposta não se limita a servidores críticos ou estáções visivelmente afetadas por ransomware. O foco em credenciais amplia o risco para navegadores, chaveiros locais, gerenciadores de senhas, perfis de usuário, contas administrativas e sessões autenticadas em serviços internos ou de nuvem. Um endpoint aparentemente saudável pode se tornar ponto de coleta de segredos se armazenar credenciais reutilizáveis ou tokens que permitam acesso posterior.
Sistemas com baixa visibilidade de processos filhos, execução em memória, persistência em inicialização e tráfego de aplicação ficam especialmente vulneráveis a esse modelo. A dependência de telemetria parcial cria lacunas: um EDR pode observar execução local, mas não correlacionar com identidade; um proxy pode registrar conexão externa, mas não enxergar o processo de origem; um provedor de identidade pode registrar login válido, mas não identificar que a credencial foi extraída de um endpoint comprometido.
- Estáções de trabalho com senhas salvas em navegadores, chaveiros ou gerenciadores locais.
- Ambientes onde processos confiáveis podem ser abusados para execução ou injeção sem correlação comportamental.
- Sistemas que dependem de detecção por assinatura e têm baixa visibilidade de execução em memória.
- Serviços web, aplicações corporativas e canais de nuvem usados como tráfego aparentemente normal de comando e controle.
- Sandboxes automatizadas que não simulam interação humana realista ou não avaliam amostras em janelas de tempo suficientes.
A investigação deve priorizar correlação entre identidade, processo, persistência e rede. Para T1555, sinais relevantes incluem acesso incomum a armazenamentos de credenciais, leitura de bancos locais de navegadores, interação inesperada com chaveiros ou gerenciadores e processos não usuais acessando diretórios de perfil de usuário. O valor do hunting está em combinar essas leituras com histórico do host, privilégio da conta e eventos subsequentes de autenticação.
Para T1055, a telemetria precisa diferenciar injeção legítima de abuso. Indicadores úteis incluem processos que abrem identificadores com permissões incomuns sobre outros processos, alterações de memória em processos confiáveis, criação de threads remotas, carregamento inesperado de módulos e cadeias de processo incompatíveis com o perfil normal da estáção. O objetivo não é bloquear todo comportamento semelhante, mas identificar combinações raras e de alto risco.
Para T1547, a busca deve cobrir pontos de execução automática criados ou modificados perto de outros eventos suspeitos. Alterações em chaves de inicialização, tarefas agendadas, itens de login e mecanismos equivalentes devem ser analisadas junto de origem do arquivo, assinatura, usuário responsável, momento da alteração e relação com execução anterior. Persistência silenciosa costuma aparecer como modificação pequena em um local previsível, mas com contexto anômalo.
Para T1071 e T1497, o hunting precisa observar tanto tráfego quanto ausência de comportamento. Comunicações periódicas, destinos raros, processos de usuário conversando com serviços externos em horários incomuns e amostras que permanecem dormentes em sandbox devem ser tratados como sinais analíticos. Uma amostra que não executa em ambiente controlado não deve ser automaticamente classificada como benigna quando houver outros indícios de evasão.
- Processos inesperados acessando armazenamentos de senhas, perfis de navegador, chaveiros ou gerenciadores locais.
- Eventos de injeção, manipulação de memória ou criação de execução dentro de processos normalmente confiáveis.
- Novos mecanismos de inicialização ou login criados próximos a alertas de endpoint, identidade ou rede.
- Tráfego de aplicação originado por processos incomuns, com periodicidade, destino ou volume fora do padrão do ativo.
- Amostras que verificam interação do usuário, ambiente virtualizado ou sinais de sandbox antes de executar comportamento principal.
A resposta defensiva deve tratar credenciais como alvo primário. A redução de senhas salvas localmente, o endurecimento de gerenciadores, a revisão de permissões, a aplicação de autenticação multifator resistente a phishing e a rotação de credenciais expostas reduzem o valor operacional de T1555. Quando houver suspeita de coleta em endpoint, a contenção deve incluir revogação de sessões e tokens, não apenas limpeza do arquivo malicioso.
Controles de endpoint devem ser ajustados para comportamento, não só para artefatos conhecidos. Injeção de processos, persistência em inicialização e abuso de protocolos comuns exigem regras baseadas em cadeia de execução, reputação do processo pai, permissões solicitadas, destino de rede e anomalias por ativo. Bloqueios amplos podem gerar ruído, mas a ausência de correlação permite que atividade maliciosa se confunda com operação legítima.
A validação contínua de exposição adversária é relevante porque o relatório mostra concentração em técnicas conhecidas, não uma dependência ampla de técnicas inéditas ou de inteligência artificial avançada. A defesa deve testar se os controles detectam T1055, T1547, T1071, T1497 e T1555 em condições realistas, incluindo execução sem impacto visível, persistência discreta e comunicação por canais esperados. O ponto central é confirmar se a organização enxerga permanência silenciosa antes que ela se transforme em extorsão, movimentação ampliada ou outro impacto posterior.
- Remover ou restringir armazenamento local de credenciais e revisar políticas de gerenciadores de senhas.
- Correlacionar alertas de endpoint, identidade e rede para identificar uso indevido de contas válidas.
- Monitorar pontos de execução automática e validar alterações com proprietário, assinatura e origem do binário.
- Aprimorar análise de sandbox com interação, tempo de observação e detecção de comportamento dormente.
- Testar controles contra técnicas MITRE citadas e corrigir lacunas de visibilidade antes de depender de alertas de impacto.
0 Comentários