Ataques à identidade dominam cenário de ameaças

A Sophos publicou o relatório Sophos Active Adversary Report 2026, que revela que 67% dos incidentes investigados pelas suas equipas de Resposta a Incidentes (IR) e Managed Detection and Response (MDR) tiveram origem em ataques relacionados com identidade. O estudo analisou 661 casos registados entre 1 de novembro de 2024 e 31 de outubro de 2025, envolvendo organizações de 70 países e 34 setores.

Segundo o relatório, os atacantes estão a privilegiar o uso de credenciais comprometidas, força bruta e phishing em detrimento da exploração direta de vulnerabilidades técnicas. A atividade de força bruta (15,6%) aproxima-se da exploração de vulnerabilidades (16%) como principal vetor de acesso inicial. Em 59% dos casos analisados não existia autenticação multifator (MFA), facilitando o abuso de contas válidas.

O tempo médio de permanência dos atacantes nas redes caiu para três dias, refletindo tanto maior rapidez operacional dos grupos como uma resposta mais ágil das equipas de defesa, sobretudo em ambientes com MDR. Após o acesso inicial, os atacantes demoram, em média, 3,4 horas a alcançar o Active Directory, evidenciando foco na escalada de privilégios e controlo da infraestrutura de identidade.

O ransomware continua a ser executado predominantemente fora do horário laboral: 88% das cargas analisadas foram implementadas fora de horas, tal como 79% das ações de exfiltração de dados. O relatório alerta ainda para lacunas de telemetria, com a ausência de registos de segurança devido a políticas de retenção insuficientes a duplicar face ao ano anterior, especialmente em firewalls com retenção limitada a sete dias ou menos.

No panorama de ameaças, a Sophos identificou o maior número de grupos ativos desde que o relatório é publicado. Foram registadas 51 marcas de ransomware, divididas entre 27 já existentes e 24 novas. Akira e Qilin destacaram-se como as mais ativas, com a Akira associada a 22% dos incidentes. Apenas quatro técnicas ou marcas, entre elas LockBit, MedusaLocker, Phobos e abuso do BitLocker, mantêm presença contínua desde 2020.

Apesar da crescente atenção mediática derivada da Inteligência Artificial (IA), a Sophos não identificou uma transformação estrutural nas técnicas de ataque impulsionada por IA. A GenAI tem sido utilizada sobretudo para escalar phishing e engenharia social, mas não introduziu ainda vetores radicalmente novos.

John Shier, Field CISO da Sophos, sublinha que o domínio dos vetores baseados em identidade exige uma abordagem proativa à proteção de contas e sistemas de autenticação, destacando que estas ameaças não podem ser mitigadas apenas com atualizações de software.

Com base nos resultados, a Sophos recomenda a implementação de MFA resistente a phishing, redução da exposição de infraestruturas de identidade e serviços expostos à internet, correção atempada de vulnerabilidades, sobretudo em dispositivos no edge, monitorização contínua 24/7 e preservação adequada de logs para suportar investigação e resposta rápida.