Dark
Light
Por 

Cibercriminosos aproveitam-se das organizações com a guarda baixa durante os feriados

Um relatório global da Semperis detalha quando e como ocorrem os ataques de ransomware, para os quais os cibercriminosos aproveitam os fins de semana e feriados, com menos pessoal e a guarda mais baixa nas organizações.
3 de Dezembro, 2025

O último Relatório de Risco de Feriados de Ransomware da Semperis analisa como os ataques de ransomware se comportam e qual a preparação que as organizações declaram ter para enfrentá-los, com ênfase especial nos sistemas de identidade. O estudo, realizado durante o primeiro semestre de 2025 pela consultora Censuswide, baseia-se numa pesquisa com 1.500 profissionais de TI e segurança de dez países e oito setores, distribuídos entre a América do Norte, Reino Unido, Europa continental e Ásia-Pacífico.

De acordo com o documento, pouco mais da metade dos inquiridos que sofreram um incidente de ransomware nos últimos doze meses situam o ataque num fim de semana ou feriado. À escala global, 52% das tentativas descritas ocorreram nesses períodos de menor atividade interna, o que confirma que os atacantes procuram momentos de menor vigilância operacional.

O relatório também indica que seis em cada dez ataques ocorreram após um evento corporativo, como uma fusão ou aquisição, uma oferta pública inicial ou uma ronda de despedimentos. Dentro deste grupo, 54% dos ataques ocorreram após uma operação de fusão ou aquisição, 46% após uma redução de pessoal e 42% após uma oferta pública de venda.

Os dados regionais refletem percentagens semelhantes por zona, com números agregados em torno de metade dos ataques ocorridos em fins de semana ou feriados, tanto na América do Norte como na Europa e Ásia-Pacífico. Em setores como telecomunicações e TI, o peso dos ataques nesses períodos chega a 60%, enquanto no setor de energia fica em 36%, o que sugere diferenças setoriais na exposição ou na organização dos turnos de vigilância.

A defesa da identidade avança, mas a recuperação fica para trás

Uma das principais linhas do Ransomware Holiday Risk Report é a análise das estratégias de deteção e resposta a ameaças em sistemas de identidade (ITDR, na sigla em inglês). Nove em cada dez inquiridos afirmam dispor de uma estratégia deste tipo, e quase todos os que dizem tê-la garantem que dispõem de procedimentos para analisar vulnerabilidades nos seus sistemas de identidade, incluindo serviços como Active Directory, Entra ID e Okta.

A cobertura é menor quando se passa da deteção para a correção; apenas 45% dos participantes indicam ter procedimentos estabelecidos para remediar as vulnerabilidades detetadas por essas revisões. E no âmbito da recuperação, 63% declaram automatizar a restauração dos sistemas de identidade após um incidente, enquanto 10% reconhecem não ter nenhuma estratégia ITDR.

Nos planos de recuperação de desastres, a presença explícita dos sistemas de identidade também é desigual. 66% das organizações incluem a recuperação do Active Directory, 55% contemplam o Entra ID e 42% incorporam o Okta. O relatório sublinha que a capacidade de restaurar a plataforma de identidade rapidamente e com garantias de integridade é considerada um fator relevante para a resiliência operacional, uma vez que estes sistemas atuam como mecanismo central de controlo de acesso.

Recomendações do relatório para reforçar a resiliência

Com base nos dados recolhidos, o relatório apresenta várias linhas de ação dirigidas aos responsáveis pela segurança, equipas de TI e gestores de SOC. Uma delas é o planeamento específico da defesa dos sistemas de identidade em períodos de mudança estrutural, como fusões, aquisições ou entradas na bolsa. O documento sugere rever e, se necessário, modernizar a infraestrutura do Active Directory antes de concluir uma integração, bem como envolver as funções de cibersegurança nas fases iniciais das operações corporativas.

Outra conclusão é que as avaliações de fusões, aquisições ou desinvestimentos devem ter em conta quais os sistemas e riscos que são herdados ou transferidos. De acordo com o relatório, não considerar esses elementos desde o início pode atrasar os processos, alterar as avaliações económicas e, em qualquer caso, levar as empresas a absorver lacunas de segurança pré-existentes ou deficiências na sua gestão de identidades, o que complica e encarece a integração posterior.

O documento também analisa o papel que a tecnologia, e em particular as capacidades de monitorização e deteção baseadas em inteligência artificial, pode desempenhar na redução da carga de trabalho do SOC. O texto esclarece que, embora essas ferramentas possam assumir parte das tarefas de primeiro nível, a supervisão humana continua sendo necessária para a gestão de casos complexos e para avaliar novos vetores de ataque, incluindo o aumento de identidades não humanas criadas por sistemas de IA que também devem ser protegidas.

Por último, o relatório propõe integrar explicitamente a recuperação dos sistemas de identidade no planeamento da resposta a crises. Além dos aspetos puramente técnicos, é mencionada a necessidade de definir como se irá comunicar com clientes, fornecedores e autoridades reguladoras durante um incidente, quem tomará decisões sobre a desconexão e reativação de serviços e em que ordem serão restauradas as capacidades críticas.

Em conjunto, o documento da Semperis afirma que a resiliência tecnológica e a continuidade dos negócios devem ser consideradas objetivos compartilhados por toda a organização, não apenas pelas equipas de TI e segurança.

Ver mais

Opinião

Impulsionar a colaboração para combater o cibercrime

Derek Manky

Inteligência Artificial em 2026: Entre a Automação da Ameaça e a Defesa Algorítmica

Rui Ribeiro

Os dados estão lançados: quais as apostas para 2026?

Bruno Castro

A bolha da IA não está na tecnologia, está nas decisões

Luís Almeida

Reforçar a segurança: estratégias eficazes com recursos limitados

Pedro Jorge Viana

Além dos Algoritmos. Arquitetos da Inteligência Criativa

Joana Teixeira
Ver mais

Relacionados