Digital Inside
A Cisco publicou o seu último relatório de resposta a incidentes, com base na atividade registada pela Cisco Talos Incident Response (Talos IR) durante o terceiro trimestre de 2025. O documento oferece um instantâneo do comportamento recente dos criminosos, tanto nas famílias de malware utilizadas como nos vetores de entrada mais comuns e nos setores mais afetados.
No terceiro trimestre de 2025, os incidentes de ransomware geridos pela Cisco Talos diminuíram para um quinto dos casos, em comparação com metade do trimestre anterior, embora o relatório sublinhe que a ameaça continua a ser persistente. A divisão de ciberinteligência da empresa adverte que esta descida não deve ser interpretada como uma tendência consolidada a longo prazo, uma vez que o ransomware continua a figurar entre os riscos mais constantes para as organizações.
A Talos identifica neste período três novas variantes de ransomware, denominadas Warlock, Babuk e Kraken, que se juntam a famílias já conhecidas como Qilin e LockBit. O Qilin, detetado pela primeira vez no início deste ano, intensificou a sua atividade nos últimos meses e o relatório antecipa que continuará a representar um risco significativo para as organizações.
Paralelamente, um dos incidentes de malware investigados durante o trimestre é atribuído ao grupo Storm-2603, que se considera operacional a partir da China. Neste caso, os atacantes recorreram ao Velociraptor, uma ferramenta de segurança legítima concebida para proporcionar maior visibilidade sobre computadores e redes. O relatório detalha que os responsáveis pelo ataque utilizaram o Velociraptor para recolher dados dos sistemas comprometidos, monitorizar a atividade e manter o controlo após a intrusão.
Para além da tipologia do malware, o relatório centra-se na forma como os incidentes são iniciados. Mais de 60% dos incidentes analisados tiveram origem na exploração de aplicações expostas à Internet, contra 10% no trimestre anterior, impulsionados por uma onda de ataques que aproveitaram vulnerabilidades em servidores Microsoft SharePoint locais através da cadeia de ataque ToolShell. Neste contexto, o termo «aplicações públicas» abrange qualquer serviço ou programa acessível através da Internet, como sites corporativos, serviços de e-mail ou APIs abertas ao exterior.
A Talos associa este aumento a uma onda específica de ataques que exploravam vulnerabilidades recentemente divulgadas em servidores Microsoft SharePoint instalados nas próprias instalações das organizações. Estas vulnerabilidades foram integradas numa cadeia de ataque conhecida como ToolShell, que permitiu aos atacantes aceder aos sistemas através dos serviços expostos.
A análise também destaca a rapidez com que determinados grupos reagem quando as chamadas vulnerabilidades de dia zero são tornadas públicas. No caso do ToolShell, a primeira exploração documentada ocorreu um dia antes do aviso oficial da Microsoft, e a maioria dos incidentes geridos pela Talos concentrou-se nos dez dias seguintes à publicação desse aviso. Este comportamento reforça a ideia de que o tempo disponível para implementar medidas de mitigação após a divulgação de uma vulnerabilidade crítica é limitado.
Além do aproveitamento de falhas recém-divulgadas, o relatório indica que uma parte relevante dos incidentes continua ligada a sistemas que não foram atualizados. Cerca de 15% dos casos registados durante o trimestre envolveram infraestruturas sem patches, o que, segundo a Talos, sublinha a importância de aplicar atualizações de segurança rapidamente e de acompanhar esta prática com uma segmentação adequada da rede para limitar o movimento do atacante em caso de intrusão.
O setor público e a autenticação multifator no foco dos atacantes
O relatório também apresenta mudanças no perfil das vítimas mais frequentes. Pela primeira vez desde 2021, as organizações governamentais, especialmente as administrações locais responsáveis por serviços como educação e saúde, foram os alvos mais comuns dos incidentes geridos pela Cisco Talos. Estas entidades prestam serviços considerados críticos, mas geralmente operam com orçamentos limitados e infraestruturas tecnológicas que, em muitos casos, são obsoletas, o que aumenta a sua exposição ao risco.
A Talos detalha que tanto atores com motivação económica como um grupo de ameaças persistentes avançadas (APT) ligado à Rússia dirigiram os seus ataques principalmente contra governos locais. Esta combinação de atacantes com objetivos financeiros e grupos com possíveis motivações estratégicas reforça a pressão sobre o setor público, especialmente em níveis de administração que podem dispor de menos recursos para reforçar as suas capacidades de defesa.
No âmbito da autenticação, o documento identifica outra tendência notável. Quase um terço dos incidentes envolveu técnicas para contornar ou explorar a autenticação multifator, desde o bombardeamento de solicitações de login até a exploração de configurações fracas, o que leva a Talos a concluir que ativar a MFA por si só não é suficiente. Entre as técnicas observadas está a chamada “inundação de MFA”, que consiste em enviar várias solicitações de autenticação ao utilizador com o objetivo de que ele aceite alguma delas por engano ou exaustão. Assim como o aproveitamento de fraquezas na forma como a autenticação multifator está configurada em determinados ambientes.
Com base nessas descobertas, a Talos defende que as organizações não devem se limitar a habilitar mecanismos de autenticação multifator, mas complementar essa medida com uma supervisão ativa da atividade de login para detetar comportamentos anômalos e com políticas robustas de MFA. O relatório insiste, além disso, que a defesa contra ameaças em evolução requer priorizar a aplicação rápida de patches, reforçar a segmentação da rede e melhorar o registo de acessos, para que as equipas de segurança possam reconstruir o que aconteceu e responder com maior eficácia a um incidente.
