Atacantes precisam de apenas 29 minutos para assumir o controle de uma rede

Atacantes precisam de apenas 29 minutos para assumir o controle de uma rede.

O uso indevido de credenciais, ferramentas de IA e pontos cegos de segurança ajudam os invasores a se movimentarem por redes comprometidas mais rapidamente do que nunca, segundo pesquisa da CrowdStrike.

Em 2025, os cibercriminosos precisariam de menos tempo para passar de uma invasão a uma movimentação lateral em uma rede do que o tempo necessário para assistir a um episódio típico de uma série de comédia.

Uma análise feita pela CrowdStrike sobre a atividade de ameaças no ano passado constatou que os atacantes levavam, em média, apenas 29 minutos para migrar para outros sistemas após obterem acesso inicial ao ambiente da vítima, o que representa uma aceleração de 65% em relação ao ano anterior.

A “invasão” mais rápida, como a CrowdStrike a denominou, ocorreu em meros 27 segundos, enquanto em outro caso um invasor começou a extrair dados quatro minutos após a invasão. “A velocidade agora é a característica definidora da intrusão e remodelou fundamentalmente a forma como os adversários evitam a detecção”, afirmou a CrowdStrike na edição de 2026 do seu “Relatório Global de Ameaças”. Para os defensores, isso significa que o tempo disponível para detectar e responder a uma intrusão caiu drasticamente, sendo reduzido a uma fração do que era há poucos anos, e está diminuindo ainda mais.

A estatística sobre o tempo de escape foi a descoberta “mais alarmante” do relatório, afirma Adam Meyers, vice-presidente sênior de operações de contra-ataque da CrowdStrike. “Há apenas alguns anos, o tempo médio de escape era de 62 minutos. Com o impacto que a IA teve ao longo do último ano, acredito que isso criou uma situação em que há mais oportunidades para que esse processo seja ainda mais rápido”, diz ele. “Os defensores são os que realmente sofrem as consequências.”

Por que os atacantes estão se movendo tão rápido?

Diversos fatores convergentes parecem ter impulsionado a aceleração drástica na velocidade dos ataques . O principal deles foi o abuso generalizado de credenciais legítimas, o que permitiu que os atacantes se misturassem ao tráfego de rede normal e contornassem muitos controles de segurança tradicionais. Em 35% dos incidentes relacionados à nuvem investigados pela CrowdStrike, os atacantes usaram credenciais de contas válidas para se movimentarem livremente nos ambientes das vítimas sem gerar nenhum alerta.

Em vez de tentarem ultrapassar as defesas corporativas usando malware e exploits, os atacantes frequentemente se infiltravam nos ambientes-alvo, personificando pessoas, sistemas, integrações de Software como Serviço (SaaS) e softwares confiáveis. Não surpreendentemente, impressionantes 82% das detecções de ameaças da CrowdStrike em 2025 estavam livres de malware, o que significa que “as intrusões ocorreram por meio de caminhos autorizados e sistemas confiáveis, misturando-se à atividade normal”, segundo a empresa.

“Os agentes maliciosos estão explorando a identidade de forma mais eficaz”, não apenas para o acesso inicial, mas também para se movimentarem entre ambientes de nuvem, SaaS, locais e virtuais, afirma Meyers. Em ambientes de nuvem, especialmente onde os ataques aumentaram 37%, os invasores frequentemente usavam credenciais de login único (SSO) para obter acesso inicial e, em seguida, migravam rapidamente para ambientes virtuais e dispositivos de rede. “Os adversários estão se movendo em uma velocidade incrível em todos os níveis”, diz Meyers.

O problema dos dispositivos não gerenciados

Dispositivos não gerenciados em redes corporativas, a maioria dos quais carece de controles típicos de detecção e resposta de endpoints (EDR), também representam um grande atrativo para invasores. Dispositivos nessa categoria incluem VPNs e firewalls, dispositivos pessoais de funcionários, webcams, aplicativos de terceiros e máquinas virtuais. Esses dispositivos não gerenciados foram um alvo particularmente privilegiado para grupos de ameaças cibernéticas apoiados pela China, como Blockade Spider, Punk Spider e Scattered Spider .

“A China tem investido na capacidade de atacar dispositivos não gerenciados” e se tornou “extremamente eficaz” nisso, disse Meyers. Grande parte disso é resultado de esforços sistemáticos do governo e das forças armadas chinesas para trabalhar com pesquisadores de segurança, acadêmicos e o setor civil a fim de encontrar e coletar vulnerabilidades em dispositivos de rede que as organizações não conseguem detectar ou sobre os quais não têm controle adequado. Além de encontrar novas vulnerabilidades, os agentes chineses também têm se concentrado obstinadamente em acelerar o tempo de exploração de vulnerabilidades recém-divulgadas, com o objetivo de reduzir esse tempo para dois dias, afirma ele.

IA como arma e superfície de ataque

Entretanto, a IA tornou-se tanto uma arma quanto um alvo para cibercriminosos. Um número crescente de agentes maliciosos, incluindo o crime organizado e atores estatais, utilizou IA para acelerar o reconhecimento, gerar conteúdo de phishing, desenvolver exploits, evadir defesas e solucionar problemas em ferramentas e técnicas de ataque existentes em tempo real. O relatório da CrowdStrike identificou entidades como o grupo de ransomware Punk Spider, o Famous Chollima da Coreia do Norte e o Fancy Bear da Rússia entre aquelas que fazem uso intensivo de IA em suas atividades. No geral, os atacantes que mais utilizaram IA em 2025 aumentaram o número de ataques realizados em impressionantes 89% em relação ao ano anterior.

Pelo menos parte do uso de IA entre os adversários parecia ser de natureza experimental. O grupo Fancy Bear, por exemplo, lançou um malware chamado LameHug em meados de 2025 que incorporava um modelo de linguagem amplo (LLM, na sigla em inglês) para reconhecimento e coleta de informações. Embora inovador, o CrowdStrike descobriu que o malware não era funcionalmente muito diferente das ferramentas de ataque tradicionais, levando a empresa a acreditar que o Fancy Bear provavelmente estava apenas experimentando técnicas de IA em vez de implementá-las completamente. “Acho que ainda estamos nos estágios iniciais da IA”, observa Meyers.

Mas a IA não era apenas parte do conjunto de ferramentas do atacante. “Ela também fazia parte da superfície de ataque” para os adversários, afirma Meyers. Muitos agentes de ameaças visavam novas vulnerabilidades resultantes da crescente integração de ferramentas e plataformas de IA em operações empresariais, fluxos de trabalho de negócios e pipelines de desenvolvimento de software. A vulnerabilidade CVE-2025-3248 , no Langflow, uma plataforma de baixo código para criar e implantar aplicativos com IA, foi um alvo particularmente privilegiado. Os atacantes a exploraram para roubar credenciais, estabelecer persistência em ambientes comprometidos e implantar ransomware e outros malwares.

Os agentes maliciosos também experimentaram ataques de injeção de prompts LLM para tentar minar os fluxos de trabalho de segurança habilitados por IA e passaram a explorar o uso crescente — e em grande parte não verificado — de servidores de protocolo de contexto de modelo (MCP) em ambientes corporativos. No primeiro caso conhecido desse tipo, um agente malicioso publicou no ano passado uma versão falsificada de um servidor MCP legítimo do Postmark para coletar e-mails contendo chaves de API, senhas, informações financeiras e outros dados confidenciais de organizações que o baixaram do registro npm.

Em pelo menos 90 organizações, a CrowdStrike observou invasores injetando mensagens maliciosas em plataformas legítimas de IA generativa para roubar credenciais e criptomoedas. Em outros casos, os adversários exploraram vulnerabilidades em plataformas de desenvolvimento de software com IA para implantar malware, estabelecer persistência e interceptar dados, personificando serviços confiáveis. Os modelos de IA que a CrowdStrike observou serem discutidos com mais frequência por agentes de ameaças em fóruns clandestinos incluíam muitas das mesmas plataformas que as organizações usam atualmente, como ChatGPT, Claude, Grok e Gemini.