Há muito que a segurança perimetral deixou de ser a única barreira entre as nossas empresas e os atacantes, mas o que está a mudar com força é a forma como estes atores conseguem entrar: já não dependem tanto de explorar novas falhas técnicas como de aproveitar acessos e ferramentas que as próprias organizações consideram legítimas. Esse giro, documentado no relatório anual de uma assinatura de resposta a incidentes, obriga a repensar como medimos o risco e o que controlamos dentro da rede.
Os pontos de acesso remoto e os utilitários administrativos confiáveis tornaram-se vetor principal de intrusão. Em muitos exemplos analisados por equipes de resposta, os atacantes conseguiram sessões válidas — muitas vezes através de VPNs ou agentes de gestão remota — e se moveram lateralmente como se fossem administradores legítimos. Essa estratégia explora precisamente a confiança que rodeia essas ferramentas: uma sessão VPN ou uma conexão RMM ativa geralmente parece normal para os controles e para os operadores, o que permite aos intrusos atingir sistemas críticos sem gerar alarmes imediatos.
O abuso de ferramentas de administração remota não é uma história isolada. Existem múltiplas pesquisas públicas e guias que alertam sobre como os atores maliciosos instalam ou reutilizam soluções de monitoramento e gestão para manter persistência e operar com aparência legítima. Essa realidade sublinha a necessidade de um inventário claro de que agentes estão autorizados e de submeter esses instrumentos a supervisão e políticas rigorosas, como recomendam as agências de segurança pública e os quadros de boas práticas.
A engenharia social continua a ser a via mais eficaz para abrir portas. Longe de procurar vulnerabilidades em código, muitos grupos conseguem que um usuário faça uma ação aparentemente inocua: seguir um link, executar um comando ou colar uma instrução em um quadro de execução do sistema. Algumas campanhas disfarçam-se de passos de verificação visual —capchas ou controles de "clic para verificar" — e acabam instruindo a vítima a introduzir comandos no Windows ou outros consoles, permitindo que o atacante use as mesmas ferramentas do sistema para executar a sua cadeia de ataque.
Essa abordagem apoia-se no que a comunidade de segurança denomina "living off the land" — aproveitar binários e utilitários presentes por defeito nos sistemas — e é especialmente difícil de detectar se a organização não monitoriza adequadamente o uso legítimo versus o malicioso desses utilitários. A Microsoft mantém documentos e alertas sobre esses binários e scripts que são frequentemente usados em intrusões, e por isso a visibilidade sobre sua execução é fundamental para distinguir um processo administrativo de uma manobra maliciosa: Microsoft - Living off the land binaries.
No ambiente cloud, a autenticação multifator impediu muitas tentativas de acesso direto, mas não acabou com as invasões. Os atacantes conseguiram capturar sessões já autenticadas e reutilizá-las, um método que, desde a perspectiva da plataforma cloud, parece uma sessão legítima. Essa técnica evidencia que, além de exigir múltiplos fatores, as organizações devem monitorar as sessões ativas e aplicar controles que avaliem o risco da sessão em andamento, não só o sucesso da autenticação inicial.
A defesa deve mover-se da prevenção absoluta à detecção e gestão do risco contextual. Proteger o acesso remoto implica mais do que fechar portos: requer políticas que ponderem a sensibilidade da sessão, o estado do dispositivo desde o qual se acessa e o contexto geográfico ou de rede. Os princípios da arquitetura de confiança zero e dos controlos condicionais são ferramentas relevantes para isso, e os documentos técnicos de referência oferecem marcos para implantar essas ideias em ambientes heterogêneos: NIST SP 800-207 - Zero Trust.
Não há soluções mágicas, mas medidas que reduzem significativamente a superfície de risco. Entre elas estão a gestão rigorosa de que soluções RMM estão autorizadas e a eliminação de agentes obsoletos, a limitação de execuções de diretórios com permissões de usuário, e a implementação de controles de acesso condicional que considerem a postura do dispositivo e o risco da sessão. Os guias oficiais e as agências de cibersegurança públicas recolhem essas abordagens como melhores práticas para proteger acessos remotos: CISA - Securing Remote Access e CISA - Multi-Factor Authentication.
Além disso, é imprescindível aumentar a telemetria e a correlação entre camadas. Um sistema de detecção que só vê tentativas de exploração técnica pode ignorar um atacante que se move com credenciais válidas; por isso, os equipamentos de segurança devem integrar logs de autenticação, conexões VPN e ferramentas RMM com informações de detecção de endpoints e tráfego de rede. Essa visão combinada facilita ver as traços que revelam movimentos laterais ou reutilização de sessões.
A formação e o treinamento do pessoal continuam sendo um pilar: quando o vetor é social, reduzir a probabilidade de alguém executar instruções suspeitas obra uma grande diferença. Mas a formação deve ser acompanhada de processos que tornem difícil uma acção quotidiana, por exemplo, limitar privilégios por defeito e validando pedidos administrativos sensíveis através de canais secundários.
Outro ponto a considerar é a adoção de mecanismos de autenticação resistentes ao phishing. As organizações que migram para soluções baseadas em chaves ou normas de autenticação não susceptíveis de serem replicadas em páginas falsas (por exemplo, FIDO/WebAuthn) aumentam a barreira para campanhas que capturam credenciais ou tokens: FIDO Alliance.
Por último, os incidentes recentes mostram que os atacantes procuram misturar-se com o ruído da rede: usam canais de comunicação que assemelham tráfego legítimo e desenvolvem implantes que pivotam com métodos modernos como WebSockets para permanecer ativos sem chamar a atenção. Essa sofisticação exige que as equipes de resposta atualizem suas regras de detecção e ampliem seus cenários de análise, e também que as organizações compartilhem informações sobre técnicas emergentes em fóruns profissionais e com provedores de segurança.
Se você quiser rever exemplos concretos e dados agregados sobre estas tendências, a assinatura que analisou milhares de pesquisas celebra uma sessão em que irá desgranar casos práticos e recomendações; o convite e o relatório associado estão disponíveis na página do organizador: Blackpoint Cyber - Inside the SOC (registro).
Em síntese, a paisagem de ameaças atual nos obriga a olhar com suspeita aquilo que sempre dimos por bom: as ferramentas de acesso remoto e as ações rotineiras dos usuários. A defesa moderna combina políticas que limitam o risco, controlos técnicos que aumentam a dificuldade de abuso e uma visibilidade integrada que permite detectar comportamentos anormais antes de uma sessão legítima se tornar um ponto de partida para um compromisso maior.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...