Relatório da Fortinet revela aumento recorde de ataques cibernéticos automatizados

A Fortinet, empresa global de segurança cibernética, apresentou nesta segunda-feira (28/4) os resultados do seu Relatório do Cenário Global de Ameaças de 2025 da FortiGuard Labs. O relatório anual mais recente é um instantâneo do cenário de ameaças ativas e das tendências de 2024, incluindo uma análise abrangente de todas as táticas usadas em ataques cibernéticos, conforme descrito na estrutura Mitre ATT&CK. Os dados revelam que os agentes de ameaças estão aproveitando cada vez mais a automação, as ferramentas comoditizadas e a IA para corroer sistematicamente as vantagens tradicionais dos defensores.

“Nosso último Relatório do Cenário Global de Ameaças deixa uma coisa clara: os cibercriminosos estão acelerando seus esforços, usando IA e automação para operar em velocidade e escala sem precedentes. O manual de segurança tradicional não é mais suficiente. As organizações devem mudar para uma estratégia de defesa proativa e orientada por inteligência, alimentada por IA, confiança zero e gerenciamento contínuo de exposição a ameaças para se manterem à frente do cenário de ameaças em rápida evolução de hoje”, disse Derek Manky, estrategista-chefe de Segurança e vice-presidente global de Inteligência de Ameaças da Fortinet FortiGuard Labs.

As principais descobertas do último Relatório Global de Cenário de Ameaças do FortiGuard Labs incluem:

A varredura automatizada atinge níveis recordes à medida que os invasores se deslocam para a esquerda para identificar os alvos expostos antecipadamente. Para capitalizar as vulnerabilidades recém-descobertas, os cibercriminosos estão implementando a verificação automatizada em escala global. A varredura ativa no ciberespaço atingiu níveis sem precedentes em 2024, aumentando 16,7% em todo o mundo ano a ano, destacando uma coleção sofisticada e massiva de informações sobre a infraestrutura digital exposta. O FortiGuard Labs observou bilhões de varreduras a cada mês, o que equivale a 36.000 varreduras por segundo, revelando um foco intensificado no mapeamento de serviços expostos, como SIP e RDP e protocolos OT/IoT como Modbus TCP.

Os mercados da Darknet facilitam o acesso a kits de exploração bem embalados. Em 2024, os fóruns de cibercriminosos operaram cada vez mais como mercados sofisticados para kits de exploração, com mais de 40.000 novas vulnerabilidades adicionadas ao Banco de Dados Nacional de Vulnerabilidades, um aumento de 39% em relação a 2023. Além das vulnerabilidades de dia zero que circulam na darknet, os corretores de acesso inicial estão oferecendo cada vez mais credenciais corporativas (20%), acesso RDP (19%), painéis de administração (13%) e Web Shells (12%). Além disso, o FortiGuard Labs observou um aumento de 500% no ano passado nos logs disponíveis em sistemas comprometidos por malware infostealer, com 1,7 bilhão de registros de credenciais roubados compartilhados nesses fóruns clandestinos.

O cibercrime alimentado por IA está crescendo rapidamente. Os agentes de ameaças estão aproveitando a IA para aumentar o realismo do phishing e evitar os controles de segurança tradicionais, tornando os ataques cibernéticos mais eficazes e difíceis de detectar. Ferramentas como FraudGPT, BlackmailerV3 e ElevenLabs estão alimentando campanhas mais escaláveis, críveis e eficazes, sem as restrições éticas das ferramentas de IA disponíveis publicamente.
Ataques direcionados a setores críticos se intensificam. Setores como manufatura, saúde e serviços financeiros continuam a experimentar um aumento nos ataques cibernéticos personalizados, com adversários implantando explorações específicas do setor. Em 2024, os setores mais visados foram manufatura (17%), serviços empresariais (11%), construção (9%) e varejo (9%). Tanto os atores do estado-nação quanto os operadores de Ransomware-as-a-Service (RaaS) concentraram seus esforços nessas verticais, com os Estados Unidos arcando com o peso dos ataques (61%), seguidos pelo Reino Unido (6%) e Canadá (5%).

Os riscos de segurança na Nuvem e na IoT aumentam. Os ambientes de Nuvem continuam a ser um dos principais alvos, com adversários explorando pontos fracos persistentes, como buckets de armazenamento abertos, identidades com excesso de permissão e serviços mal configurados. Em 70% dos incidentes observados, os invasores obtiveram acesso por meio de logins de regiões desconhecidas, destacando o papel crítico do monitoramento de identidade na defesa da Nuvem.

As credenciais são a moeda do crime cibernético. Em 2024, os cibercriminosos compartilharam mais de 100 bilhões de registros comprometidos em fóruns clandestinos, um aumento de 42% ano a ano, impulsionado em grande parte pelo aumento de “listas combinadas” contendo nomes de usuário, senhas e endereços de e-mail roubados. Mais da metade das postagens da darknet envolviam bancos de dados vazados, permitindo que os invasores automatizassem ataques de preenchimento de credenciais em escala. Grupos conhecidos como BestCombo, BloddyMery e ValidMail foram os grupos cibercriminosos mais ativos durante esse período e continuam a reduzir a barreira de entrada empacotando e validando essas credenciais, alimentando um aumento nas invasões de contas, fraudes financeiras e espionagem corporativa.

Fortalecendo as defesas cibernéticas contra ameaças emergentes

O Relatório Global de Cenário de Ameaças da Fortinet fornece detalhes valiosos sobre as táticas e técnicas mais recentes dos invasores, além de fornecer recomendações prescritivas e insights acionáveis. Projetado para capacitar CISOs e equipes de segurança, o relatório oferece estratégias para combater os agentes de ameaças antes que eles ataquem, ajudando as organizações a se manterem à frente das ameaças cibernéticas emergentes.

O relatório deste ano inclui um “Manual do CISO para Defesa do Adversário” que destaca algumas áreas estratégicas para se concentrar:

Mudança da detecção tradicional de ameaças para o gerenciamento contínuo de exposição a ameaças: essa abordagem proativa enfatiza o gerenciamento contínuo da superfície de ataque, a emulação do comportamento do adversário no mundo real, a priorização de correção baseada em risco e a automação das respostas de detecção e defesa. A utilização de ferramentas de simulação de violação e ataque (BAS) para avaliar regularmente as defesas de endpoint, rede e nuvem contra cenários de ataque do mundo real garante resiliência contra movimento lateral e exploração.

Simulando ataques do mundo real: conduza exercícios de emulação de adversários, equipes vermelhas e roxas e aproveite o Mitre ATT&CK para testar defesas contra ameaças como ransomware e campanhas de espionagem.

Reduzindo a exposição da superfície de ataque: implemente ferramentas de gerenciamento de superfície de ataque (ASM) para detectar ativos expostos, credenciais vazadas e vulnerabilidades exploráveis enquanto monitora continuamente os fóruns da darknet em busca de ameaças emergentes.

Priorização de vulnerabilidades de alto risco: concentre os esforços de correção em vulnerabilidades discutidas ativamente por grupos de crimes cibernéticos, aproveitando estruturas de priorização baseadas em risco, como EPSS e CVSS, para um gerenciamento eficaz de patches.

Aproveitando a inteligência da Dark Web: monitore os mercados da darknet em busca de serviços emergentes de ransomware e acompanhe os esforços de coordenação hacktivista para mitigar preventivamente ameaças como DDoS e ataques de desfiguração da Web.