Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões do ZDNET
- Picus Labs divulgou um relatório que classifica as técnicas MITRE ATT&CK.
- De acordo com o relatório, a criptografia de ransomware está em declínio.
- Subir na hierarquia é um malware que se finge de morto até estar pronto para atacar.
Em seu Crimson Report anual, um conjunto de pesquisas que analisa técnicas de invasores do mundo actual usando dados de simulação de ataques em grande escala, o Picus Labs alerta os profissionais de segurança cibernética que os agentes de ameaças estão mudando rapidamente da criptografia de ransomware para a extorsão de “sleeperware” parasitas como meio de saquear organizações em milhões de dólares por ataque.
Tomando a perspectiva do adversário
Lançado hoje e agora em seu sexto ano, o Crimson Report de 278 páginas recebe o nome de exercícios de segurança cibernética organizados pela Picus que adotam a perspectiva da equipe do invasor, também conhecida como “equipe vermelha”.
Também: Os melhores serviços VPN (e como escolher o certo para você)
O nome remete a jogos de guerra e outros exercícios militares simulados, onde o chamado time vermelho desempenha o papel de adversário enquanto o time azul defende. O relatório adota a perspectiva do adversário através da Estrutura MITRE ATT&CKum catálogo constantemente atualizado de técnicas exclusivas que os agentes de ameaças do mundo actual usam para executar seus ataques.
Por exemplo, quando um agente de ameaça criptografa os sistemas de uma organização – essencialmente congelando a organização de sua própria tecnologia de informação até que um resgate seja pago – o ID exclusivo da técnica MITRE ATT&CK que descreve essa abordagem é T1486.
Com base em sua análise de mais de um milhão de arquivos maliciosos e 15 milhões de ações adversárias observadas em 2025, o Picus Labs classifica como os agentes de ameaças confiam nas diferentes técnicas MITRE ATT&CK e, em seguida, observa como essas técnicas estão tendendo para cima ou para baixo em comparação com anos anteriores.
Além disso: como bloquear seu iPhone ao extremo – para que nem mesmo o FBI consiga entrar
De acordo com o Picus Labs, 2025 foi marcado por um “aumento massivo” de uma forma incrivelmente paciente de malware que, por meio de uma combinação de técnicas, pode essencialmente se fingir de morto, evitando a detecção e atacando apenas quando as oportunidades certas se apresentam. Enquanto isso, como técnica preferida dos agentes de ameaças, esse aumento na classificação ocorreu às custas da criptografia do ransomware.
Mudando da criptografia para a extorsão
“Na última década, a principal preocupação dos CISOs foi a interrupção dos negócios causada por ransomware. Em 2026, o perfil de risco se inverteu”, observou o relatório.
“Os dados mostram um declínio estatístico massivo na implantação de cargas úteis de ransomware. Em 2025, Dados criptografados para impacto (T1486) [aka ransomware decryption] apareceu em 21,00% das amostras; em 2026, caiu para 12,94%. Isto representa uma diminuição relativa de 38%. Esta queda acentuada fornece provas concretas de que os agentes de ameaças estão a mudar o seu modelo de negócio do ‘bloqueio de dados’ (encriptação) para o “roubo de dados” (extorsão) para manter o hospedeiro vivo para exploração a longo prazo.”
O relatório também disse que “o domínio da Injeção de Processo (T1055) sinaliza que os invasores estão priorizando o tempo de permanência em vez da destruição. O objetivo não é mais derrubar seus sistemas, roubar e sair, mas sim invadi-los e habitá-los sem ser notado.”
Também: Os melhores serviços VPN para iPhone e iPad (sim, você precisa usar um)
De acordo com o relatório, as três principais técnicas MITRE ATT&CK permaneceram inalteradas desde 2024, com Course of Injection em primeiro lugar, à frente de Command and Scripting Interpreter (T1059) e credenciais de armazenamentos de senhas (T1555). No entanto, talvez a mudança mais notável na classificação tenha sido o aumento da Virtualização/Evasão de Sandbox (T1497) para a quarta posição.
A ascensão do parasita digital
“Virtualização e Evasão de Sandbox (T1497) subiu para a quarta técnica ATT&CK classificada à medida que o malware sensível ao contexto aprende a detectar ambientes de análise (por exemplo, sandboxes) por meio de verificações de artefatos, tempo e padrões de interação do usuário”, disse o relatório.
“Muitas amostras agora se recusarão a ser executadas quando observadas. Os arquivos podem passar por gateways automatizados e serem ativados apenas na produção, criando uma perigosa e falsa sensação de segurança.”
“O que estamos observando é a ascensão do parasita digital”, disse o cofundador e vice-presidente do Picus Labs, Dr. Süleyman Özarslan, em um comunicado preparado.
“Os invasores perceberam que é mais lucrativo habitar o host do que destruí-lo. Eles estão se incorporando em ambientes, usando identidades confiáveis e até mesmo {hardware} físico para se alimentar do acesso enquanto permanecem operacionalmente invisíveis.
Além disso: 7 aplicativos que uso para bloquear, criptografar e armazenar meus arquivos privados – e a maioria é gratuita
Özarslan disse à ZDNET: “Em muitos casos, os invasores usam credenciais roubadas para fazer login como um usuário regular, o que lhes permite escapar dos controles de segurança. A próxima coisa que fazem é entrar em locais que a conta já pode alcançar – e-mail, unidades compartilhadas, aplicativos em nuvem, RH ou sistemas financeiros – sem disparar alarmes porque nada parece incomum.
“Em vez de pegar tudo de uma vez, eles tendem a pegar pequenas quantidades de dados valiosos ao longo do tempo e ficar quietos. Quando têm o suficiente, eles voltam com provas do que acessaram – arquivos, registros ou amostras específicos – e usam a ameaça de expor esses dados como vantagem. A criptografia de sistemas ainda pode acontecer, mas muitas vezes não é mais o primeiro passo.”
As descobertas do Crimson Report estão alinhadas com as previsões para 2026 de outros pesquisadores de segurança cibernética. Conforme observado nas 10 principais ameaças à segurança cibernética previstas pela ZDNET para 2026, os pesquisadores esperam uma evolução da criptografia de ransomware para formas mais sofisticadas de extorsão.
“Em vez de apenas criptografar sistemas, o ransomware mudará para uma dinâmica maior de roubo, manipulação e ameaça de vazamento ou alteração de dados confidenciais, visando backups, serviços em nuvem e cadeias de suprimentos”, disse o diretor do Grupo NCC, Nigel Gibbons.
Também: Como alterar seu endereço IP com uma VPN (e por que você deveria)
O relatório oferece um conjunto detalhado de recomendações que os profissionais de segurança cibernética devem seguir para melhor se defenderem contra esse sleeperware parasita e outras ameaças de alto escalão.
Embora a criptografia do ransomware tenha caído do sexto para o décimo lugar no rating, ainda é uma ameaça significativa. Conforme observado no relatório dos 10 principais mencionados da ZDNET, pesquisar da Cybersecurity Ventures prevê que o custo complete international dos danos causados por ransomware aumentará em 30%, de US$ 57 bilhões em 2025 para US$ 74 bilhões em 2026.
De acordo com o Crimson Report, “Mesmo com o declínio da criptografia, os backups continuam críticos para a recuperação de ataques destrutivos de limpeza. Garanta que os backups sejam imutáveis e isolados da rede principal.” O Relatório Vermelho é disponível para download do website do Picus Labs.
