Relatório M‑Trends 2026: os ataques evoluem, mas as causas raiz permanecem as mesmas

A Mandiant lançou seu relatório M‑Trends 2026, baseado em mais de 500.000 horas de investigações de incidentes realizadas em todo o mundo em 2025. O relatório completo pode ser lido através do link fornecido (ou baixando o arquivo em anexo); abaixo estão as descobertas mais notáveis.

Para começar, aqui estão algumas estatísticas chave:

📌 O tempo médio de permanência dentro da infraestrutura comprometida aumentou de 11 para 14 dias; para casos de ciberespionagem, pode chegar a até quatro meses. 📌 O tempo médio estimado para exploração caiu para –7 dias: as vulnerabilidades são rotineiramente exploradas antes de um patch ou divulgação pública. 📌 O vetor de acesso inicial mais comum é a exploração de vulnerabilidades (32%), seguido por phishing de voz (17%). 📌 Em 52% dos casos, as organizações detectaram atividade maliciosa por conta própria (acima de 43%), indicando monitoramento interno melhorado. 📌 As indústrias mais visadas são alta tecnologia (17%) e finanças (14,6%).

Principais tendências observadas em 2025:

🔹 Especialização de funções dentro do ecossistema cibercriminoso. Alguns grupos focam em obter acesso inicial, enquanto outros expandem a intrusão e infligem o dano principal (por exemplo, implantando ransomware). O tempo para transferir acesso dos primeiros grupos para os segundos caiu de mais de oito horas (2022) para 22 segundos (2025). Isso muitas vezes se deve a corretores entregando automaticamente malware de outro grupo na infraestrutura da vítima em vez de vender acesso em fóruns.

🔹 Mudança de ataques por email para fraude baseada em voz. O phishing por email declined para 6% graças ao aprimoramento da filtragem automatizada de emails. Os atacantes dependem cada vez mais de phishing de voz (ou vishing), o que permite ataques mais interativos.

🔹 Ataques à infraestrutura de backup. Além da exfiltração para extorsão — previamente discutida em posts anteriores — operadores de ransomware agora comprometem mais frequentemente sistemas de virtualização, visam serviços de identidade e excluem backups para prevenir recuperação.

🔹 Estratégias divergentes: velocidade vs. persistência. Cibercriminosos comuns estão acelerando suas operações, enquanto grupos APT estão focando em persistência. Eles infectam dispositivos de rede com malware resiliente a reinicializações e outras medidas padrão de remediação.

🔹 IA como multiplicador de ataques. Tanto atores de ameaças afiliados ao estado quanto motivados financeiramente estão usando modelos de linguagem grandes (LLMs) para acelerar ataques e permitir engenharia social hiperpersonalizada.

Pesquisadores observam que, apesar dos avanços tecnológicos e do uso ativo de IA, a maioria dos incidentes ainda deriva de erros sistemáticos de configuração e do fator humano. Isso significa que, ao se adaptar a novas condições (como a janela de tempo para exploração encolhendo), as organizações não devem negligenciar medidas fundamentais como desenvolvimento seguro, monitoramento e treinamento de funcionários — estes permanecem determinantes chave de resiliência contra ataques.