O acesso remoto e as ferramentas administrativas confiáveis desempenham um papel central na forma como as organizações operam hoje. De acordo com o Relatório Anual de Ameaças de 2026 da Blackpoint Cyber, eles também são cada vez mais fundamentais para o início das invasões.
Baseado na análise de milhares de investigações de segurança realizadas durante o período do relatório, o relatório destaca uma mudança no comportamento dos invasores. Em vez de confiar principalmente na exploração de vulnerabilidades, os agentes de ameaças frequentemente obtiveram acesso usando credenciais válidas, ferramentas legítimas e ações rotineiras orientadas pelo usuário.
O relatório examina esses padrões, documenta onde a atividade de intrusão foi interrompida e apresenta prioridades defensivas derivadas dos resultados analisados de resposta a incidentes observados ao longo de 2025.
Dados adicionais e orientações sobre incidentes serão abordados durante um próximo webinar ao vivo organizado pela Blackpoint Cyber.
Principais conclusões do Relatório Anual de Ameaças de 2026
Os invasores estão entrando por caminhos de acesso legítimos
Em todos os incidentes analisados no relatório, os invasores eram mais propensos a fazer login usando acesso legítimo do que a explorar vulnerabilidades como ponto de entrada principal.
O abuso de VPN SSL foi responsável por 32,8% de todos os incidentes identificáveis, tornando-se um dos vetores de acesso inicial mais comuns. Em muitos casos, os agentes de ameaças autenticaram-se usando credenciais válidas, mas comprometidas, resultando em sessões VPN que pareciam legítimas aos controles de segurança.
Uma vez estabelecido o acesso, essas sessões geralmente proporcionavam amplo alcance interno, permitindo que os invasores avançassem rapidamente em direção a sistemas de alto valor sem acionar alertas imediatamente.
Ferramentas de TI confiáveis estão sendo usadas contra organizações
O relatório também documenta o abuso frequente de ferramentas legítimas de monitorização e gestão remota como método de acesso e persistência.
O abuso de RMM apareceu em 30,3% dos incidentes identificáveis, com o ScreenConnect presente em mais de 70% dos casos de RMM não autorizados. Como essas ferramentas são comumente usadas para administração de TI padrão, as instalações não autorizadas muitas vezes pareciam atividades esperadas e eram difíceis de distinguir sem forte visibilidade.
O relatório observa que os ambientes com múltiplas ferramentas de acesso remoto em uso eram mais propensos a ver instâncias não autorizadas misturadas com as ferramentas existentes.
A engenharia social, e não as explorações, causou a maioria dos incidentes
Embora os caminhos de acesso legítimos permitissem muitas invasões, a interação do usuário representava o maior impulsionador do volume geral de incidentes.
Campanhas falsas no estilo CAPTCHA e ClickFix foram responsáveis por 57,5% de todos os incidentes identificáveis, tornando-os o padrão de ataque mais comum documentado no relatório.
Em vez de explorar vulnerabilidades de software, essas campanhas dependiam de avisos enganosos. Os usuários foram instruídos a colar comandos na caixa de diálogo Executar do Windows como parte do que parecia ser uma etapa de verificação de rotina. A execução usou ferramentas integradas do Windows, sem downloads tradicionais de malware ou atividades de exploração.
Intrusões na nuvem focadas na reutilização de sessões após MFA
A autenticação multifator foi habilitada em muitos ambientes de nuvem associados a incidentes investigados, mas mesmo assim ocorreu comprometimento da conta.
O phishing Adversary-in-the-Middle foi responsável por aproximadamente 16% das desativações de contas na nuvem documentadas no relatório. Nestes cenários, a MFA funcionou conforme concebido. Em vez de ignorar a autenticação, os invasores capturaram tokens de sessão autenticados emitidos após uma MFA bem-sucedida e os reutilizaram para acessar serviços em nuvem.
Do ponto de vista da plataforma em nuvem, esta atividade está alinhada com uma sessão autenticada legítima.
Muitos dos ataques descritos acima começam com acesso legítimo. O que acontece a seguir é onde ocorre o dano real.
Em uma investigação recente, nosso SOC identificou um novo implante chamado Roadk1ll, projetado para funcionar em sistemas que usam comunicação baseada em WebSocket e manter o acesso enquanto se integra ao tráfego de rede.
Participe do Episódio #002 do Inside the SOC para ver como esses ataques progridem desde o acesso inicial até o comprometimento total do ambiente.
O que essas descobertas significam para as equipes de segurança
Em todos os setores, ambientes e tipos de ataque, o relatório destaca um padrão consistente: muitas invasões bem-sucedidas dependiam de atividades que se misturavam às operações normais.
Em vez de confiar em novas explorações ou malware avançado, os invasores abusaram dos fluxos de trabalho diários, como logins remotos, ferramentas confiáveis e ações padrão do usuário. Com base nas cadeias de ataque analisadas, o relatório identifica várias prioridades defensivas:
- Trate o acesso remoto como uma atividade de alto risco e alto impacto
- Mantenha um inventário completo de ferramentas RMM aprovadas e remova agentes legados ou não utilizados
- Restrinja instalações de software não aprovadas e limite a execução de diretórios graváveis pelo usuário
- Aplique controles de acesso condicional que avaliam a postura, a localização e o risco da sessão do dispositivo
Estes padrões foram documentados em setores frequentemente visados, incluindo a indústria transformadora, os cuidados de saúde, os MSP, os serviços financeiros e a construção.
Para equipes interessadas em examinar como esses padrões de intrusão se desenvolvem, a Blackpoint Cyber analisará as principais descobertas, exemplos de casos e conclusões defensivas do Relatório Anual de Ameaças de 2026 durante um próximo webinar ao vivo.
➡️ Registre-se para receber o Relatório Anual de Ameaças de 2026
Patrocinado e escrito por Ponto Negro Cibernético.
Deseja saber mais sobre Segurança Digital & Antivírus Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.