Relatório Sophos Active Adversary 2026: Ataques à identidade dominam à medida que grupos de ameaça proliferam

Relatório Sophos Active Adversary 2026: Ataques à identidade dominam à medida que grupos de ameaça proliferam

Dois terços dos incidentes de segurança têm origem em falhas relacionadas com a identidade. Os atacantes agem mais rapidamente e fora de horas laborais.

A Sophos, líder global e inovadora em soluções de segurança avançadas para vencer os ciberataques, acaba de lançar hoje o seu relatório anual Sophos Active Adversary Report 2026. A investigação revela que 67% de todos os incidentes investigados pelas equipas de Resposta a Incidentes (IR) e de Deteção e Resposta Gerida (MDR) da Sophos no último ano tiveram origem em ataques relacionados com a identidade. As conclusões destacam como os atacantes continuam a explorar credenciais comprometidas, a fraca ou inexistente autenticação multifator (MFA) e os sistemas de identidade pouco protegidos – muitas vezes sem necessidade de implementarem novas ferramentas ou técnicas.

A principais conclusões destacam:

Uma mudança de foco: da exploração de vulnerabilidades para as credenciais comprometidas. A a atividade de força bruta (15.6%) praticamente iguala a exploração de vulnerabilidades (16%) como método inicial de acesso.
O tempo médio de permanência dos atacantes desceu para três dias. Isto deve-se tanto à sua maior rapidez, como à resposta mais célere das equipas de defesa. Isto foi particularmente notado em ambientes MDR.
Os atacantes estão cada vez a chegar mais rápido ao Active Directory (AD). Uma vez dentro da organização, demoram apenas 3.4 horas a aceder ao servidor AD.
O ransomware continua a ser uma atividade que acontece predominantemente fora de horas: 88% das cargas de ransomware são implementadas fora do horário laboral. Da mesma forma, 79% das ações de exfiltração de dados ocorrem também fora de horas.
A falta de telemetria compromete os esforços de defesa. A ausência de registos devido a problemas de retenção de dados duplicou face ao ano passado, sobretudo em firewalls cujo padrão de retenção era de apenas sete dias, e em alguns casos, de 24 horas.

Os ataques à identidade aceleram, enquanto as lacunas na MFA persistem

O relatório da Sophos demonstra um aumento contínuo de ataques que têm por base o comprometimento da identidade, incluindo roubo de credenciais, ataques de força bruta e phishing. Embora a exploração de vulnerabilidade continue a ser um fator, os atacantes recorrem cada vez mais a contas válidas para obter acesso inicial, contornando assim as defesas de perímetro tradicionais. Em 59% dos casos, observou-se que não existia autenticação multifator, o que facilitou o abuso de credenciais roubadas ou comprometidas para penetrar as organizações.

“A conclusão mais preocupante do relatório é, na verdade, algo que tem vindo a crescer ao longo dos anos: o domínio das causas-raiz relacionadas com a identidade para o acesso inicial bem-sucedido. Credenciais comprometidas, ataques de força bruta, phishing e outras táticas que exploram vulnerabilidades não podem ser resolvidas com simples atualizações de patches. As organizações devem adotar uma abordagem proativa em relação à segurança da identidade,” afirmou John Shier, Field CISO da Sophos e principal autor deste relatório.

Mais grupos de ameaça, riscos maiores

Os investigadores da Sophos observaram o maior número de grupos de ameaça ativos já registado na história deste relatório anual, ampliando o panorama de ameaças geral e aumentando o desafio da atribuição.

Akira (GOLD SAHARA) e Qilin (GOLD FEATHER) foram as marcas de ransomware mais ativas, com a Akira a dominar 22% dos incidentes;
Foram identificadas 51 marcas de ransomware, incluindo 27 já existentes e 24 novas;
Apenas quatro marcas ou técnicas – LockBit, MedusaLocker, Phobos e abuso do BitLocker – têm permanecido continuamente desde 2020, o primeiro ano em que existem dados deste Active Adversary Report.

“A atuação das autoridades continua a causar disrupção no ecossistema de ransomware. Embora ainda se observe atividade do LockBit, o seu domínio e a reputação foram claramente afetados. No entanto, isto significa que outros grupos disputam a liderança e muitos outros vão aparecendo. Para as equipas de defesa, é fundamental compreender os grupos e as suas TTPs, para melhor proteger as suas organizações,” acrescentou John Shier.

O entusiasmo pela IA encontra-se com a realidade

Apesar das previsões generalizadas, a Sophos não encontrou indícios de que haja uma transformação significativa no comportamento dos atacantes que tenha sido impulsionada pela IA. Embora a IA generativa (GenAI) tenha aumentado a rapidez e sofisticação do phishing e das táticas de engenharia social, ainda não criou técnicas de ataque fundamentalmente novas.

“A IA está a aumentar a escala e o ruído, mas ainda não substitui os atacantes. No futuro, a GenAI até pode ser o próximo acelerador de ataques, mas, para já, os básicos ainda importam mais: contar com proteção de identidade forte, telemetria fiável e capacidade de resposta rápida quando algo corre mal,” notou ainda John Shier.

Principais conclusões para a defesa

Com base nas conclusões do Relatório Sophos Active Adversary 2026, a Sophos recomenda às organizações:

Implementar MFA resistente a phishing e validar a sua configuração;
Reduzir a exposição da infraestrutura de identidade e dos serviços voltados para a internet;
Proceder à correção atempada das vulnerabilidades conhecidas, especialmente em dispositivos no edge;
Garantir monitorização 24/7 através de MDR ou capacidades equivalentes;
Preservar e manter os registos de segurança para apoiar a deteção e investigação rápidas.

O Relatório Sophos Active Adversary 2026 analisou 661 casos de IR e MDR registados entre 1 de novembro de 2024 e 31 de outubro de 2025, abrangendo organizações de 70 países e 34 setores de atividade. Pode consultar o relatório completo aqui.