Olá! Então, acabei de fazer uma análise recente sobre as ameaças cibernéticas, e há realmente muitas novidades interessantes. Aparentemente, em 2026 esperamos não apenas uma maior complexidade nos ataques, mas uma transformação completa na forma como os cibercriminosos operam. Gostaria de partilhar as principais tendências que devemos ter em conta.

Comecemos pelo fato de que a fronteira entre ataques cibernéticos massivos e direcionados praticamente desapareceu. Antes era simples: campanhas de malware ou phishing em massa contra milhares de pessoas, enquanto ataques direcionados exigiam investigação e recursos consideráveis. Agora? Automação, modelos de IA acessíveis e a comercialização de infraestruturas criminosas permitiram que os atacantes utilizem técnicas avançadas até mesmo em campanhas de massa. O phishing torna-se mais sofisticado, mais convincente, e instituições governamentais, indústrias e empresas de TI são as principais alvos.

Gostaria também de destacar o tema da confiança como vetor de ataque. Quando falamos de ataques à cadeia de abastecimento — é quando o atacante injeta malware em software que depois é descarregado pela vítima. Segundo a Cyble, em outubro de 2025, o número de ataques a cadeias de fornecimento de software ultrapassou o recorde anterior em 30%. Mas isso não é tudo. As empresas são invadidas através de parceiros, contratados e fornecedores. Em vez de atacar diretamente a empresa protegida, os criminosos entram pelo “acesso negro” — comprometendo quem tem acesso. Em seis meses, esse vetor foi utilizado em 28% dos ataques cibernéticos, um aumento de 15%.

A inteligência artificial sombria — shadow AI — é uma preocupação real. Nos primeiros três meses de 2025, o uso de plataformas genAI cresceu 50%, e mais da metade disso é shadow AI, ou seja, funcionários usam ferramentas sem aprovação dos departamentos de TI. Informações confidenciais podem simplesmente vazar para serviços públicos. Além disso, 63% das empresas não avaliam a segurança das ferramentas de IA antes de implementá-las, e 86% enfrentaram incidentes de segurança relacionados com IA nos últimos 12 meses. Além disso, 45% do código gerado por redes neurais contém vulnerabilidades.

Os ransomware evoluem. O duplo sequestro (quando primeiro extraem os dados, depois criptografam) continua sendo a tática predominante — 87% dos casos. Mas já surgem ataques de triplo e quádruplo sequestro. Uma tática interessante do grupo SecP0 — eles exigem resgate não pelos dados criptografados, mas pelas vulnerabilidades ocultas. Os ransomware até oferecem consultoria jurídica aos parceiros para pressionar melhor as vítimas. Operadores do Anubis adicionaram um recurso de wiper para forçar as vítimas a pagar mais rápido.

A IA a serviço dos atacantes — não é só o coding por voz. LLMs são usados para criar malware (embora os resultados ainda sejam imaturos e precisem de melhorias), gerar scripts específicos, mascarar ameaças persistentes (VPO). Mas o mais interessante é que já existem malware que usam LLMs por si próprios. O PromptLock da ESET usa um modelo local do GPT para gerar scripts maliciosos em Lua em tempo real. Funciona no Windows, Linux e macOS. Há outros exemplos — o LameHug usou LLM para gerar comandos de shell.

Sistemas operativos: Windows já não é mais o rei absoluto das ameaças cibernéticas. Sim, em 2022 representava 86% dos incidentes, mas até 2025 caiu para 84%. Por outro lado, o macOS recebeu mais atenção — crescimento de ameaças de 400% de 2023 a 2024. Linux também está em alta, especialmente após a migração em massa para infraestruturas Linux. Grupos APT já adaptam ferramentas do Windows para outras plataformas. LockBit 5.0 visa Windows, Linux e ESXi. E há um interesse crescente em hipervisores como VMware ESXi — invadir um hipervisor pode significar comprometer todas as máquinas virtuais.

Vírus transformadores — malware híbrido que combina funcionalidades de vários tipos de ameaças. Para os criminosos, é conveniente: comando e controlo centralizado, adaptação a diferentes ambientes, escalabilidade. Normalmente baseado em RAT, que permite manter acesso persistente.

Os AV/EDR killers tornaram-se parte integrante do arsenal. Técnica popular: BYOVD (Bring Your Own Vulnerable Driver) — os atacantes instalam drivers legítimos, mas vulneráveis, usam falhas conhecidas para elevar privilégios e desativar antivírus ou EDR. Nos fóruns clandestinos, esses instrumentos são vendidos por cerca de 1500 dólares por build para um antivírus.

Phishing como serviço (PhaaS) está em forte crescimento. Novas plataformas como VoidProxy, Salty2FA, Whisper 2FA reduzem a barreira de entrada para criminosos não qualificados. A assinatura custa cerca de 250 dólares. Essas plataformas incluem bypass de MFA (Tycoon 2FA foi usado em 76% dos ataques com PhaaS), modelos de phishing, clonagem de sites, suporte a CAPTCHA, métodos de evasão. Por exemplo, o Darcula adicionou suporte a IA generativa, permitindo adaptar formulários ao idioma e região. No Gabagool, um QR code malicioso foi dividido em dois para evitar filtros.

Deepfakes e dipposes — é algo realmente assustador. Segundo a Gartner, 62% das organizações sofreram ataques com deepfakes nos últimos 12 meses. No primeiro trimestre de 2025, foram registrados 179 casos, um aumento de 19% em relação a todo o ano de 2024. Na Rússia, o número de deepfakes cresceu um terço desde o início de 2025. Curiosamente, a técnica T1123 (Audio Capture) ficou em primeiro lugar em uso — antes nem entrava no top-10. Houve incidentes com videoconferências no Zoom com deepfakes de executivos, mensagens de voz de políticos. Criar um deepfake não é difícil — serviços de deepfake as a service (DaaS) custam a partir de 50 dólares por vídeo e 30 dólares por voz.

IA como amplificador de engenharia social — é uma história à parte. Segundo a Gartner, a implementação de IA permite que os atacantes reduzam custos em mais de 95%. A Hoxhunt descobriu que agentes de IA criaram emails de phishing mais eficazes do que especialistas de elite de red team — 24% mais eficazes em março de 2025. A Microsoft observa que emails normais são abertos por 12% dos destinatários, enquanto os gerados por redes neurais atingem 54%. A IA pode gerar conteúdo realista, automatizar campanhas em massa (a rede neural IBM criou emails em 5 minutos com 5 dicas, enquanto as pessoas gastaram 16 horas), criar deepfakes, personalizar para vítimas específicas. Nos fóruns clandestinos, vende-se SpamGPT — serviço de envio massivo que contorna sistemas anti-spam, garante entrega no Outlook, Yahoo, Office 365, Gmail.

Vishing (phishing por voz) está em alta. Sua utilização aumentou 2 pontos percentuais em 2025. O grupo ShinyHunters realizou uma série de ataques a grandes empresas (Adidas, Allianz Life, LVMH, Qantas) via vishing na Salesforce. A popularidade deve-se à prevalência do trabalho remoto (52% da força de trabalho nos EUA trabalha de forma híbrida, em janeiro de 2019 eram 32%), e ao fato de que os funcionários frequentemente interagem com pessoas que não conhecem pessoalmente.

Arquivos SVG — uma tendência inesperada. Em 2024, eram usados em menos de 1% dos ataques, e até dezembro de 2025 quase 5%. Para o usuário, são apenas imagens, mas na verdade SVGs são escritos em XML e podem conter HTML e JavaScript. A Microsoft detectou uma campanha de phishing onde o anexo malicioso imitava um PDF, mas era um arquivo SVG com código JavaScript.

ClickFix — técnica onde o próprio usuário inicia a infecção. Segundo a ESET, no primeiro semestre de 2025, a proporção de ataques com ClickFix aumentou mais de 500% em relação ao segundo semestre de 2024. São usados scripts com CAPTCHA, instruções, atualizações falsas. Grandes grupos APT (MuddyWater, Kimsuky, Lazarus) já incorporaram essa técnica ao arsenal. O ClickFix saiu do Windows — surgiu uma versão para Linux e macOS. Depois, veio o FileFix (via Explorador de Arquivos) e o PromptFix (para sistemas de IA).

Vulnerabilidades estão se tornando catalisadores de ataques em massa. No primeiro semestre de 2025, foram descobertas mais de 23.600 vulnerabilidades, 16% a mais do que no mesmo período de 2024. No dark web, o mercado de vulnerabilidades e exploits cresce — quase 30% dos anúncios envolvem compra, com preços variando de 1000 a 20.000 dólares, chegando às vezes a milhões. Houve uma propaganda de PoC exploit para uma vulnerabilidade zero-day em JavaScript (presente em 99% dos sites) por 800 mil dólares. O modelo EaaS (exploit como serviço) permite realizar ataques com um clique, reduzindo a barreira de entrada. O grupo Earth Minotaur usou o exploit kit MOONSHINE — até 2024, uma infraestrutura com mais de 55 servidores.

IA na criação de exploits — uma realidade. O Big Sleep do Google descobriu uma vulnerabilidade zero-day no SQLite antes de sua exploração. A GreyNoise usou LLM para detectar vulnerabilidades em câmeras de internet. O framework PwnGPT usa LLM para analisar vulnerabilidades, gerar exploits e validar conceitos. Para o OpenAI o1-preview, a taxa de descoberta aumentou de 26,3% para 57,9%, e para GPT-4o, de 21,1% para 36,8%. A plataforma HexStrike AI foi criada como ferramenta de testes, mas nas primeiras horas após o lançamento já foi usada para explorar vulnerabilidades no Citrix NetScaler — o tempo de exploração caiu de dias para 10 minutos.

Dispositivos periféricos — um novo front. No H1-2025, as vulnerabilidades mais frequentes estavam em soluções Cisco, Citrix, Fortinet, SonicWall, Zyxel. A participação de dispositivos periféricos nos incidentes foi de 22%, quase oito vezes maior que no ano passado. Invadir um gateway VPN ou firewall dá acesso direto à rede interna. A Google Mandiant destacou a vulnerabilidade CVE-2024-3400 na Palo Alto Networks como a mais explorada em 2024.

Ferramentas RMM — alvo valioso. O mercado de RMM em 2023 foi avaliado em 918,51 milhões de dólares, com previsão de atingir 1548,94 milhões até 2030, a uma CAGR de 9%. Invadir uma ferramenta RMM não é apenas comprometer um nó, mas obter acesso a toda a infraestrutura. O Microsoft Defender Experts observou exploração de vulnerabilidades zero-day no BeyondTrust Remote Support, ConnectWise ScreenConnect, SimpleHelp.

Initial Access Brokers (IABs) — um segmento separado do mercado negro. Em dois anos, (Q1 2023 – Q1 2025), o número de anúncios de venda de acessos aumentou mais de 100%. Os IABs focam em contornar a proteção perimetral por meio de serviços vulneráveis, credenciais roubadas e acesso remoto não protegido. A maioria dos acessos é baseada em dados de infostillers. Após obter acesso, eles se consolidam por meio de contas de administrador ocultas ou web shells. O preço médio de acesso varia entre 500 e 3000 dólares, e para controle total de um domínio pedem mais de 10.000 dólares. Essa abordagem é vantajosa para todos: operadores de RaaS podem focar no desenvolvimento, enquanto os IABs obtêm renda estável com riscos mínimos de detecção.

Esse é o panorama de ameaças para 2026. O mais importante é que as organizações entendam que as ameaças evoluem mais rápido do que nunca, e investir em fortalecer a infraestrutura de TI, treinar funcionários e gerenciar vulnerabilidades não é uma opção, mas uma necessidade.