A IBM divulgou o Índice de Inteligência de Ameaças X-Force 2025, revelando que a América Latina foi responsável por 8% de todos os incidentes respondidos pela X-Force em 2024, abaixo dos 12% do ano anterior.
O relatório destaca que os cibercriminosos continuaram a adotar táticas mais furtivas, com o roubo de credenciais de baixo perfil aumentando, enquanto os ataques de ransomware às empresas diminuíram.
O IBM X-Force observou um aumento de 84% nos e-mails que entregam infostealers em 2024 em comparação com o ano anterior, um método no qual os agentes de ameaças confiaram fortemente para escalar ataques de identidade. O relatório de 2025 rastreia tendências e padrões de ataque novos e existentes – extraindo de compromissos de resposta a incidentes, dark web e outras fontes de inteligência de ameaças.
Algumas das principais descobertas globais do relatório de 2025 incluem:
As organizações de infraestrutura crítica foram responsáveis por 70% de todos os ataques aos quais o IBM X-Force respondeu no ano passado, com mais de um quarto desses ataques causados pela exploração de vulnerabilidades.
Mais cibercriminosos optaram por roubar dados (18%) do que criptografá-los (11%), pois as tecnologias avançadas de detecção e o aumento dos esforços de aplicação da lei pressionam os cibercriminosos a adotar caminhos de saída mais rápidos.
Quase um em cada três incidentes observados em 2024 resultou em roubo de credenciais, pois os invasores investem em vários caminhos para acessar, exfiltrar e monetizar rapidamente as informações de login.
“Na maioria das vezes, os hackers invadem sem quebrar nada, mas aproveitam as lacunas de identidade que vários sistemas têm em ambientes de nuvem híbrida e local, oferecendo aos invasores vários pontos de acesso”, disse Fernando Carbone, Sócio de Serviços de Segurança da IBM Consulting na América Latina. “As empresas precisam se afastar de uma mentalidade de prevenção ad-hoc e se concentrar em medidas proativas, como modernizar o gerenciamento de autenticação.
Desafios de aplicação de patches expõem setores de infraestrutura crítica a ameaças
A dependência de tecnologia legada e os ciclos lentos de correção provam ser um desafio duradouro para as organizações de infraestrutura crítica, pois os cibercriminosos exploraram vulnerabilidades em mais de um quarto dos incidentes aos quais o IBM X-Force respondeu neste setor no ano passado.
Ao revisar as vulnerabilidades e exposições comuns (CVEs) mais mencionadas nos fóruns da dark web, o IBM X-Force descobriu que quatro dos dez principais foram vinculados a grupos sofisticados de agentes de ameaças, incluindo adversários de estados-nação, aumentando o risco de interrupção, espionagem e extorsão financeira. Os códigos de exploração para esses CVEs foram negociados abertamente em vários fóruns, alimentando um mercado crescente de ataques contra redes elétricas, redes de saúde e sistemas industriais. Esse compartilhamento de informações entre adversários com motivação financeira e estados-nação destaca a crescente necessidade de monitoramento da dark web para ajudar a informar estratégias de gerenciamento de patches e detectar possíveis ameaças antes que sejam exploradas.
Roubo automatizado de credenciais provoca reação em cadeia
Em 2024, o IBM X-Force observou um aumento nos e-mails de phishing que entregam infostealers e os dados iniciais para 2025 revelam um aumento ainda maior de 180% em comparação com 2023. Essa tendência ascendente que alimenta as aquisições de contas subsequentes pode ser atribuída aos invasores que aproveitam a IA para criar e-mails de phishing em escala.
O phishing de credenciais e os infostealers tornaram os ataques de identidade baratos, escaláveis e altamente lucrativos para os agentes de ameaças. Os infostealers permitem a rápida exfiltração de dados, reduzindo seu tempo no alvo e deixando poucos resíduos forenses para trás. Em 2024, os cinco principais infostealers sozinhos tinham mais de oito milhões de anúncios na dark web e cada listagem pode conter centenas de credenciais. Os agentes de ameaças também estão vendendo kits de phishing adversários no meio (AITM) e serviços de ataque AITM personalizados na dark web para contornar a autenticação multifator (MFA). A disponibilidade desenfreada de credenciais comprometidas e métodos de desvio de MFA indica uma economia de alta demanda por acesso não autorizado que não mostra sinais de desaceleração.
Operadores de ransomware mudam para modelos de baixo risco
Embora o ransomware tenha representado a maior parcela dos casos de malware em 2024, com 28%, o IBM X-Force observou uma redução nos incidentes de ransomware em geral em comparação com o ano anterior, com ataques de identidade surgindo para preencher o vazio.
Os esforços internacionais de remoção estão levando os agentes de ransomware a reestruturar modelos de alto risco para operações mais distribuídas e de menor risco. Por exemplo, o IBM X-Force observou famílias de malware anteriormente bem estabelecidas, incluindo ITG23 (também conhecido como Wizard Spider, Trickbot Group) e ITG26 (QakBot, Pikabot) para encerrar completamente as operações ou recorrer a outros malwares, incluindo o uso de famílias novas e de curta duração, enquanto grupos de crimes cibernéticos tentam encontrar substitutos para os botnets que foram derrubados no ano passado.
Evolução das ameaças de IA
Embora os ataques em larga escala às tecnologias de IA não tenham se materializado em 2024, os pesquisadores de segurança estão correndo para identificar e corrigir vulnerabilidades antes que os cibercriminosos as explorem. Problemas como a vulnerabilidade de execução remota de código que o IBM X-Force descobriu em um framework para construção de agentes de IA se tornará mais frequente. Com a adoção prevista para crescer em 2025, o mesmo acontecerá com os incentivos para que os adversários desenvolvam kits de ferramentas de ataque especializados direcionados à IA, tornando imperativo que as empresas protejam o pipeline de IA desde o início.
Outras conclusões do relatório de 2025 para a América Latina incluem:
A região foi responsável por 8% dos incidentes em 2024, com campanhas direcionadas focadas na infraestrutura crítica e na continuidade dos sistemas financeiros.
Os invasores frequentemente usavam a exploração de aplicativos voltados para o público (50%) como o principal vetor de acesso inicial, seguido por anexos de phishing-spearphishing (25%) e contas válidas de domínio (25%).
Os principais impactos na região foram a coleta de credenciais (40%) e a extorsão (40%), com danos à reputação da marca (20%) também observados.
O setor financeiro e de seguros na América Latina liderou com 33% dos incidentes, seguido por manufatura (20%), energia (20%) e serviços profissionais, comerciais e ao consumidor (13%).
