Percepções sobre projetos de avaliação de comprometimento: o que as organizações realmente estão perdendo de vista
A análise a seguir reúne as principais conclusões das avaliações de comprometimento realizadas pela Kaspersky em 2025 e mostra, na prática, como ameaças conseguem permanecer ativas por semanas, meses e até anos sem serem detectadas, mesmo em ambientes que contam com soluções de segurança tradicionais.
—
O que é, na prática, uma avaliação de comprometimento
A Avaliação de Comprometimento é um serviço independente, conduzido por especialistas em segurança, com um objetivo direto: verificar se uma rede, ambiente ou infraestrutura já foi comprometida – mesmo que não existam sinais aparentes de incidente.
Esse tipo de trabalho envolve normalmente:
– Uso de inteligência de ameaças, incluindo fontes abertas e fechadas, bem como informações coletadas em ambientes clandestinos;
– Varredura de endpoints com ferramentas especializadas, capazes de identificar artefatos em disco, memória e registro do sistema;
– Revisão sistemática de logs de eventos de segurança, sistemas operacionais, aplicações críticas e dispositivos de rede;
– Análise de tráfego de rede para detecção de comunicação suspeita, movimento lateral ou exfiltração de dados;
– Quando necessário, resposta inicial a incidentes e início de investigação forense digital para documentar o ataque.
O foco do relatório de 2025 está justamente nos incidentes que já estavam em curso, mas que não haviam sido identificados pelos controles de segurança da própria organização.
—
Onde os comprometimentos mais aparecem: panorama geográfico
O portfólio global de projetos de Avaliação de Comprometimento da Kaspersky abrange múltiplas regiões, com perfis de risco e maturidade diferentes. Em 2025, a distribuição dos incidentes identificados ficou assim:
– Aproximadamente 71% dos incidentes detectados ocorreram na região META (Oriente Médio, Turquia e África);
– As regiões APAC (Ásia-Pacífico) e CEI (Comunidade dos Estados Independentes) responderam conjuntamente pelos 29% restantes.
Essa concentração na região META pode estar relacionada a vários fatores: rápida digitalização, ambientes híbridos complexos, grande presença de setores críticos e, em muitos casos, lacunas relevantes de monitoramento contínuo. Em vários projetos nessa região, os especialistas encontraram sinais de ataque em redes que, oficialmente, eram consideradas “limpas”.
—
Setores mais afetados e por que isso importa
As avaliações de comprometimento foram realizadas em organizações de perfis variados. Em 2025, os incidentes detectados se concentraram nos seguintes segmentos:
– Setor governamental: cerca de 29% dos casos;
– Educação: aproximadamente 19%;
– Financeiro: por volta de 17%.
A presença forte do setor público revela o interesse de agentes de ameaça em dados sensíveis, sistemas críticos e infraestrutura de governo. Já instituições de ensino, muitas vezes, lidam com ambientes muito abertos, alto volume de usuários e dispositivos heterogêneos – um cenário fértil para ataques de longo prazo. O setor financeiro, por sua vez, é alvo contínuo por questões óbvias: acesso a recursos financeiros, dados de clientes e possibilidade de fraude direta.
Esses números reforçam um ponto central: não é apenas o “quanto” se investe em segurança, mas como o ambiente é monitorado, gerenciado e auditado ao longo do tempo.
—
Como funcionam as famílias de lógica de detecção
Durante uma avaliação de comprometimento, os especialistas não trabalham com poucos indicadores isolados, e sim com um catálogo continuamente atualizado de indicadores de ataque (IoAs). Esse conjunto bruto é extremamente granular e detalhado, o que é excelente para investigação, mas pouco prático para relatórios executivos e tomada de decisão estratégica.
Por isso, a Kaspersky mapeia esses IoAs para um conjunto mais enxuto de famílias de lógica de detecção, que agrupam comportamentos, técnicas e artefatos relacionados a certos tipos de ataque.
De forma geral, três famílias se destacaram como dominantes nas avaliações de 2025. Embora os detalhes técnicos variem de cliente para cliente, essas famílias costumam cobrir:
– Malware persistente em disco, muitas vezes adormecido, preparado para ser ativado sob certas condições;
– Ameaças em múltiplos estágios, com uso de scripts, ferramentas nativas do sistema e técnicas de ofuscação;
– Atividade em memória, em que o atacante tenta evitar ao máximo a escrita em disco para escapar de soluções tradicionais de proteção de endpoint.
Essas famílias representam indicadores de alta fidelidade de ataque, ou seja, quando aparecem, praticamente não deixam dúvidas sobre a existência de comprometimento real na infraestrutura.
—
Por que as organizações pedem uma avaliação de comprometimento
O estudo de 2025 mostra uma correlação clara entre o motivo declarado para contratar a avaliação e o tipo de problema identificado. Em linhas gerais, os pedidos se encaixam em três grupos:
1. Auditoria geral de segurança
Empresas que desejam validar se seus controles estão funcionando e se há sinais silenciosos de invasores. Nesses casos, os especialistas costumam encontrar:
– Configurações frágeis;
– Ferramentas legítimas mal gerenciadas;
– Rastros de tentativas de intrusão não plenamente bem-sucedidas, mas preocupantes.
2. Suspeita difusa de atividade anômala
Organizações que não têm um incidente claro, mas percebem comportamentos estranhos (lentidão, falhas intermitentes, alertas pouco consistentes). Em muitos desses projetos surgem:
– Mineração de criptomoedas;
– Uso abusivo de credenciais administrativas;
– Comunicação incomum com endereços externos.
3. Confirmação e extensão de um incidente conhecido
Já existe um evento de segurança em andamento, e a empresa quer saber:
– Até onde o ataque chegou;
– Há quanto tempo estava ativo;
– Se ainda existe alguma “porta” aberta.
É nesse contexto que frequentemente se descobrem ataques de longa duração e movimentos laterais profundos.
—
Casos de longo prazo: incidentes que duram anos
Um dos padrões mais preocupantes identificados nas avaliações de 2025 é a existência de incidentes que permanecem ativos por um período extremamente prolongado, sem qualquer detecção pelos controles internos.
Estudo de caso: mineração de criptomoedas em controladores de domínio por quatro anos
Em um ambiente corporativo, a Avaliação de Comprometimento identificou atividade de mineração de criptomoedas instalada diretamente em controladores de domínio, mantida por cerca de quatro anos.
Pontos críticos observados:
– O malware explorava brechas de configuração e permissões para obter privilégios elevados;
– A solução de segurança instalada identificava parte do comportamento como “suspeito”, mas não havia correlação ou monitoramento de longo prazo;
– O impacto principal, além do consumo de recursos, era a clara prova de que atacantes tiveram controle prolongado de sistemas centrais, com potencial de escalar o ataque para outros fins.
Esse tipo de cenário demonstra que, sem uma análise ativa de padrões históricos e correlação de eventos, atividades maliciosas podem ser tratadas como simples “anomalias de performance” por anos.
—
Preservação não intencional de malware
Outro achado recorrente nas avaliações de comprometimento é a preservação involuntária de malware em sistemas de arquivo, backups ou repositórios de instalação.
Entre as situações comuns:
– Imagens de sistema contaminadas reutilizadas em novas máquinas;
– Ferramentas de teste, exploits e “amostras de malware” armazenadas sem isolamento adequado por equipes técnicas;
– Backups que contêm artefatos maliciosos e, ao serem restaurados, reacendem uma infecção há muito considerada “resolvida”.
Sem políticas claras de higienização, esses artefatos acabam se tornando pontos de reinfecção, mantendo a organização em um ciclo de comprometimento intermitente.
—
LoLBins e ferramentas de acesso remoto: legítimos, mas perigosos
As avaliações também revelam um uso intenso de LoLBins (Living-off-the-Land Binaries) e ferramentas de gerenciamento remoto. São utilitários legítimos do sistema operacional ou softwares de administração que, quando explorados por invasores, ajudam a mascarar a atividade maliciosa.
Exemplos típicos de riscos observados:
– Ferramentas de acesso remoto instaladas com configurações padrão, senhas fracas ou compartilhadas;
– Uso de comandos nativos do sistema (como scripts ou interpretadores) para movimentação lateral e coleta de dados;
– Falta de distinção, em registros e alertas, entre uso legítimo administrativo e uso malicioso.
Quando não há monitoramento comportamental e política clara de uso administrativo, essas ferramentas se tornam perfeitas para ataques discretos e persistentes.
—
O impacto da ausência de monitoramento contínuo
Um achado consistente nas avaliações de comprometimento é o efeito devastador da falta de monitoramento contínuo e de busca proativa de ameaças (threat hunting).
Muitos ambientes analisados apresentavam:
– Investimentos relevantes em soluções de segurança, mas sem equipe ou processos para interpretar alertas;
– Falta de centralização de logs em uma plataforma SIEM ou equivalente;
– Ausência de rotinas de revisão periódica para detecção de padrões anômalos.
Estudo de caso: “segurança desde a concepção”, mas sem monitoramento
Em um dos projetos, a organização havia desenhado uma infraestrutura “segura por padrão”, com segmentação de rede, controles de acesso rígidos e múltiplas camadas de proteção. Entretanto:
– Não havia equipe dedicada a monitorar os eventos de segurança;
– Alertas críticos ficavam sem triagem;
– Logs eram armazenados por períodos curtos e sem análise.
A Avaliação de Comprometimento revelou que, mesmo com uma arquitetura bem planejada, a ausência de monitoramento contínuo permitiu que uma ameaça permanecesse ativa sem ser percebida, explorando caminhos não previstos no desenho original.
—
Resposta a incidentes: por que a coleta forense vem primeiro
Quando uma avaliação de comprometimento identifica sinais claros de ataque, a resposta não é simplesmente “remover o arquivo suspeito”. A experiência mostra que:
– A remoção imediata de artefatos pode destruir evidências valiosas;
– Sem entendimento da linha do tempo do ataque, é fácil subestimar a extensão do comprometimento;
– O mesmo invasor pode manter múltiplos pontos de entrada.
Por isso, a coleta forense costuma ser o ponto de entrada padrão em uma resposta estruturada. Por meio de imagens de disco, cópias de memória, coleta de logs e outros vestígios, é possível:
– Reconstruir a cadeia de eventos;
– Entender quais sistemas, dados ou contas foram afetados;
– Planejar uma erradicação completa, em vez de ações pontuais.
—
O paradoxo da contenção e remoção de artefatos
Um dos dilemas frequentes na prática é o chamado paradoxo da contenção: remover rapidamente arquivos e chaves de registro maliciosos reduz, em tese, o risco imediato, mas:
– Alerta o atacante de que ele foi descoberto;
– Faz com que ele ative outros mecanismos de acesso ou acelere a exfiltração;
– Dificulta a coleta posterior de evidências.
As avaliações de 2025 evidenciaram que as organizações mais maduras:
– Planejam a contenção em fases;
– Coordenam a remoção com a coleta forense;
– Sincronizam ações em múltiplos sistemas ao mesmo tempo, para reduzir brechas de manobra do invasor.
—
Falhas de comunicação: o custo invisível nos incidentes
Em diversos projetos, um fator não técnico ampliou o impacto dos incidentes: falhas de comunicação internas. Entre os problemas mais frequentes:
– Setores de TI, segurança, jurídico e negócios sem alinhamento sobre prioridades;
– Decisões de desligar sistemas críticas sem planejamento, gerando indisponibilidade desnecessária;
– Ausência de um ponto focal para coordenar respostas entre diferentes fornecedores.
Esses gargalos aumentam o custo operacional do incidente, prolongam o tempo de resposta e dificultam a aplicação de um plano estruturado de remediação.
—
Atualizações iterativas do plano de resposta
Outro aprendizado derivado das avaliações de comprometimento é que o plano de resposta a incidentes é sempre iterativo. Durante as investigações:
– Novas evidências surgem;
– Hipóteses iniciais são revisadas;
– O escopo do incidente pode aumentar ou se tornar mais preciso.
Organizações com maior maturidade são aquelas que aceitam esse caráter dinâmico e mantêm:
– Planos de resposta atualizados;
– Procedimentos revistos com base em incidentes reais;
– Simulações e exercícios periódicos para testar decisões sob pressão.
—
Separar ataque real de restos de teste de invasão
Um desafio recorrente nas avaliações é diferenciar:
– Artefatos de um ataque verdadeiro;
– Resquícios de testes de penetração ou exercícios internos.
Em várias organizações, scripts de teste, ferramentas ofensivas e simuladores de ataque são utilizados por equipes internas ou fornecedores, mas:
– Não são devidamente identificados;
– Permanecem em diretórios de produção;
– Deixam rastros que confundem análises posteriores.
A Avaliação de Comprometimento, nesse contexto, precisa não apenas detectar artefatos, mas também correlacionar datas, responsáveis e objetivos, para não gerar alarmes falsos nem deixar uma ameaça real passar despercebida.
—
Maturidade em resposta a incidentes e gravidade dos ataques
Os dados de 2025 indicam uma relação direta entre nível de maturidade em resposta a incidentes e gravidade dos comprometimentos identificados:
– Organizações com processos formais, equipe dedicada e exercícios de resposta regulares tendem a detectar e mitigar ataques mais cedo, reduzindo impacto;
– Ambientes sem governança clara registram, com maior frequência, incidentes:
– De longa duração;
– Com acesso a sistemas críticos;
– Com maior profundidade de comprometimento de dados.
Isso reforça a ideia de que a segurança não é apenas um conjunto de ferramentas, mas um ciclo contínuo de preparação, detecção, resposta e melhoria.
—
Estudo de caso: infecção LionTail em memória em servidores Windows críticos
Um caso emblemático envolveu uma infecção do tipo LionTail, operando predominantemente em memória em servidores Windows com papel crítico na organização.
Os principais pontos identificados:
– Quase nenhum arquivo malicioso gravado em disco, tornando a detecção baseada em assinatura praticamente inútil;
– Uso intenso de chamadas de sistema e técnicas de injeção em processos legítimos;
– Comunicação com infraestrutura externa de comando e controle por meio de tráfego discretamente camuflado.
Somente com ferramentas capazes de inspecionar memória e analisar comportamento em tempo real foi possível identificar o padrão de ataque e iniciar a contenção.
—
Focar nas causas-raiz, não apenas nos sintomas
Um dos objetivos centrais da Avaliação de Comprometimento é ir além da superfície e entender por que o ataque foi bem-sucedido. Entre as causas-raiz mais recorrentes observadas:
– Senhas fracas ou compartilhadas, especialmente para contas administrativas;
– Ausência de segmentação adequada de rede;
– Políticas de atualização inconsistentes, deixando vulnerabilidades conhecidas abertas por longos períodos;
– Falta de controle sobre ferramentas de acesso remoto e scripts internos.
Atacar apenas o “sintoma” – por exemplo, limpar um malware específico – sem corrigir essas causas sistêmicas faz com que a organização continue vulnerável a novos compromissos, muitas vezes por meio dos mesmos vetores.
—
Falta de detecções: por que tantos ataques passam despercebidos
A combinação de ameaças sofisticadas com ambientes complexos cria um cenário em que a falta de detecções é, por si só, um indicador de risco. Entre os motivos mais comuns para a falha em detectar ataques:
– Ferramentas de segurança configuradas com políticas muito permissivas, para evitar falsos positivos;
– Ausência de correlação entre eventos de diferentes sistemas;
– Falta de visibilidade sobre endpoints remotos, dispositivos móveis e ativos em nuvem.
Em um dos estudos de caso, a infecção por PurpleFox operava em memória, explorando falhas conhecidas e contornando mecanismos tradicionais de proteção de endpoint. Sem tecnologias específicas de detecção comportamental e análise avançada, o ataque se manteve invisível até a execução da Avaliação de Comprometimento.
—
Gestão deficiente de vulnerabilidades: combustível para ataques graves
A gestão insuficiente de vulnerabilidades surgiu como um dos principais catalisadores de incidentes de alta gravidade. Em muitos ambientes:
– Não havia um inventário claro de ativos;
– Patches críticos demoravam meses para ser aplicados, ou nunca eram instalados;
– Aplicações legadas e sistemas obsoletos permaneciam conectados à rede principal.
Estudo de caso: GPOs excessivamente permissivas e distribuição de software
Em um projeto, a origem do comprometimento foi rastreada a uma política de grupo (GPO) configurada de forma excessivamente permissiva para distribuição de software:
– Pacotes eram instalados com privilégios elevados em múltiplos terminais;
– Não havia validação rígida de origem e integridade desses pacotes;
– Um invasor aproveitou essa brecha para distribuir um binário malicioso de forma silenciosa para grande parte do parque de máquinas.
Esse tipo de configuração incorreta transforma mecanismos de administração legítimos em verdadeiros “sistemas de entrega” para o atacante.
—
Como as organizações podem se preparar melhor
Com base nas percepções de 2025, algumas ações se mostram especialmente eficazes para reduzir o risco de compromissos silenciosos:
1. Implantar monitoramento contínuo e correlação de eventos
Centralizar logs, utilizar plataformas de análise e manter equipes (próprias ou terceirizadas) focadas em detecção e resposta.
2. Adotar avaliações de comprometimento periódicas
Não esperar “sintomas claros” para investigar. Encara-se a Avaliação de Comprometimento como um check-up de segurança.
3. Reforçar a gestão de vulnerabilidades
Inventário de ativos, priorização de patches por criticidade e janelas regulares de atualização.
4. Controlar rigorosamente ferramentas de acesso remoto e LoLBins
Definir políticas de uso, registrar sessões, limitar privilégios e monitorar acessos fora do padrão.
5. Planejar e testar planos de resposta a incidentes
Exercícios práticos, simulações e revisões após cada incidente real, ajustando processos e responsabilidades.
—
Conclusão
As Avaliações de Comprometimento realizadas pela Kaspersky em 2025 revelam um cenário em que muitos incidentes graves simplesmente não são detectados pelas organizações, mesmo aquelas que já investem em ferramentas de segurança.
A combinação de ameaças em memória, uso de ferramentas legítimas para fins maliciosos, gestão deficiente de vulnerabilidades e ausência de monitoramento contínuo cria um terreno fértil para ataques de longa duração. Ao mesmo tempo, os projetos mostram que é possível reduzir drasticamente esse risco ao:
– Aumentar a maturidade de resposta a incidentes;
– Investir em visibilidade e correlação de dados de segurança;
– Tratar a Avaliação de Comprometimento como parte recorrente da estratégia de proteção, e não apenas como reação a um incidente evidente.
Em última análise, a principal lição é que a pergunta “já fomos comprometidos?” não deve ser feita apenas após um grande problema, mas encarada como uma verificação constante, sustentada por processos, tecnologia e profissionais preparados para encontrar o que ainda não é visível.
