Resumo do cenário de ameaças no final do ano: O que realmente aconteceu em 2025

2025 foi um ano em que a narrativa da cibersegurança se dividiu fortemente entre os títulos dos jornais e a realidade.

Enquanto as conversas do sector estavam repletas de previsões dramáticas, como mega-ataques impulsionados por IA, o “colapso” do ransomware, a disrupção quântica e o fim do phishing tal como o conhecemos, o verdadeiro cenário de ameaças evoluiu de formas menos teatrais, mas muito mais consequentes.

Os atacantes exploraram as vulnerabilidades mais rapidamente do que as organizações conseguiam corrigi-las. Os grupos de ransomware não desapareceram, mas reformularam-se. E a engenharia social tornou-se discretamente mais adaptável, mais consciente do contexto e muito mais eficaz do que a maioria das acções de sensibilização previam.

Este balanço de fim de ano passa ao lado da publicidade e concentra-se nas provas: os comportamentos, os padrões de ataque e as tendências de exploração que moldaram verdadeiramente 2025.

O que aconteceu de facto em 2025

1. As vulnerabilidades foram exploradas mais rapidamente do que as organizações podiam responder

A velocidade de exploração acelerou novamente em 2025. Em vários casos de elevada gravidade, o código de prova de conceito e a exploração ativa surgiram poucas horas após a divulgação – e não dias ou semanas.

Principais tendências:

• Os atacantes monitorizavam cada vez mais os avisos dos fornecedores e os repositórios de provas de conceito para utilizar as vulnerabilidades como armas assim que as correcções eram lançadas.
• Os “dias zero” fizeram manchetes, mas as vulnerabilidades “antigas” amplamente conhecidas foram responsáveis por uma parte significativa das intrusões bem sucedidas.
• Os serviços remotos (VPNs, firewalls, hipervisores e fornecedores de identidade) continuaram a ser os alvos mais lucrativos devido ao seu acesso direto às redes internas.

Para muitas organizações, não foi a complexidade das vulnerabilidades que causou problemas, mas sim a lacuna operacional entre a disponibilidade e a aplicação de correcções.

Porque é que isto é importante: “A aplicação de patches mais rapidamente” não é viável a menos que a organização tenha visibilidade, inteligência de activos e capacidade operacional. 2025 deixou claro que a velocidade de exploração ultrapassa agora os ciclos de correção tradicionais, obrigando as equipas a dar prioridade à correção baseada no risco, à monitorização contínua e à higiene da configuração.

2. O ransomware não diminuiu, evoluiu

As previsões de um declínio do ransomware não se concretizaram. Em vez disso, a ameaça mudou de forma.

2025 viste:

• Uma recuperação dos incidentes de ransomware confirmados (aumento de ≈34% em relação ao ano anterior)
• Uma viragem para o roubo de dados como principal mecanismo de extorsão
• Campanhas em que a encriptação era opcional ou totalmente omitida
• Aumento do acesso inicial através da exploração de vulnerabilidades combinada com o roubo de credenciais

Em vez de eventos de encriptação do tipo “big bang”, muitos incidentes começaram discretamente: os atacantes recolhiam dados, mapeavam sistemas internos e só mais tarde desencadeavam a extorsão. Vários casos de grande visibilidade demonstraram que, mesmo quando a encriptação falhava, a ameaça de divulgação era suficiente para forçar negociações.

Porque é que isto é importante: As cópias de segurança são agora apenas uma camada de defesa. A deteção e a resposta têm de abranger todo o ciclo de vida do ransomware, desde o acesso inicial até ao movimento lateral e à exfiltração.

3. A engenharia social tornou-se consciente do contexto e mais difícil de detetar

A maior mudança na engenharia social não foi o volume, foi a precisão.

Os atacantes utilizam cada vez mais:

• Iscas contextuais que imitam fluxos de trabalho internos, aprovações, comunicações com fornecedores e alertas de sistema
• Ferramentas assistidas por IA para gerar variantes que contornam a filtragem estática de correio eletrónico
• “Phishing polimórfico” em que os nomes dos remetentes, os metadados, a marca e o estilo de escrita mudam entre tentativas

Em muitos casos, os utilizadores não caíam em e-mails obviamente suspeitos, mas respondiam a imitações quase perfeitas de mensagens operacionais do dia a dia.

O aumento do trabalho remoto e a omnipresença de software de acesso remoto (VPN, RDP, ferramentas de ambiente de trabalho remoto) acrescentaram pontos de pressão adicionais. As contas Bastion e de administrador foram fortemente visadas, muitas vezes utilizando uma combinação de engenharia social e recolha de credenciais.

Porque é que isto é importante: A formação de consciencialização baseada em padrões de phishing “antigos” já não corresponde à realidade da engenharia social adaptativa e com IA. Uma defesa eficaz exige agora uma formação comportamental que reflicta o engano moderno e não exemplos antigos.

4. A identidade tornou-se a nova superfície de ataque principal

2025 reforçou uma dura verdade: os atacantes preferem cada vez mais a intrusão baseada na identidade em vez do comprometimento baseado em malware.

Os factores mais comuns nas violações:

• Utilização indevida de credenciais
• Pulverização de palavras-passe (uma pequena lista de palavras-passe prováveis tentadas em muitas contas)
• Roubo de tokens e sequestro de sessões
• O cansaço do MFA
• Contas com privilégios excessivos com permissões amplas ou antigas

O comprometimento da identidade foi a causa principal de vários incidentes em organizações do sector industrial, logístico, educativo e público. Uma vez lá dentro, os atacantes deparavam-se frequentemente com uma segmentação mínima, o que lhes dava acesso lateral com pouco atrito.

Porque é que isto é importante: A identidade ultrapassou os endpoints como o ponto de entrada mais fiável. O privilégio mínimo, a governação de acesso robusta e a MFA resistente a phishing são agora controlos de segurança essenciais e não melhorias opcionais.

5. As perturbações operacionais resultaram de problemas antigos, não de problemas novos

As manchetes centraram-se nas ameaças impulsionadas pela IA, mas a maior parte dos impactos operacionais em 2025 teve origem em questões muito mais familiares:

• Interfaces de gestão expostas
• Ativos de nuvem mal configurados
• Sistemas não corrigidos ou em fim de vida
• Fraca segmentação entre ambientes críticos e não críticos
• Pontos únicos de falha em serviços de terceiros

Várias interrupções de serviço de grande impacto que dominaram o ciclo de notícias tiveram origem em falhas básicas de higiene e não em agentes de ameaças avançadas.

Porque é que isto é importante: A diferença entre um pequeno incidente e uma grande interrupção de serviço resume-se muitas vezes aos fundamentos. 2025 reafirmou que as ferramentas avançadas não podem compensar uma base operacional fraca.

Principais vulnerabilidades e exposições comuns exploradas (CVEs)

Em todos os relatórios globais, surgiram vários padrões:

1. A exploração concentrou-se fortemente em sistemas voltados para o público
   Aparelhos VPN, dispositivos de firewall, gateways de e-mail e fornecedores de identidade na nuvem continuaram a ser os principais alvos.
2. As vulnerabilidades amplamente conhecidas continuam a ser das mais exploradas
   Os CVE mais antigos com correcções disponíveis continuam a prevalecer devido a longos prazos de correção, sistemas antigos ou implementações incompletas de correcções.
3. Os atacantes exploraram oportunidades de encadeamento
   Em vez de se basearem numa única falha, os autores das ameaças combinaram frequentemente uma vulnerabilidade conhecida de execução remota de código, uma falha de escalonamento de privilégios e uma configuração incorrecta ou uma credencial não segura. Esta abordagem em cadeia permitiu um movimento lateral rápido após o acesso inicial.
4. Os tempos de armamento aceleraram drasticamente
   . Várias vulnerabilidades críticas foram exploradas ativamente no mesmo dia em que os avisos dos fornecedores foram publicados.

O que isto nos diz: A ameaça não tem apenas a ver com novas vulnerabilidades, mas também com visibilidade, definição de prioridades e velocidade. Os atacantes concentram-se no caminho mais fácil para entrar, não no mais sofisticado.

Tácticas, técnicas e procedimentos do ransomware

• A atividade de ransomware recuperou em 2025: uma análise estima um aumento de cerca de 34% nos incidentes de ransomware confirmados em comparação com 2024.
• Muitos atacantes preferem agora a dupla extorsão: primeiro exfiltram os dados, depois encriptam-nos ou ameaçam divulgá-los.
• A economia do ransomware está a mudar. De acordo com um inquérito global, o pagamento médio de um resgate em 2025 manteve-se elevado (≈ 1,0 milhões de dólares), mas apenas uma minoria das organizações pagou.
• Os actores do ransomware combinam cada vez mais a exploração de vulnerabilidades (por exemplo, VPNs/firewalls não corrigidas) com o roubo de credenciais ou phishing/engenharia social para obter o acesso inicial.

Porque é que isto é importante: A mudança para uma tática que privilegia a exfiltração e a encriptação como meio secundário significa que os defensores não podem confiar apenas nas cópias de segurança dos ficheiros. A deteção e a prevenção devem agora abranger todo o ciclo de vida da intrusão, desde o acesso até à exfiltração, e acompanhar o ritmo dos ataques orientados para a exploração.

Evoluções da engenharia social: O que surpreendeu (e teve sucesso)

• A engenharia social continua a ser o principal motor das campanhas de ransomware e de violação em 2025. Em particular, o phishing como ponto de acesso inicial aumentou significativamente.
• O aumento do phishing alimentado por IA: os atacantes estão frequentemente a utilizar ferramentas automatizadas ou assistidas por IA para criar e-mails de phishing convincentes e altamente adaptados que contornam a deteção tradicional.
• Muitos e-mails de phishing utilizam agora caraterísticas “polimórficas”, variando os nomes dos remetentes, metadados, assuntos e logótipos, para derrotar os filtros baseados em assinaturas e evitar a deteção de padrões.
• A mudança para o trabalho híbrido, os ambientes remotos e a utilização generalizada de software de acesso remoto (VPNs, RDP, ferramentas de desktop remoto) aumentaram ainda mais a eficácia das tácticas de roubo de credenciais e de engenharia social.

Porque é que isto é importante: A sensibilização para a segurança, por si só, já não é suficiente. À medida que os atacantes utilizam a IA para escalar e adaptar a engenharia social, as organizações precisam de investir em defesas em camadas (controlos técnicos + formação humana + deteção de anomalias), especialmente em torno do acesso ao correio eletrónico e à identidade.

Onde as previsões falharam e porquê

Muitas previsões anteriores partiam do princípio de que o ransomware continuaria a ser dominado por ataques de encriptação de grande impacto e que os ciclos de aplicação de patches manteriam o ritmo. Essa visão foi subestimada:

1. A explosão do volume de vulnerabilidades e a sua rápida transformação em armas: em 2025 foram divulgadas muito mais vulnerabilidades CVE do que muitas previsões apontavam, e os atacantes exploraram muitas delas em poucas horas.
2. A mudança para modelos de negócio de dupla extorsão/fuga de dados: A encriptação por si só está a perder o seu valor quando os alvos têm boas cópias de segurança; o roubo de dados e a extorsão dão mais vantagem.
3. O poder da engenharia social + IA: as previsões que se centravam apenas nas vulnerabilidades técnicas ignoravam a eficácia do phishing assistido por IA e dos ataques baseados em credenciais.

Isto significa que os defensores e os modelos de risco que se baseavam principalmente em ciclos de correção, resiliência de cópias de segurança ou atenuação baseada na encriptação precisavam de ser reavaliados. A verdadeira ameaça, especialmente para muitas organizações, é agora mais vasta: abrange a identidade, o acesso inicial, a exfiltração de dados e a engenharia social.

O que as organizações precisam de fazer a partir de 2025 e em que se devem concentrar em 2026

As maiores lições de 2025:

• A identidade é a principal superfície de ataque.
• A correção deve deixar de se basear no calendário e passar a basear-se no risco.
• A defesa contra o ransomware tem agora a ver com a proteção dos dados e não apenas com a recuperação da encriptação.
• Os modelos de sensibilização devem refletir as técnicas modernas de engano.

Descobre como a plataforma de Gestão do Risco Humano da MetaCompliance pode ajudar a tua organização a gerir proactivamente os riscos cibernéticos de origem humana em 2026. Desde a redução das ameaças de phishing e de engenharia social até ao reforço da proteção da identidade e à garantia da conformidade, a nossa plataforma transforma a sensibilização em resultados de segurança mensuráveis, tornando os seus colaboradores na sua linha de defesa mais forte.