O M-Trends 2026, relatório com mais de 500 mil horas de investigações, teve a sua edição mais recente apresentada durante o Redbelt Security EXPAND 2026, e busca dimensionar o estágio atual das ameaças: o tempo médio entre o acesso inicial e a execução do ataque caiu para 22 segundos. Atualmente, o vetor de entrada mais comum é o exploit (exploração de falhas sistêmicas), presente em 32% dos casos, que superou o phishing (e-mail ou mensagens suspeitas) suspeito. O ransomware evoluiu e virou problema de resiliência, já que os atacantes focam também no backup e bloqueiam a capacidade de recuperação.
Segundo David Stone, diretor do Office of the CISO do Google Group, uma das campanhas foi em torno das redes de telecomunicação na América Latina e em outros lugares, onde os criminosos estão acessando os sistemas de telecomunicação para conseguir rastrear e monitorar. “Rastreamos a exclusão de diferentes torres de telefone para contornar a autenticação multifator em aparelhos corporativos. As campanhas e os eventos que observamos seguem em expansão em diferentes áreas”.
Ainda de acordo com Stone, houve um aumento significativo dos ataques direcionados a ambientes SaaS, com o objetivo de garantir múltiplos pontos de acesso e visibilidade dentro das redes. “Uma das frentes que mais investigamos envolve APIs, especialmente plataformas como o GitHub e outras que concentram propriedade intelectual e repositórios de código-fonte, tornando-se altamente valiosas para os atacantes. Também observamos uma exploração massiva de dispositivos de rede, o que representa um grande desafio para a resposta a incidentes. Afinal, como conduzir uma resposta eficaz em um firewall ou em um switch de rede, quando esses próprios equipamentos passam a ser usados como canais de comando e controle dentro do ambiente?”
O especialista destaca que essa é uma tendência agressiva e crescente. “Existem equipes dedicadas à descoberta de vulnerabilidades zero-day nesses dispositivos, justamente porque se trata de uma camada difícil de proteger. E eles sabem disso. Ao comprometer esses ativos, conseguem estabelecer persistência por longos períodos dentro das redes, dificultando ainda mais a detecção e a contenção dos ataques”, explica.
Eduardo Lopes, CEO da Redbelt Security, reforçou o que está na agenda de qualquer CISO agora: IA nas operações, governança de identidade em escala e a necessidade de respostas que acompanhem a velocidade do cenário. “O CISO hoje carrega decisões que impactam a empresa inteira, muitas vezes sem ter com quem trocar experiências. Idealizamos o EXPAND para ser esse espaço: um lugar onde líderes de segurança encontram pares que enfrentam os mesmos dilemas e saem com repertório real para o que vem pela frente”, explica.
