Tendências de incidentes cibernéticos em 2025: O que as empresas devem saber

O panorama da cibersegurança continua a evoluir a um ritmo alarmante, à medida que os agentes maliciosos exploram técnicas cada vez mais sofisticadas para perturbar as organizações de todos os sectores. Desde as intrusões baseadas em inteligência artificial até à intensificação das campanhas de estados-nação, as empresas enfrentam desafios sem precedentes na proteção dos seus activos digitais e na manutenção da resiliência operacional. Compreender estas ameaças emergentes e implementar estratégias defensivas robustas tornou-se fundamental para a sobrevivência das organizações no atual ecossistema digital interligado.

A inteligência artificial transforma os métodos de ataque cibernético

A inteligência artificial mudou fundamentalmente a forma como os agentes de ameaças conduzem as operações cibernéticas. Dados recentes revelam que aproximadamente dezasseis por cento dos incidentes cibernéticos comunicados envolvem agora atacantes que utilizam ferramentas de IA, particularmente modelos de geração de imagem e linguagem, para executar campanhas sofisticadas de engenharia social. A IA generativa aumentou drasticamente a eficácia dos ataques, criando enganos mais convincentes e permitindo uma automatização generalizada das ferramentas de intrusão.

Os agentes de ameaças utilizam a tecnologia de IA de várias formas perigosas. A tecnologia Deepfake permite aos criminosos criar imitações realistas de áudio e vídeo de executivos e pessoal de apoio, que utilizam para autorizar transferências bancárias fraudulentas, roubar credenciais de utilizador e comprometer contas. Um incidente particularmente devastador envolveu atacantes que utilizaram imagens publicamente disponíveis para criar vídeos deepfake convincentes do Diretor Financeiro e dos funcionários de uma empresa, enganando com sucesso uma vítima para que esta transferisse mais de vinte e cinco milhões de dólares para os criminosos.

O phishing por voz, ou "vishing", representa outro vetor de ameaça reforçado por IA. Os atacantes utilizam scripts gerados por IA e clones de voz em campanhas telefónicas direcionadas, concebidas para persuadir as vítimas a descarregarem cargas maliciosas, a estabelecerem sessões de apoio remoto ou a divulgarem as suas credenciais de início de sessão. Além disso, os agentes de ameaças utilizam ferramentas de IA generativas para produzir e-mails e mensagens de texto de phishing altamente personalizados que incluem detalhes contextuais e padrões de linguagem natural, aumentando significativamente a probabilidade de as vítimas clicarem em links maliciosos e entregarem as suas credenciais.

Os ataques de ransomware tornam-se mais agressivos e dispendiosos

O ransomware continua a atormentar as organizações em todos os sectores da indústria, com relatórios recentes a mostrarem um aumento de doze por cento, ano após ano, nas violações relacionadas com ransomware. Os atacantes adoptaram técnicas de extorsão cada vez mais agressivas e implementaram ferramentas mais sofisticadas para maximizar a pressão sobre as vítimas. As campanhas modernas de ransomware combinam a encriptação de dados tradicional com tácticas perturbadoras, incluindo o assédio aos funcionários e ameaças a operações críticas, o que resulta num tempo de inatividade prolongado e em custos de recuperação substancialmente mais elevados.

Vários grupos de ransomware notáveis dominaram as manchetes recentes. O grupo de ameaça Scattered Spider ressurgiu empregando técnicas avançadas de engenharia social para obter acesso inicial a organizações de diversos sectores. Entretanto, a operação do ransomware LockBit ressurgiu no início de 2025 com o seu kit de ferramentas atualizado, o LockBit 4.0, lançando campanhas de extorsão agressivas que visavam sobretudo o sector privado nos Estados Unidos.

É interessante notar que as respostas organizacionais aos ataques de ransomware parecem estar a mudar. Uma pesquisa recente do setor indica que aproximadamente sessenta e três por cento das organizações pesquisadas se recusaram a pagar resgates no ano passado, representando um aumento de cinquenta e nove por cento em 2024. Essa tendência sugere uma resistência crescente às demandas de extorsão criminosa, embora também destaque a necessidade de recursos robustos de backup e recuperação que permitam às organizações restaurar as operações sem capitular aos invasores.

Ameaças de estados-nação intensificam-se em meio a tensões geopolíticas

Os agentes de ameaças de estados-nação intensificaram significativamente as suas operações cibernéticas, visando infra-estruturas de telecomunicações, sistemas críticos e fornecedores de serviços terceiros estratégicos. Estas campanhas sofisticadas empregam normalmente técnicas de ciberespionagem e tácticas avançadas de engano para roubar credenciais de utilizador e obter acesso não autorizado a redes e dados sensíveis.

Os grupos de agentes de ameaças baseados na China aumentaram drasticamente as suas actividades durante o ano passado, com certas indústrias alvo a sofrerem um aumento de duzentos a trezentos por cento nos ataques em comparação com o ano anterior. Duas campanhas de intrusão de grande visibilidade chamaram a atenção a nível mundial: Salt Typhoon e Volt Typhoon. A operação Salt Typhoon infiltrou com êxito grandes redes de telecomunicações numa campanha de ciberespionagem de grande alcance, enquanto o Volt Typhoon envolveu o pré-posicionamento de código malicioso em sistemas de infra-estruturas críticas, suscitando sérias preocupações quanto a uma potencial escalada para danos físicos ou perturbações generalizadas.

Os agentes afiliados a estados-nação também exploraram tácticas de engenharia social para além das intrusões técnicas. Agentes de ameaças afiliados à Coreia do Norte infiltraram-se em empresas norte-americanas fabricando documentação e criando perfis de candidatos convincentes para garantir o emprego em funções de apoio informático, posições que posteriormente aproveitaram para recolher credenciais de utilizadores e executar transacções financeiras fraudulentas. Os agentes ligados ao Irão adoptaram, nomeadamente, ferramentas de IA generativa, tendo um grupo alegadamente amplificado as informações divulgadas através de chatbots de IA na sequência de uma campanha de pirataria informática que visava dados sensíveis de jornalistas em julho de 2025.

Os ataques a cadeias de abastecimento de terceiros apresentam riscos crescentes

Os ataques de terceiros ocorrem quando os agentes de ameaças comprometem parceiros da cadeia de suprimentos, fornecedores ou provedores de software e aproveitam esse acesso para se infiltrar nas redes das organizações-alvo. Estes ataques ocorrem frequentemente em cascata em sistemas interligados, afectando várias entidades a jusante e clientes que dependem do software ou serviços comprometidos. Dados recentes de informações sobre ameaças destacam um aumento do cibercrime com motivação financeira que visa os fornecedores de software como pontos de entrada iniciais em ecossistemas empresariais mais alargados.

Ao violar fornecedores terceiros, os atacantes podem contornar as defesas de perímetro tradicionais e obter acesso privilegiado a ambientes empresariais sensíveis. Estes agentes de ameaças exploram frequentemente ambientes alojados, como plataformas de nuvem e ecossistemas de software como serviço, movendo-se lateralmente através de instâncias de clientes, recolhendo credenciais e exfiltrando dados proprietários à escala. Esta tática permite um impacto generalizado, sobretudo quando os fornecedores servem vários clientes em diferentes sectores.

Os comprometimentos da cadeia de fornecimento de terceiros tornaram-se um dos vectores de ameaça cibernética mais dispendiosos e persistentes que as organizações enfrentam atualmente. Dados recentes indicam que estas violações têm um custo médio de quase cinco milhões de dólares e requerem períodos mais longos para serem identificadas e contidas do que qualquer outra forma de intrusão cibernética. A complexidade das relações com os fornecedores e os tempos de espera prolongados contribuem para atrasar os esforços de resposta e aumentar a exposição das organizações afectadas.

Recomendações essenciais para a ciber-resiliência

A manutenção de um programa de cibersegurança abrangente e baseado no risco continua a ser a defesa mais eficaz contra a evolução das ciberameaças. As organizações devem dar prioridade à preparação para a resposta a incidentes através da realização de exercícios de mesa envolvendo os principais executivos, representantes do conselho de administração e chefes de departamento para validar funções, procedimentos de escalonamento e estruturas de tomada de decisões. Estes exercícios devem incorporar ameaças emergentes, como a utilização maliciosa de IA generativa, para garantir que as equipas estão preparadas para cenários realistas.

A gestão de políticas requer atenção contínua. As organizações devem rever e atualizar regularmente os planos de resposta a incidentes, os procedimentos de continuidade do negócio e os processos de aprovação de comunicações para garantir que reflectem as ameaças actuais e cumprem os requisitos de notificação rápida, como o requisito de notificação inicial de vinte e quatro horas da Diretiva NIS2 da União Europeia e a regra de divulgação de quatro dias úteis da SEC para incidentes materiais. As políticas actualizadas devem ser divulgadas às partes interessadas adequadas e devem abordar a tolerância ao risco para tecnologias emergentes como a IA generativa.

A mitigação de riscos de terceiros exige uma diligência devida robusta do fornecedor e salvaguardas contratuais. As organizações devem realizar análises de criticidade para identificar fornecedores e componentes cujo comprometimento causaria o maior impacto operacional. As principais medidas de proteção incluem a exigência de atestados de práticas seguras de desenvolvimento de software por parte dos fornecedores, a implementação de fortes protecções contratuais com requisitos de notificação imediata de incidentes e direitos de auditoria, a realização de avaliações regulares das práticas de segurança dos fornecedores e o teste dos esforços de resposta através de exercícios de mesa envolvendo cenários de fornecedores terceiros.

Os processos de gestão de vulnerabilidades devem ser rápidos e sistemáticos, dada a frequência dos patches de segurança e do desenvolvimento de exploits. As organizações devem manter processos documentados para identificar, avaliar, prioritizar, remediar e acompanhar as vulnerabilidades, atribuindo claramente a responsabilidade e os prazos para as actividades de correção. A implementação de ferramentas de monitorização contínua e de gestão proactiva de patches que produzam registos auditáveis permite às organizações resolver as vulnerabilidades antes que os agentes de ameaças as possam explorar.

Por fim, o envolvimento com grupos do sector e a informação sobre actualizações regulamentares e de aplicação da lei reforçam a postura de segurança da organização. Apesar da recente incerteza jurídica em torno da partilha de informações sobre cibersegurança após a expiração de determinadas disposições legais, a partilha de informações atempada e coordenada continua a ser vital. As organizações devem aderir a grupos de cibersegurança específicos da indústria para se manterem informadas sobre as ameaças e as melhores práticas específicas do sector, ao mesmo tempo que monitorizam as actualizações das agências governamentais e subscrevem os boletins de informações sobre ameaças da aplicação da lei.

Embora a eliminação total do risco cibernético continue a ser impossível, dar prioridade à prontidão de resposta a incidentes e à conformidade regulamentar cria resiliência técnica e posiciona as organizações de forma mais favorável, tanto do ponto de vista operacional como legal, quando inevitavelmente se tornam alvos de ciberataques.

Fonte: https://www.mayerbrown.com/en/insights/publications/2025/10/2025-cyber-incident-trends-what-your-business-needs-to-know