Relatório de ameaças globais 2025 

Não subestime os adversários empreendedores de hoje. As ameaças globais são reais. Assista a qualquer programa sobre natureza e você descobrirá rapidamente o que  acontece com os animais que subestimam seus adversários. Eles se tornam presas.  

O mesmo princípio se aplica à segurança cibernética: o adversário está avançando tão rápido que você não pode se dar ao luxo de subestimá-lo. 

Nossa pesquisa mais recente demonstra que os adversários estão se tornando mais eficientes, focados e empresariais em sua abordagem, em muitos aspectos, mais parecidos com as organizações empresariais das quais se aproveitam. É por isso que nossa equipe de analistas de segurança, especialistas e autores escolheu “o adversário empreendedor” como tema para o Relatório Global de Ameaças da CrowdStrike deste ano. 

Veja a inteligência artificial generativa (genAI), por exemplo. Adversários altamente eficazes em todas as principais categorias (estado-nação, crime eletrônico e hacktivista) se tornaram adotantes ávidos e pioneiros. O impacto “multiplicador de força” dos chatbots prontos para uso tornou a genAI uma adição popular à caixa de ferramentas global dos hackers. 

Juntamente com organizações legítimas, o fácil acesso a modelos comerciais de grande linguagem (LLMs) também está tornando os adversários mais produtivos. Isso está encurtando sua curva de aprendizado e seus ciclos de desenvolvimento, e permitindo que eles aumentem a escala e o ritmo de suas atividades. Embora este relatório indique que o uso malicioso da IA esteja crescendo, ele permanece amplamente iterativo e evolutivo neste momento. 

Ocasionalmente, ele se manifesta como um caso de uso totalmente novo. Mas ainda é cedo.  

A empresa adversária cobra seu preço 

A tarefa de proteger suas organizações fica cada vez mais difícil. Você encontrará amplas evidências disso nos dados a seguir. O número de novos “adversários identificados” rastreados continua a se expandir, e adversários estabelecidos estão constantemente adicionando novos alvos e técnicas mais sofisticadas aos seus arsenais de evasão, intrusão e exfiltração. 

Introdução
O CrowdStrike Global Threat Report 2025 introduz um cenário de ameaças cibernéticas cada vez mais acelerado, onde adversários evoluem rapidamente usando inteligência artificial e táticas sem malware.  

A CrowdStrike destaca que a velocidade, sofisticação e o uso de credenciais comprometidas colocam em risco organizações em todos os setores. O relatório enfatiza a necessidade urgente de defesas proativas, visibilidade em tempo real e resposta rápida para enfrentar adversários estatais, cibercriminosos e operadores de ransomware. 

Também mostra que, a combinação de técnicas livres de malware e o uso de inteligência artificial tornou o ambiente de ameaças mais difícil de detectar e mitigar. A proteção de credenciais e a vigilância contínua são agora mais críticas do que nunca. 

Tendências globais de ameaças

Observou-se uma elevação significativa na espionagem cibernética, principalmente conduzida por nações como China, Rússia, Irã e Coreia do Norte. A inteligência artificial generativa também está impulsionando a criação de ataques mais sofisticados de phishing e engenharia social. 

As ameaças cibernéticas evoluíram para serem mais rápidas, furtivas e sofisticadas. Destacam-se: 

1. Ataques movidos por Inteligência Artificial:
   O uso de IA generativa permitiu criar mensagens de phishing, deepfakes de voz (vishing) e conteúdos maliciosos extremamente convincentes. Isso reduziu as barreiras técnicas para ataques de engenharia social e aumentou a eficácia dos golpes.
2. Espionagem cibernética em crescimento:
   Grupos ligados a Estados-nação, como China e Rússia, ampliaram suas campanhas de espionagem. O foco principal está em roubo de propriedade intelectual, vigilância industrial e coleta de informações políticas e militares.
3. Ataques livres de malware:
   Em vez de usar programas maliciosos, os atacantes abusam de ferramentas legítimas do sistema e credenciais comprometidas (técnicas “living off the land”), dificultando a detecção por antivírus tradicionais.
4. Expansão do Ransomware como Serviço (RaaS):
   Ransomware sofisticado está sendo oferecido como serviço em fóruns clandestinos, permitindo que qualquer pessoa, com pouco conhecimento técnico, realize ataques altamente destrutivos com suporte dos operadores experientes.
5. Invasões em ambientes de nuvem:
   Os atacantes exploram configurações erradas e autenticações fracas em serviços de nuvem. Além disso, abusam de credenciais para movimentação lateral, exfiltração de dados e persistência, sem precisar implantar malware.

Principais adversários

O relatório detalha como grupos apoiados por Estados (como CHINA-nexus e RUSSIA-nexus) intensificaram suas atividades. Grupos cibercriminosos focados em ransomware continuam a evoluir, buscando métodos mais rápidos e discretos para extorquir vítimas. 

Adversários apoiados por Estados-nação: 

China (GRUPO CHINA-nexus):
Realizou operações de espionagem massiva focadas em setores como manufatura, finanças, mídia e alta tecnologia. A tática favorita envolveu comprometer credenciais para acesso prolongado e sigiloso. 

Rússia (GRUPO RUSSIA-nexus):
Concentrou ataques em alvos políticos, militares e de infraestrutura crítica, usando campanhas de espionagem e desinformação. Também financiou grupos cibercriminosos para ações indiretas. 

Coreia do Norte (GRUPO DPRK-nexus):
Executou campanhas de ciberespionagem e crimes financeiros, incluindo roubo de criptomoedas e extorsões. Atores norte-coreanos se disfarçaram como freelancers para se infiltrar em empresas. 

Irã (GRUPO IRAN-nexus):
Realizou ataques de espionagem e sabotagem, com foco em infraestrutura crítica e dissidentes políticos. Adotou táticas cada vez mais destrutivas em suas campanhas. 

Adversários cibercriminosos (não estatais): 

Operadores de ransomware: 

 Profissionalização e expansão de serviços como RaaS, permitindo a grupos pequenos lançarem ataques grandes e coordenados. 

Grupos de Engenharia Social:
Exploram IA generativa para criar phishing e vishing ultrarrealistas, visando credenciais de acesso privilegiado. 

Mudanças nas táticas de ataque

Houve uma mudança clara: menos uso de malware tradicional e maior exploração de identidades válidas, com técnicas como “living off the land” (uso de ferramentas legítimas do sistema para fins maliciosos). 

O cenário das ameaças cibernéticas nunca esteve tão dinâmico. De acordo com o CrowdStrike Global Threat Report 2025, estamos testemunhando uma mudança radical nas táticas usadas por atacantes, impulsionada por inovação tecnológica, pressão geopolítica e a crescente complexidade dos ambientes corporativos. 

1. Menos malware, mais “living off the land”

Uma das mudanças mais marcantes é o declínio do uso de malware tradicional na fase inicial dos ataques. Em vez disso, adversários estão cada vez mais abusando de ferramentas legítimas já presentes nos sistemas-alvo — uma tática conhecida como Living off the Land (LotL).
Ferramentas administrativas como PowerShell, PsExec e WMI são usadas para movimentação lateral, coleta de informações e execução de comandos, tudo sem acionar alertas tradicionais de antivírus. 

Impacto: ataques se tornam muito mais difíceis de detectar, pois imitam o comportamento normal do sistema. 

2. Roubo e abuso de identidades

O roubo de credenciais se consolidou como uma das principais portas de entrada para os cibercriminosos. Senhas comprometidas, tokens de sessão e chaves de API são os ativos mais visados, principalmente porque permitem o acesso legítimo a sistemas internos. 

Com identidades válidas em mãos, os atacantes podem: 

• Evitar detecção baseada em anomalias. 

• Expandir seu acesso dentro da rede. 

• Persistir por longos períodos sem levantar suspeitas. 

3. Adoção agressiva de inteligência artificial

A inteligência artificial agora impulsiona ataques tanto de engenharia social (criando e-mails de phishing mais convincentes) quanto de automação de tarefas maliciosas. Bots baseados em IA conseguem adaptar o ataque em tempo real conforme as defesas da vítima reagem, tornando cada intrusão mais personalizada e resiliente. 

4. Aceleração do “Time to Action”

O tempo médio entre a invasão inicial e o movimento lateral (Time to Action) caiu dramaticamente. Segundo a CrowdStrike, alguns invasores precisam de menos de 1 minuto para começar a expandir seu acesso após a primeira brecha. 

Isso exige que as organizações tenham não só detecção rápida, mas respostas automáticas que impeçam o avanço imediato do ataque. 

5. Ambientes de nuvem como alvo primário

Com a migração de dados e operações para a nuvem, os atacantes também ajustaram suas táticas. Hoje, eles: 

• Exploram má configuração de permissões. 

• Usam contas válidas para extrair dados sem necessidade de malware. 

• Movimentam-se lateralmente entre aplicações SaaS e IaaS. 

A falta de segmentação adequada e de monitoramento em ambientes multi-nuvem expôs novas superfícies de ataque. 

O futuro das defesas 

Frente a essa nova realidade, a CrowdStrike recomenda mudanças fundamentais na postura de segurança: 

• Monitoramento contínuo de identidades. 
• Adoção de proteção baseada em comportamento (não só baseada em assinaturas). 
• Integração de inteligência artificial também nas ferramentas de defesa. 
• Automatização das respostas a incidentes para neutralizar ameaças em segundos. 

Quem não se adaptar, ficará vulnerável a uma nova geração de ciberataques invisíveis e velozes. 

Ambientes em nuvem e vulnerabilidades 

Ambientes de nuvem continuam sendo pontos frágeis, com erros de configuração e ausência de correções rápidas abrindo caminho para intrusões e persistência de ameaças. 

O avanço tecnológico transformou a nuvem em um motor de inovação para as empresas — mas também em um dos ambientes mais vulneráveis para a segurança digital. Conforme o CrowdStrike Global Threat Report 2025 revela, a nuvem não é apenas parte da infraestrutura moderna: ela é agora o principal campo de batalha dos ataques cibernéticos. 

1. O crescimento exponencial do alvo

A adoção acelerada de serviços como AWS, Azure e Google Cloud ampliou exponencialmente a superfície de ataque. Cada máquina virtual, API mal configurada ou container exposto se torna uma nova oportunidade para invasores. 

Além disso, ambientes multi-nuvem e híbridos aumentam a complexidade, dificultando a visibilidade e o controle de segurança tradicional. 

Dado alarmante: os ataques direcionados a ambientes em nuvem cresceram 26% no último ano, segundo a CrowdStrike. 

2. As vulnerabilidades mais comuns

• Configurações incorretas: Muitos incidentes são causados não por vulnerabilidades técnicas, mas por configurações erradas que deixam buckets de armazenamento públicos ou APIs expostas. 

• Gestão deficiente de identidades: Chaves de API, credenciais administrativas e tokens de sessão expostos tornam-se o caminho mais fácil para o acesso não autorizado. 

• Falta de segmentação: Redes planas dentro da nuvem permitem que um atacante que comprometa um ponto se mova livremente por todo o ambiente. 

3. Abuso de identidades na nuvem

Os invasores preferem comprometer contas legítimas em vez de tentar explorações complexas. Com uma conta válida, é possível: 

• Exfiltrar dados sem disparar alertas. 

• Alterar políticas de segurança. 

• Criar persistência com backdoors difíceis de detectar. 

Esse abuso de identidades legítimas torna os ataques praticamente “invisíveis” para defesas tradicionais baseadas em perímetro. 

4. Persistência sem malware

Muitos ataques na nuvem nem sequer envolvem malware. Em vez disso, os criminosos manipulam recursos da nuvem: 

• Criam novos usuários administrativos. 

• Instalarem funções serverless maliciosas (como Lambda ou Cloud Functions). 

• Configuram tarefas automáticas para reestabelecer o acesso caso sejam expulsos. 

Tudo isso dentro dos limites das funcionalidades normais do ambiente, o que complica ainda mais a detecção. 

5. Como se defender nesse novo terreno

O relatório destaca que as estratégias de segurança para a nuvem precisam ser adaptadas: 

• Modelo de Confiança Zero (Zero Trust): assumir que nenhuma entidade, interna ou externa, é automaticamente confiável. 

• Monitoramento contínuo: ferramentas que analisam comportamento em tempo real, em vez de apenas eventos de login ou acessos. 

• Reforço da segurança de identidade: políticas rígidas de acesso privilegiado e autenticação multifator (MFA) obrigatória. 

• Automatização de resposta: scripts automáticos para isolar recursos suspeitos assim que comportamentos anômalos forem detectados. 

A nuvem não é “segura por padrão” 

Confiar apenas na infraestrutura oferecida pelos provedores de nuvem é um erro crítico. Segurança em nuvem é uma responsabilidade compartilhada — e exige uma abordagem proativa e adaptável para enfrentar as táticas cada vez mais furtivas dos adversários. 

Recomendações de defesa 

A CrowdStrike enfatiza a necessidade de detecção baseada em comportamento, proteção rigorosa de identidades, adoção de MFA universal e vigilância contínua dos ambientes de TI. 

Com a crescente sofisticação dos ataques cibernéticos, as empresas precisam adaptar suas estratégias de segurança para mitigar riscos emergentes. O CrowdStrike Global Threat Report 2025 oferece recomendações práticas para fortalecer as defesas e responder rapidamente a incidentes. Vamos explorar algumas das principais abordagens para 2025. 

1. Adote um modelo de confiança zero (zero trust)

O modelo de Confiança Zero não assume que nada dentro ou fora da rede é automaticamente confiável. Em vez disso, cada solicitação de acesso deve ser verificada e validada. Isso inclui: 

• Autenticação multifatorial (MFA): A MFA deve ser obrigatória, mesmo para acesso a sistemas internos. Ela impede que um atacante, mesmo com credenciais roubadas, acesse recursos críticos. 

• Segmentação de rede: Ao dividir sua rede em zonas menores, você pode limitar o impacto de um ataque caso ele consiga comprometer um segmento. 

• Dica: Invista em ferramentas que ofereçam verificação contínua e monitoramento de comportamento, não apenas de acesso. 

2. Segurança baseada em comportamento e inteligência artificial

À medida que os atacantes usam técnicas mais sofisticadas, é vital que as defesas também evoluam. Em vez de confiar em assinaturas de malware para detectar ataques, defesas baseadas em comportamento observam anomalias e padrões de uso para identificar atividades suspeitas. 

• IA e Machine Learning: Esses métodos podem analisar grandes volumes de dados e detectar ataques que, de outra forma, seriam invisíveis aos sistemas tradicionais. 

• Análise de rede: Monitore os fluxos de dados para detectar interações incomuns entre sistemas e possíveis movimentos laterais. 

3. Visibilidade e monitoramento em tempo real

A detecção rápida é fundamental para limitar os danos. As ferramentas de monitoramento devem ser configuradas para detectar comportamentos e acessos anômalos em tempo real, garantindo que um ataque seja identificado assim que começar. 

• Logs e alertas detalhados: Assegure-se de que sua infraestrutura registre eventos críticos para análises forenses pós-incidente. 

• Respostas automatizadas: Em muitos casos, a rapidez na resposta é a chave para conter ataques. Ferramentas de automação permitem que sua equipe reaja em segundos, isolando partes da rede antes que o ataque se espalhe. 

4. Treinamento e conscientização contínuos

Ataques de engenharia social, como phishing, continuam a ser uma das formas mais comuns de invasão. Para combater isso, é essencial educar constantemente sua equipe sobre as táticas mais recentes dos atacantes. Campanhas de conscientização, juntamente com simulações de phishing regulares, ajudam a reforçar as melhores práticas de segurança. 

Portanto, realize treinamentos trimestrais para garantir que todos os funcionários saibam como identificar tentativas de phishing e como proteger informações sensíveis. 

5. Planejamento e resposta a incidentes

Não importa o quão robustas sejam suas defesas, nenhum sistema é 100% seguro. Portanto, ter um plano de resposta a incidentes bem definido é vital. Este plano deve incluir: 

• Procedimentos claros: Como isolar máquinas comprometidas, bloquear contas de usuário comprometidas e notificar as partes interessadas. 

• Equipes treinadas: Garanta que suas equipes saibam como atuar rapidamente, minimizando danos e restaurando as operações normais com a maior rapidez possível. 

• Recomendação importante: Teste seu plano de resposta com simulações regulares para garantir que todos os envolvidos saibam o que fazer em caso de incidente real. 

Principais destaques do relatório global de ameaças 2025 da crowdstrike 

Aumento de 150% nas atividades cibernéticas associadas à China: Em 2024, houve um crescimento significativo nas operações de espionagem cibernética vinculadas à China, especialmente nos setores financeiro, de mídia, manufatura e industrial, com ataques direcionados aumentando até 300%. Crescimento de 442% em ataques de vishing: Ataques de engenharia social impulsionados por inteligência artificial generativa (GenAI), como o vishing (phishing por voz), aumentaram drasticamente entre o primeiro e o segundo semestre de 2024.  

• 79% das detecções foram livres de malware: A maioria dos ataques iniciais não utilizou malware tradicional, mas explorou credenciais comprometidas para acessar sistemas como usuários legítimos, dificultando a detecção.  
• Tempo médio de comprometimento caiu para 48 minutos: O tempo médio para que cibercriminosos avancem dentro de uma rede após o acesso inicial diminuiu, com o tempo mais rápido registrado sendo de apenas 51 segundos.  
• Ameaças internas em ascensão: O grupo FAMOUS CHOLLIMA, associado à Coreia do Norte, foi responsável por 304 incidentes em 2024, sendo 40% relacionados a operações internas, onde adversários se infiltraram em organizações sob a aparência de funcionários legítimos. 
• Ambientes em nuvem sob ataque: Houve um aumento de 26% nas intrusões em ambientes de nuvem, com o abuso de contas válidas sendo a principal tática de acesso inicial, representando 35% dos incidentes em nuvem no primeiro semestre de 2024. 
• Vulnerabilidades não corrigidas continuam sendo alvos principais: 52% das vulnerabilidades observadas estavam relacionadas ao acesso inicial, destacando a importância de corrigir falhas conhecidas para evitar que adversários estabeleçam persistência nos sistemas.  

A defesa cibernética é uma jornada contínua 

As ameaças cibernéticas em 2025 são mais complexas, rápidas e sofisticadas do que nunca. Para enfrentar esses desafios, as organizações precisam adotar uma abordagem proativa, integrando tecnologias avançadas e processos de segurança dinâmicos. A combinação de um modelo de Confiança Zero, IA, monitoramento em tempo real e treinamento contínuo pode criar uma rede de defesas impenetrável. 

A evolução das táticas, como ataques sem malware e o abuso de credenciais, exige uma adaptação urgente das estratégias de defesa. Organizações devem adotar modelos como Confiança Zero, reforçar a segurança em ambientes de nuvem e investir em monitoramento comportamental para mitigar riscos.  

A chave para a segurança de longo prazo é a capacidade de se adaptar rapidamente e responder de forma inteligente a novas ameaças. Investir nas defesas hoje pode ser a diferença entre enfrentar uma brecha de segurança catastrófica ou um incidente controlado. A segurança cibernética em 2025 não é uma opção, mas uma necessidade estratégica. 

Se você quiser explorar o relatório completo, pode acessá-lo aqui. 

Para auxiliar as empresas a se precaverem, é importante contar com o apoio de uma empresa de TI especializada e experiente. 

Diferenciais da Infonova 

A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria. 

BACKUP 

Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento. 

VALOR FINANCEIRO 

O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo. 

LIBERAÇÃO DO RH 

O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa. 

FLEXIBILIDADE – HUB DE TECNOLOGIA 

A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como:  

• Ar-condicionado; 

• Outsourcing de impressão; 

• Links de internet; 

• Compra de materiais e mais. 

ALOCAÇÃO DE DESENVOLVEDORES 

A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes. 

RETENÇÃO DE COLABORADORES 

Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa. 

LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES 

Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto, mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro. 

NÃO TEM MULTA DE CONTRATO 

A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado. 

PODE PARAR QUANDO QUISER 

Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência. 

CONTINUAMOS AMIGOS 

Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria. 

DORMIR TRANQUILO 

Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.