Agora, no segundo semestre de 2025, o cenário da segurança cibernética não está apenas ativo; indústria especializada e orientada para a precisão. Atores de ameaças sofisticados não adotam mais uma abordagem do tipo “aplicar e rezar”.
Em vez disso, eles estudam seu setor, exploram seu modelo de negócios e até treinam malware para imitar seus fluxos de trabalho.
Diretor de Estratégia e Segurança da Informação, Concentric.ai.
Para derrotar os invasores, os CISOs precisam entender quem é o alvo de seu setor, como estão fazendo isso e por quê, e então transformar esse conhecimento em ação por meio de um programa robusto de inteligência de ameaças (TIP).
Sem inteligência contra ameaças, suas defesas dependem de suposições. Os atores da ameaça conhecem seu setor, seu ambiente e seus usuários. Ele também deve conhecer suas defesas.
Programa Essencial de Inteligência de Ameaças (TIP)
Uma capacidade madura de inteligência contra ameaças não se trata apenas de coletar feeds, mas de transformar dados de ameaças em defesas acionáveis. Com um programa moderno, você pode:
– Identifique atores de ameaças e táticas, técnicas e procedimentos (TTP) direcionados ao seu setor com alta fidelidade.
– Use estruturas como MITRE ATT&CK para reduzir riscos.
– Melhore a detecção e a resposta com gerenciamento de eventos e informações de segurança (SIEM), orquestração, automação e resposta de segurança (SOAR) e detecção e resposta de endpoint (EDR).
– Personalize o treinamento de conscientização para cenários de ataque reais.
– Fornecer relatórios prontos para a gestão que embasam as decisões.
Para desbloquear o valor da inteligência contra ameaças, integre-a à sua estrutura de segurança. Por exemplo:
Engenharia de detecção – Mapeie TTPs para MITRE, crie detecções e enriqueça SIEM/detecção e resposta estendida (XDR) com indicadores de engajamento (IoC) relevantes.
Resposta Automatizada (SOAR) – Identifique alertas por atores e setores e lance manuais alinhados com perfis de ameaças.
Gerenciamento de vulnerabilidades – Priorize patches relacionados a ameaças ativas.
Consciência de segurança – Simule phishing baseado em atores (por exemplo, QR-phishing do TA577) e treine equipes contra ataques de voz profundos.
Os CISOs devem incluir atualizações de inteligência sobre ameaças ao conselho e à equipe executiva com as atualizações regulares do programa.
Devem incluir tendências de ameaças da indústria e flutuações entre pares, motivações dos intervenientes e técnicas em evolução, resultados de risco e necessidades de financiamento.
Essas informações estão alinhadas à segurança cibernética estratégica e empresarial, e não apenas reativas.
Motivadores de ameaças por setor
Cada setor enfrenta ameaças especializadas. Aqui está um resumo dos principais motivadores de ameaças, técnicas e tendências por setor.
Atores de ameaças na área da saúde
Os atores da ameaça incluem Scattered Spider (UNC3944), Black Basta, RansomHub e NoEscape. Os TTPs para contornar a autenticação multifator (MFA) incluem troca de SIM, risco de plataforma baseada em nuvem e SaaS, movimento lateral via Remote Desktop Protocol (RDP) e endpoints não gerenciados e abuso de acesso por fornecedores terceirizados.
Os influenciadores da área de saúde estão (1) usando engenharia social para se passar por pessoas internas ou fornecedores, como ofertas de emprego falsas; (2) contornar o MFA através do abuso do suporte técnico e do processo de recuperação; e (3) aproveitar movimentos laterais avançados, como Living Off the Land Binaries (LOLBins), Windows Management Instrumentation (WMI) e PsExec para sobreviver em redes segmentadas.
O FBI alertou que os atores do Scattered Spider estão visando software de helpdesk de saúde e contornando a autenticação de dois fatores (2FA) por meio da substituição da linha de apoio. Lifewire relata que o desvio de MFA está se tornando um ponto de entrada comum em campanhas de ransomware na área de saúde.
Serviços Financeiros – Os atores incluem APT38 (Lazarus), TA577 e Storm 1811. Os TTPs incluem falsificação de voz habilitada para Deepfake, aplicativos bancários móveis de phishing QR, disseminação de aplicativos de investimento e pagamento não autorizados e abuso de processadores de pagamento de terceiros.
Atores de ameaças em serviços financeiros
Nos serviços financeiros, os agentes de ameaças (1) utilizam falsificações de voz falsas para autorizar transferências fraudulentas; (2) iniciar phishing de código QR para roubar credenciais financeiras; e (3) implantar aplicativos falsos para coletar dados e espalhar malware, explorando lacunas no treinamento, na segurança móvel e na vulnerabilidade dos fornecedores.
O FBI destacou recentemente o aumento de esquemas de fraude de voz deepfake, causando perdas multibilionárias por fraude eletrônica em instituições financeiras.
As empresas de segurança cibernética relataram um aumento nas campanhas de phishing de códigos QR que se fazem passar por grandes bancos para comprometer credenciais e manter contas. Alertas da indústria observaram o surgimento de aplicativos móveis fraudulentos disfarçados de ferramentas fintech legítimas, aumentando a exposição ao roubo de credenciais e infecções por malware móvel.
Atores de ameaças na manufatura e TO
Os atores da ameaça incluem Volt Typhoon, Sandworm, LockBit 3.0 e Muddled Libra Scattered Spider. Os TTPs incluem coleta de credenciais, manipulação de protocolos ICS (Industrial Control Systems) e exploração de protocolos legados e específicos de OT usando WMI e PsExec.
Nesta vertical, o Volt Typhoon visa ambientes híbridos de tecnologia da informação (TI)/tecnologia operacional (TO), aproveitando segmentação fraca e controles de identidade para manter o acesso a longo prazo e permitir interrupções futuras. Várias agências governamentais confirmaram que o Volt Typhoon pré-posicionou as redes de TI para possíveis sabotagens para recorrer à OT (CISA Advisory).
Analistas relatam que o Volt Typhoon manteve oculto o acesso à rede OT de uma pequena empresa de serviços públicos dos EUA por quase um ano, demonstrando persistência e discrição sofisticadas. O foco contínuo da Sandworm em sistemas de controle industrial destaca o risco crescente para os setores de manufatura e de infraestrutura crítica.
Atores de ameaças no varejo e no comércio eletrônico
O elenco aqui inclui Magecart Group 6, Storm‑0539 (também conhecido como ATLAS LION) e LAPSUS$. Sequestro de pagamentos por TTP por meio de plug-ins de navegador e skimmers JS, sequestro de contas por meio de roubo de credenciais ou de sessão e ataques internos para acessar diretamente o sistema.
Os agentes de ameaças de varejo estão explorando credenciais comprometidas de funcionários e campanhas de phishing, muitas vezes via QR e SMS, para injetar skimmers em cartões de pagamento, sequestrar fluxos de pagamento e criar cartões-presente fraudulentos.
Cada vez mais, essas operações combinam phishing alimentado por IA e táticas de recrutamento interno para contornar a MFA, comprometer secretamente sistemas POS e coletar dados de pagamento de clientes por longos períodos de tempo. Os skimmers Magecart roubam cartões de pagamento de sites de comércio eletrônico e estão revivendo métodos de pagamento baseados em JS.
A Microsoft vê campanhas de spear phishing e smishing Storm-0539 direcionadas a fluxos de trabalho de cartões-presente em comerciantes dos EUA, permitindo contornar MFA por meio de páginas de phishing assistidas por IA (Microsoft). Alertas e estudos de caso da CISA revelam que o LAPSUS$ está recrutando pessoas internas e abusando de contas válidas em entidades de varejo (CISA) para extorsão de dados sem resgate.
Atores de ameaças em tecnologia e SaaS
O elenco aqui inclui Midnight Blizzard (APT29), UNC5537 e UNC3886. Os TTPs incluem infiltração de token OAuth, envenenamento da cadeia de suprimentos de CI/CD (por exemplo, GitHub Actions) e carregamento lateral de DLL.
As APTs de tecnologia e SaaS têm como alvo pipelines nativos da nuvem, explorando tokens OAuth e fluxos de trabalho de integração contínua (CI)/entrega/implantação contínua (CD) e usando sideload de biblioteca de link dinâmico (DLL) para persistência furtiva e escalonamento.
APT29 continua a aproveitar o roubo de token OAuth para infiltração profunda de serviços em nuvem e ambientes SaaS (Microsoft). Os ataques recentes à cadeia de suprimentos se concentraram nos fluxos de trabalho do GitHub Actions, envenenando backdoors para construir pipelines (Alerta CISA). UNC5537 e UNC3886 foram observados usando sideloaders de DLL para ignorar a lista de permissões de aplicativos e executar malware sob software legítimo (CrowdStrike).
Energia e infraestrutura críticas – Os atores incluem Volt Typhoon, ChamelGang, Xenotime e DarkTortilla. Os TTPs incluem implantes de firmware, ataques a portais de fornecedores e roubo de credenciais de engenheiros de campo.
Os atores de ameaças que visam infraestruturas críticas usam implantes de firmware, ataques a fornecedores e credenciais roubadas de engenheiros de campo, explorando vulnerabilidades de cadeia de suprimentos e de identidade. O Volt Typhoon continua a aproveitar o roubo de token OAuth para infiltração profunda de serviços em nuvem e ambientes SaaS (CISA).
A Xenotime é conhecida por implantar malware direcionado a sistemas de controle industrial, aproveitando credenciais roubadas de trabalhadores de campo para aumentar o acesso (Dragos).
A palavra final: não tenha apenas certeza – enfrente o oponente
Sem inteligência contra ameaças, suas defesas são apenas suposições. Os atores da ameaça conhecem seu setor, seu software e seus sistemas. Eles também devem conhecer suas defesas e comunicar essas informações ao conselho ou equipe executiva.
As organizações devem construir os seus programas de segurança cibernética em torno de adversários e não de suposições. Os atores de ameaças são hiperfocados pela indústria, portanto, é essencial criar um mecanismo centralizado de inteligência de ameaças que potencialize a detecção, a resposta e o treinamento.
Finalmente, as equipes devem usar inteligência baseada em notícias para comunicar urgência e briefings executivos trimestrais.
Confira nossa lista das melhores soluções de gerenciamento de identidade.
