Acesso remoto e ferramentas administrativas confiáveis são agora centrais tanto para as operações organizacionais quanto para as estratégias de intrusão, de acordo com o Relatório Anual de Ameaças 2026 da **Blackpoint Cyber**. O relatório, derivado de milhares de investigações de segurança, enfatiza uma mudança significativa nas táticas dos atacantes: um afastamento da exploração de vulnerabilidades em direção ao uso de credenciais válidas, ferramentas legítimas e ações rotineiras de usuários. O relatório analisa esses padrões, documenta onde a atividade de intrusão foi interrompida e fornece prioridades defensivas com base nos resultados de resposta a incidentes observados ao longo de 2025. **➡️ [Registre-se para o webinar](https://blackpointcyber.com/webinar/inside-the-soc-ep002-blackpoint-2026-annual-threat-report/?utm_campaign=37935163-2026_webinar_inside-the-soc&utm_source=bleeping_computer&utm_medium=sponsored_article&utm_content=episode-002)** ## Principais Descobertas do Relatório Anual de Ameaças 2026 ### Atacantes Estão Entrando por Caminhos de Acesso Legítimos O relatório indica que os atacantes agora são mais propensos a fazer login usando métodos de acesso legítimos do que a explorar vulnerabilidades para obter entrada inicial. O abuso de SSL VPN representou 32,8% de todos os incidentes identificáveis, tornando-se um vetor primário de acesso inicial. Os atacantes frequentemente se autenticam usando credenciais comprometidas, resultando em sessões VPN que parecem legítimas para os controles de segurança. Essas sessões geralmente concedem amplo acesso interno, permitindo que os atacantes se movam rapidamente em direção a sistemas de alto valor sem acionar alertas imediatamente. ### Ferramentas de TI Confiáveis Estão Sendo Usadas Contra Organizações O relatório também destaca o abuso frequente de ferramentas legítimas de Monitoramento e Gerenciamento Remoto (RMM) para acesso e persistência. O abuso de RMM esteve presente em 30,3% dos incidentes identificáveis, com o **ScreenConnect** sendo proeminente em mais de 70% dos casos de RMM não autorizados. Essas ferramentas são comumente usadas para administração de TI, tornando instalações não autorizadas difíceis de detectar sem forte visibilidade. Ambientes com múltiplas ferramentas de acesso remoto são mais suscetíveis a instâncias não autorizadas se misturando às ferramentas existentes. ### Engenharia Social, Não Exploits, Impulsionou a Maioria dos Incidentes Embora os caminhos de acesso legítimos sejam cruciais, a interação do usuário continua sendo o maior impulsionador do volume geral de incidentes. Campanhas falsas de CAPTCHA e ClickFix representaram 57,5% de todos os incidentes identificáveis, tornando-se o padrão de ataque mais comum. Essas campanhas dependem de prompts enganosos, instruindo os usuários a colar comandos na caixa de diálogo Executar do Windows, utilizando ferramentas integradas do Windows sem downloads de malware tradicionais ou atividade de exploit. ### Intrusões na Nuvem Focadas na Reutilização de Sessão Após MFA Mesmo com a autenticação multifator (MFA) habilitada em muitos ambientes de nuvem, o comprometimento de contas ainda ocorreu. Phishing de Adversário-no-Meio (Adversary-in-the-Middle) representou aproximadamente 16% das desativações de contas na nuvem. Os atacantes capturaram tokens de sessão autenticados emitidos após MFA bem-sucedida e os reutilizaram para acessar serviços de nuvem. Do ponto de vista da plataforma de nuvem, essa atividade aparece como uma sessão autenticada legítima. ## Do Acesso Inicial ao Pivoteamento de Rede Muitos desses ataques começam com acesso legítimo, mas o dano real ocorre durante as fases subsequentes. Em uma investigação recente, o SOC da **Blackpoint Cyber** identificou um novo implant chamado Roadk1ll, projetado para pivotar entre sistemas usando comunicação baseada em WebSocket e manter o acesso enquanto se mistura ao tráfego de rede. [Reserve seu lugar](https://blackpointcyber.com/webinar/inside-the-soc-ep002-blackpoint-2026-annual-threat-report/?utm_campaign=37935163-2026_webinar_inside-the-soc&utm_source=bleeping_computer&utm_medium=ctabox&utm_content=episode-002) ## O Que Essas Descobertas Significam para as Equipes de Segurança O relatório destaca um padrão consistente entre setores, ambientes e tipos de ataque: intrusões bem-sucedidas geralmente dependem de atividades que se misturam às operações normais. Os atacantes estão abusando de fluxos de trabalho cotidianos, como logins remotos, ferramentas confiáveis e ações padrão do usuário, em vez de depender de exploits inéditos ou malware avançado. Com base nas cadeias de ataque analisadas, o relatório identifica várias prioridades defensivas: * Tratar o acesso remoto como atividade de alto risco e alto impacto. * Manter um inventário completo de ferramentas RMM aprovadas e remover agentes não utilizados ou legados. * Restringir a instalação de software não aprovado e limitar a execução de diretórios graváveis pelo usuário. * Aplicar controles de Acesso Condicional que avaliam a postura do dispositivo, localização e risco da sessão. Esses padrões foram documentados em setores frequentemente visados, incluindo manufatura, saúde, MSPs, serviços financeiros e construção. **➡️ [Registre-se para receber o Relatório Anual de Ameaças 2026](https://blackpointcyber.com/webinar/inside-the-soc-ep002-blackpoint-2026-annual-threat-report/?utm_campaign=37935163-2026_webinar_inside-the-soc&utm_source=bleeping_computer&utm_medium=sponsored_article&utm_content=episode-002)**