As invasões de nuvens aumentaram no primeiro semestre de 2025 e já são 136% maiores do que em todo o ano de 2024, de acordo com a CrowdStrike Relatório de Caça a Ameaças de 2025.
Os pesquisadores disseram que os números destacam que mais agentes de ameaças estão se tornando versados em ambientes de nuvem, incluindo a exploração de configurações incorretas, alcançando persistência e movendo-se lateralmente.
A explosão de intrusões de nuvens foi parcialmente impulsionada por um aumento de 40% na Atores do nexo chinês explorando esses ambientes.
“As capacidades de espionagem cibernética da China atingiram um ponto de inflexão crítico no ano passado, marcado por alvos cada vez mais ousados, táticas mais furtivas e capacidade operacional expandida”, escreveram os pesquisadores.
Dois atores ligados ao Estado chinês – Genesis Panda e Murky Panda – mostraram-se particularmente hábeis em navegar em ambientes de nuvem no ano passado.
O Genesis Panda provavelmente serve como um corretor inicial para facilitar a coleta de inteligência futura. O grupo foi observado explorando uma ampla gama de vulnerabilidades voltadas para a web para acessar ambientes de nuvem.
Também é adepto do uso de serviços em nuvem para expandir o acesso e obter persistência, incluindo o direcionamento de contas de provedor de serviços em nuvem (CSP).
O Murky Panda, que tem como alvo várias entidades na América do Norte, explora ambientes de nuvem por meio de relacionamentos confiáveis entre organizações parceiras e seus locatários de nuvem. Isso inclui comprometer fornecedores e usar seu acesso administrativo ao locatário do Entra ID da vítima.
O grupo demonstrou recursos avançados, incluindo acesso a malware de baixa prevalência, como CloudedHope, e experiência para armar rapidamente vulnerabilidades de dia zero.
Técnicas aprimoradas de evasão de defesa
O CrowdStrike relatório, publicado em 4 de agosto durante a Black Hat USA 2025, descobriu que as intrusões interativas com as mãos no teclado aumentaram 27% ano a ano no primeiro semestre de 2025.
Isso demonstra que os agentes de ameaças estão cada vez mais focados no uso da navegação manual para encontrar técnicas inovadoras para ignorar ferramentas de detecção herdadas. Isso permite que eles adaptem suas abordagens ao ambiente específico e às defesas da organização-alvo.
Isso auxilia a persistência e o movimento lateral nos sistemas de destino, com o objetivo final normalmente a exfiltração de dados.
“Ao contrário dos ataques automatizados, as intrusões interativas envolvem operadores humanos que interagem com os sistemas em tempo real, adaptando suas táticas conforme a necessidade. Eles são tipicamente mais sofisticados e difíceis de detectar do que os ataques automatizados”, explicaram os pesquisadores.
A CrowdStrike OverWatch observou que cinco das 10 técnicas MITRE ATT&CK mais usadas nos últimos 12 meses foram técnicas de descoberta. Essas abordagens ajudam os invasores a gastar tempo se orientando dentro de uma rede e garantindo que suas atividades não sejam detectadas por medidas de segurança sempre que possível.
Além disso, as técnicas de evasão de defesa, como mascaramento e desativação ou modificação de ferramentas, também estavam entre as 10 técnicas mais aproveitadas. Essas abordagens permitem que os adversários combinem suas atividades com a atividade de rede esperada, ao mesmo tempo em que permitem atividades subsequentes em várias outras áreas táticas, como escalonamento de privilégios e acesso a credenciais.
Aranha dispersa aumenta a atividade de ameaças
A CrowdStrike observou o Aranha Dispersa gangue de cibercriminosos aumentando sua atividade em abril de 2025, após um período de relativa inatividade entre dezembro de 2024 e março de 2025.
O ator foi associado a uma série de ataques de ransomware direcionados aos setores de varejo, aviação e seguros no Reino Unido e nos EUA nos últimos meses.
Em junho, as autoridades do Reino Unido prendeu quatro indivíduos por suspeita de envolvimento em ataques a três varejistas britânicos de alto perfil, que foram ligados à Scattered Spider.
Leia agora: Cibercriminosos ‘assustados’ após prisões de aranhas espalhadas
Essa atividade coincidiu com um aumento contínuo nos ataques de vishing no primeiro semestre de 2025, que já ultrapassaram todo o ano de 2024 em termos de volume.
O Scatter Spider é um grande defensor do phishing de voz, incluindo se passar por um funcionário legítimo em uma chamada para o help desk de TI de uma organização e solicitar uma redefinição de senha e/ou autenticação multifator (MFA).
Os pesquisadores destacaram a natureza sofisticada dessa abordagem, com a Aranha Dispersa observada com precisão, fornecendo aos indivíduos personificados IDs de funcionários em resposta às perguntas de verificação de identidade dos help desks.
“Em uma chamada em que o adversário não pôde fornecer a identidade do funcionário falsificado, o agente da ameaça se ofereceu para fornecer a data de nascimento do funcionário e o número do Seguro Social como credenciais de verificação alternativas”, disseram os pesquisadores.