A exploração de dia zero aumentou 46% ano a ano nos primeiros seis meses de 2025, de acordo com a Forescout Research – Vedere Labs Revisão de ameaças do 1º semestre de 2025.
Os produtos de 27 fornecedores foram afetados por zero dias, com a Microsoft representando cerca de um terço (30%).
Os produtos do Google experimentaram o segundo maior volume de explorações de dia zero, com 11%, seguidos pela Apple (8%), Ivanti (6%), Qualcomm (5%) e VMware (5%).
Um total de 23.583 vulnerabilidades foram publicadas no primeiro semestre de 2025, com média de 130 novos CVEs por dia ou 3930 por mês. Isso representa um aumento de 15% em relação ao mesmo período de 2024.
Além disso, 132 CVEs foram adicionados ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da Agência de Segurança Cibernética e Infraestrutura (CISA) no primeiro semestre de 2025, um aumento de 80% ano a ano.
Destes, 47% foram publicados originalmente antes de 2025, muitos dos quais voltados para a infraestrutura de perímetro.
Seis produtos em fim de vida afetados, o que significa que não há patches disponíveis para este equipamento.
Atores de ransomware visam equipamentos não tradicionais
O relatório Forescout, Publicado em 4 de agosto, durante a Black Hat USA, descobriu que os atores de ransomware visavam cada vez mais equipamentos não tradicionais, como dispositivos de borda, câmeras IP e servidores Berkeley Software Distribution (BSD).
Essa abordagem foi projetada para contornar as defesas, pois esses dispositivos geralmente não têm detecção e resposta de endpoint (EDR).
Esses dispositivos são usados como pontos de apoio para permitir o movimento lateral em ambientes de TI, OT e IoT.
Um exemplo dessa tática destacado pelos pesquisadores foi a implantação de Akira ransomware para endpoints do Windows por meio de uma câmera IP comprometida em março de 2025.
Outro foi o Grupo VanHelsing introduzindo um criptografador multiplataforma que inclui suporte para BSD UNIX.
“Esperamos que ambos os tipos de ativos – câmeras IP e sistemas BSD – sejam cada vez mais visados em um futuro próximo”, observaram os pesquisadores. “O BSD, embora seja um nicho, está ganhando atenção dos operadores de ransomware.”
O estudo também descobriu que os ataques de ransomware cresceram 36% ano a ano, com 3649 ataques documentados no primeiro semestre de 2025.
As vítimas de ransomware foram registradas em 112 países durante o período de seis meses, um aumento de 9% em relação aos 103 países afetados no primeiro semestre de 2024.
Estado-nação e gangues hacktivistas prevalecem
A Forescout observou que 137 agentes de ameaças realizam atividades notáveis no 1º semestre de 2025. Destes, 51% foram atribuídos como cibercriminosos com motivação financeira, 40% atores patrocinados pelo Estado e 9% hacktivistas.
A China foi o país de origem da maior proporção desses agentes de ameaças, com 33. Isso foi seguido pela Rússia (22 grupos), Irã (oito), Turquia (quatro) e Brasil (três).
O país de origem era desconhecido para 45 dos grupos rastreados ativos.
Os pesquisadores também destacaram as linhas tênues entre hacktivistas e grupos de estados-nação, com grupos hacktivistas alinhados ao Irã visando fortemente ambientes críticos de OT.
Daniel dos Santos, chefe de pesquisa da Forescout, comentou: “O que estamos vendo de grupos alinhados ao Irã é uma mudança em direção a táticas de interrupção mais agressivas e influenciadas pelo Estado, mascaradas de ativismo. À medida que as tensões geopolíticas aumentam, esses atores estão se tornando mais rápidos, mais barulhentos e mais difíceis de atribuir, e isso torna sua ameaça ainda mais urgente para os defensores enfrentarem.”