A Sophos divulgou o Relatório Sophos Active Adversary 2026, revelando que 67% de todos os incidentes investigados no último ano pelas equipes de Incident Response (IR) e Managed Detection and Response (MDR) da Sophos tiveram como origem ataques relacionados à identidade.
Os dados evidenciam como os invasores continuam explorando credenciais comprometidas, autenticação multifator (MFA) fraca ou inexistente e sistemas de identidade mal protegidos — muitas vezes sem precisar implantar novas ferramentas ou técnicas.
Principais descobertas
- Mudança de foco: atividade de força bruta (15,6%) praticamente empatada com a exploração de vulnerabilidades (16%) como método inicial de acesso
- Tempo de permanência: caiu para três dias, impulsionado pela movimentação mais rápida dos invasores e pela resposta mais ágil dos defensores
- Active Directory: após invadir uma organização, os atacantes levam em média apenas 3,4 horas para alcançar o servidor de AD
- Ransomware fora do horário: 88% das cargas de ransomware são implantadas fora do horário comercial; 79% das ações de exfiltração de dados também ocorrem fora do expediente
- Falta de telemetria: a ausência de logs dobrou em relação ao ano anterior, principalmente em aplicações de firewall com retenção padrão de apenas sete dias
MFA ausente em 59% dos casos
Em 59% dos casos analisados, não havia MFA implementado, o que facilitou o uso abusivo de credenciais roubadas ou comprometidas para penetrar nas organizações.
"O dado mais preocupante do relatório vem sendo construído ao longo dos anos: a predominância de causas raiz relacionadas à identidade no acesso inicial bem-sucedido. Credenciais comprometidas, ataques de força bruta, phishing e outras táticas exploram fragilidades que não podem ser resolvidas apenas com uma boa política de aplicação de patches. As organizações precisam adotar uma abordagem proativa para a segurança de identidade." — John Shier, Field CISO da Sophos
Mais grupos de ameaças, risco ampliado
Os pesquisadores da Sophos observaram o maior número de grupos de ameaças ativos já registrado na história do relatório:
- Akira e Qilin foram as marcas de ransomware mais ativas, com Akira presente em 22% dos incidentes
- 51 marcas de ransomware apareceram nos casos analisados — 27 já conhecidas e 24 novas
- Apenas quatro marcas persistem continuamente desde 2020: LockBit, MedusaLocker, Phobos e o abuso do BitLocker
IA: hype versus realidade
Apesar das previsões amplamente divulgadas, a Sophos não encontrou evidências de uma grande transformação impulsionada por IA no comportamento dos atacantes. Embora a IA generativa tenha aumentado a escala e o refinamento de campanhas de phishing e engenharia social, ainda não resultou em técnicas de ataque fundamentalmente novas.
Recomendações defensivas
Com base nas conclusões do relatório, a Sophos recomenda que as organizações:
- Implementem MFA resistente a phishing e validem sua configuração
- Reduzam a exposição da infraestrutura de identidade e de serviços voltados à internet
- Apliquem patches de vulnerabilidades conhecidas com agilidade, especialmente em dispositivos de borda
- Garantam monitoramento 24/7 por meio de MDR ou capacidades equivalentes
- Preservem e retenham logs de segurança para apoiar detecção e investigação rápidas
O relatório analisou 661 casos de IR e MDR conduzidos entre novembro de 2024 e outubro de 2025, abrangendo organizações de 70 países e 34 setores.
