O mais recente Digital Defense Report 2025 da Microsoft revela que a maioria dos ataques cibernéticos observados em todo o mundo são motivados por motivos financeiros, e não por espionagem ou sabotagem. As descobertas destacam como os grupos criminosos organizados estão explorando vulnerabilidades nos setores público e privado para gerar lucro, muitas vezes por meio de ransomware, roubo de credenciais e extorsão de dados.
De acordo com a Microsoft, a atividade com motivação financeira é responsável por quase três quartos de todos os ataques analisados entre junho de 2023 e junho de 2024. O relatório baseia-se em dados coletados na rede global de inteligência de ameaças da Microsoft, que monitora mais de 78 trilhões de sinais de segurança diariamente.
O relatório mostra que o cibercrime financeiro continua a superar as operações patrocinadas pelo Estado em escala e frequência. Ransomware e roubo de informações continuam sendo os principais métodos de ataque. Essas operações geralmente começam com campanhas de phishing ou a exploração de vulnerabilidades de software não corrigidas antes de progredir para o roubo ou criptografia de dados valiosos.
A Microsoft observou que os invasores mudaram para campanhas de ransomware mais curtas e direcionadas, projetadas para pressionar as vítimas a pagar rapidamente. Os grupos criminosos também estão adotando cada vez mais modelos de “ransomware como serviço”, que permitem que atores menos qualificados tecnicamente comprem acesso a ferramentas de ataque prontas.
O relatório enfatiza que as redes de crimes financeiros agora estão estruturadas de forma mais parecida com as empresas tradicionais. Eles têm hierarquias, cadeias de suprimentos e sistemas de comunicação no estilo de suporte ao cliente para coordenar pagamentos e negociações.
Aumento do roubo de credenciais e engenharia social
Além do ransomware, o roubo de credenciais e a engenharia social representam uma parcela crescente dos ataques com motivação financeira. A Microsoft observa que as ameaças baseadas em identidade se tornaram um ponto fraco crítico nas organizações. Os invasores frequentemente exploram o erro humano enviando mensagens de phishing convincentes, usando portais de login falsos ou lançando golpes baseados em voz projetados para roubar credenciais.
Depois que os invasores obtêm acesso a contas válidas, eles podem ignorar as ferramentas de segurança e se mover lateralmente pelas redes sem serem detectados. O relatório alerta que essa tendência continua a se expandir, apesar do aumento da adoção da autenticação multifator, sugerindo que os criminosos estão evoluindo suas técnicas mais rapidamente do que muitas organizações podem se adaptar.
A Microsoft também observou um aumento de “corretores de dados” dentro do ecossistema do crime cibernético. Esses atores são especializados na venda de credenciais roubadas e acesso a redes comprometidas, fornecendo um ponto de entrada para operadores de ransomware e grupos de fraude.
A atividade patrocinada pelo Estado continua, mas se concentra na disrupção
Embora o crime cibernético com motivação financeira domine, os ataques patrocinados pelo Estado continuam sendo uma preocupação séria. De acordo com as descobertas da Microsoft, as operações de espionagem e informação estão se tornando mais sofisticadas, particularmente aquelas ligadas à Rússia, China, Irã e Coréia do Norte.
Essas campanhas geralmente têm como alvo agências governamentais, infraestrutura de energia e redes de telecomunicações. A Microsoft relata que algumas operações visam coletar informações, enquanto outras têm como objetivo causar interrupções ou confusão, principalmente durante conflitos geopolíticos ou eleições.
Os analistas da empresa observam que as operações cibernéticas ligadas à tensão geopolítica estão cada vez mais ligadas aos esforços de desinformação online, que visam manipular a percepção pública por meio de campanhas coordenadas nas mídias sociais.
Inteligência artificial em operações cibernéticas
O relatório de 2025 ressalta como a inteligência artificial está mudando as estratégias cibernéticas ofensivas e defensivas. Os criminosos estão usando ferramentas de IA para criar e-mails de phishing mais persuasivos, automatizar o roubo de credenciais e desenvolver conteúdo deepfake que aprimora as táticas de engenharia social.
Ao mesmo tempo, os defensores estão implantando análises orientadas por IA para detectar anomalias mais rapidamente e prever possíveis violações. A Microsoft destaca que a IA pode ajudar as equipes de segurança a processar grandes quantidades de dados em tempo real, melhorando a resposta a incidentes e reduzindo os atrasos na detecção.
No entanto, o relatório também alerta que a confiança na IA deve ser equilibrada com a supervisão humana. Os sistemas automatizados por si só nem sempre podem distinguir entre atividades legítimas e maliciosas, especialmente quando os invasores imitam deliberadamente o comportamento normal do usuário.
Recomendações da Microsoft para defesa
Para combater a crescente escala e sofisticação dos ataques com motivação financeira, a Microsoft aconselha as organizações a se concentrarem na proteção de identidade, no gerenciamento de vulnerabilidades e na conscientização dos funcionários. A empresa recomenda implementar a autenticação multifator em todas as contas, corrigir os sistemas imediatamente e reduzir os privilégios administrativos para limitar a exposição.
Treinar a equipe para reconhecer tentativas de phishing continua sendo uma das defesas mais eficazes. A Microsoft também sugere a adoção de um modelo de segurança de “confiança zero”, que pressupõe que todas as solicitações de acesso podem ser maliciosas até serem verificadas.
Além disso, o relatório enfatiza a necessidade de cooperação global entre governos, empresas privadas e pesquisadores de segurança cibernética. A colaboração permite o compartilhamento mais rápido de informações e respostas coordenadas a operações de crimes cibernéticos em larga escala.
O custo crescente do cibercrime
A Microsoft estima que o custo econômico do crime cibernético continuará a aumentar acentuadamente nos próximos anos, impulsionado pelo crescente profissionalismo das redes criminosas e pela expansão da infraestrutura digital. A empresa observa que, embora as ameaças apoiadas pelo Estado atraiam a atenção do público, os grupos com motivação financeira causam os danos mais generalizados a indivíduos e empresas.
O relatório conclui que a resiliência da segurança cibernética depende de vigilância constante, investimento em prevenção e desenvolvimento de sistemas de defesa adaptativos. Com os invasores refinando seus métodos diariamente, as organizações devem tratar a segurança cibernética não como um projeto, mas como um processo contínuo que evolui com a tecnologia e o comportamento humano.