São 3h37 da manhã de um domingo em Los Angeles, e uma das principais empresas de serviços financeiros da Costa Oeste está vivenciando a segunda semana de um ataque vivendo fora da terra (LOTL). Um esquadrão de ataque cibernético de um estado-nação tem como alvo os algoritmos de precificação, negociação e avaliação da empresa para ganho de criptomoeda. Utilizando ferramentas comuns, o Estado-nação penetrou na infra-estrutura da empresa e está lentamente a transformá-la em arma para seu próprio ganho.
De acordo com CrowdStrike Relatório de ameaças globais de 2025quase 80% dos ataques modernos, incluindo aqueles em finanças, estão agora livres de malware, contando com adversários que exploram credenciais válidas, ferramentas de monitoramento remoto e utilitários administrativos com tempos de interrupção (às vezes menos de um minuto).
Ninguém no SOC ou na equipe de liderança de segurança cibernética suspeita que algo esteja errado. Mas há sinais inequívocos de que um ataque está em curso.
O aumento do roubo de credenciais, do comprometimento de e-mails comerciais e da exploração de vulnerabilidades de dia zero está criando as condições ideais para a proliferação de ataques LOTL. do Bitdefender pesquisa recente descobriram que 84% dos ataques modernos usam técnicas LOTL, contornando os sistemas de detecção tradicionais. Em quase 1 em cada 5 casosos invasores cada vez mais auxiliados por automação e kits de ferramentas simplificados exfiltraram dados confidenciais na primeira hora após o comprometimento.
As táticas baseadas em LOTL agora são responsáveis pela maioria das intrusões cibernéticas modernas, com ameaças persistentes avançadas (APTs) muitas vezes permanecendo sem serem detectadas por semanas ou meses antes que os hackers extraiam dados valiosos, de acordo com Índice de inteligência de ameaças X-Force 2025 da IBM.
As repercussões financeiras são surpreendentes. A pesquisa de ameaças de 2025 da CrowdStrike estima o custo médio do tempo de inatividade relacionado ao ransomware em US$ 1,7 milhão por incidente, que pode chegar a US$ 2,5 milhões no setor público. Para os líderes da indústria, os riscos são tão elevados que os orçamentos de segurança rivalizam agora com os dos principais centros de lucro.
Suas ferramentas mais confiáveis são o arsenal de um invasor
"Estas são as ferramentas que você não pode desabilitar porque seus administradores as estão usando, seus aplicativos as estão usando, seus [employees] estão usando-os, mas atacantes [are using them, too]," Martin Zugec, diretor de soluções técnicas da Bitdefenderdisse no RSAC-2025 no início deste ano. "Você não pode desativá-los porque afetará os negócios."
O relatório de 2025 da CrowdStrike confirma que os adversários exploram rotineiramente utilitários como PowerShell, instrumentação de gerenciamento do Home windows (WMI), PsExec, protocolo de desktop remoto (RDP), Microsoft Fast Help, Certutil, Bitsadmin, MSBuild e muito mais para persistir dentro das empresas e evitar a detecção. As ferramentas LOTL do comércio não deixam exaustão digital, tornando extremamente difícil detectar um ataque em andamento.
“Os atores de ameaças exploram cada vez mais técnicas como trazer seu próprio driver vulnerável (BYOVD) e LOTL para desativar agentes de detecção e resposta de endpoint (EDR) e ocultar atividades maliciosas em operações legítimas do sistema," O Gartner observa em um relatório recente. "Ao aproveitar ferramentas comuns de sistema operacional, como PowerShell, MSHTA e Certutil, eles complicam a detecção e se escondem no ruído dos alertas EDR."
Pesquisa sobre ransomware da CrowdStrike revela que 31% dos incidentes de ransomware começam com o uso indevido de ferramentas legítimas de monitoramento e gerenciamento remoto, provando que mesmo os utilitários de TI empresariais são rapidamente transformados em armas pelos invasores.
As realidades documentadas nos relatórios da CrowdStrike corroboram a pesquisa mais profunda do setor: a própria pilha de TI é agora o vetor de ataque, e aqueles que dependem de controles tradicionais e detecção baseada em assinaturas estão perigosamente atrasados.
Pistas comportamentais escondidas à vista de todos
Os adversários que dependem de técnicas LOTL são famosos por sua paciência.
Os ataques que antes exigiam malware e explorações que chamavam a atenção deram lugar a uma nova norma: os adversários se misturam ao segundo plano, usando as mesmas ferramentas administrativas e de gerenciamento remoto das quais as equipes de segurança dependem.
Como Zugec do Bitdefender apontou: “Estamos vendo principalmente que o guide que os invasores usam funciona tão bem que apenas o repetem em escala. Eles não invadem, eles fazem login. Eles não usam novos malwares. Eles apenas usam as ferramentas que já existem na rede.”
Zugec descreveu uma violação de LOTL clássica: Sem malware, sem novas ferramentas. BitLocker, PowerShell, scripts administrativos comuns; tudo parecia rotineiro até que os arquivos desapareceram e ninguém conseguiu rastreá-los. É aí que os agentes de ameaças estão ganhando hoje.
Os adversários estão usando a normalidade como camuflagem. Muitas das ferramentas mais confiáveis e usadas pelos administradores são a razão pela qual os ataques LOTL cresceram de forma tão rápida e silenciosa. Zugec é brutalmente honesto: “Nunca foi tão fácil entrar na rede como agora”. O que antes period uma violação de perímetro agora é uma violação por familiaridade, invisível para ferramentas legadas e indistinguível da administração de rotina.
CrowdStrike Relatório de ameaças globais de 2025 captura a escala desse fenômeno em números que deveriam chamar a atenção de todos os conselhos. Os autores dos relatórios escrevem: “Em 2024, 79% das detecções observadas pela CrowdStrike estavam livres de malware [a significant rise from 40% in 2019]indicando que os adversários estão usando técnicas práticas de teclado que se misturam com a atividade legítima do usuário e impedem a detecção. Essa mudança em direção a técnicas de ataque livres de malware tem sido uma tendência definidora nos últimos cinco anos."
Os pesquisadores do relatório também descobriram que os tempos de interrupção para ataques bem-sucedidos continuam diminuindo; a média é de apenas 48 minutos, sendo o mais rápido 51 segundos.
O conselho de Zugec aos defensores que trabalham neste novo paradigma é contundente e pragmático. “Em vez de apenas perseguir outra coisa, descubra como podemos aproveitar todas essas capacidades que temos, todas essas tecnologias, e fazê-las funcionar juntas e alimentar umas às outras.” O primeiro passo: “Compreender a sua superfície de ataque. Apenas familiarizar-se com a forma como os atacantes operam, o que eles fazem, não há cinco semanas, mas agora, deve ser o primeiro passo.”
Ele incentiva as equipes a aprenderem como é o regular dentro de seu próprio ambiente e usar essa linha de base para identificar o que está realmente fora do lugar, para que os defensores parem de perseguir alertas intermináveis e comecem a responder apenas quando for importante.
Assuma o controle complete de sua pilha de tecnologia agora
Os ataques LOTL não exploram apenas ferramentas e infraestruturas confiáveis, eles aproveitam a cultura e a capacidade diária de competir de uma organização.
Manter-se seguro significa fazer da vigilância constante um valor elementary, apoiado pela confiança zero e pela microssegmentação como âncoras culturais. Estes são apenas os primeiros passos. Considere o Arquitetura NIST Zero Trust (SP 800-207) como uma espinha dorsal organizacional e um guide para enfrentar o LOTL de frente:
-
Limite agora os privilégios em todas as contas e exclua contas antigas de prestadores de serviço que não são usadas há anos: Aplique acesso com privilégios mínimos em todas as contas de administrador e de usuário para impedir a escalada de invasores.
-
Aplicar microssegmentação: Divida sua rede em zonas seguras; isso ajudará a confinar os atacantes, limitar o movimento e diminuir o raio da explosão se algo der errado.
-
Proteja o acesso às ferramentas e audite quem as está usando: Restrinja, monitore e registre PowerShell, WMI e outros utilitários. Use assinatura de código, modos de linguagem restritos e limite o acesso a pessoal confiável.
-
Adote os princípios de confiança zero do NIST: Verifique continuamente a identidade, a higiene do dispositivo e o contexto de acesso conforme descrito na SP 800-207, tornando a confiança adaptativa o padrão.
-
Centralize a análise comportamental e o registro: Use o monitoramento estendido para sinalizar atividades incomuns com ferramentas do sistema antes que um incidente se agrave.
-
Implante a detecção adaptativa se você tiver uma plataforma existente que possa ser escalonada e fornecer isso com um custo mínimo: Empregue EDR/XDR para caçar padrões suspeitos, especialmente quando os invasores usam ferramentas legítimas de maneiras que evitam os alertas tradicionais.
-
Equipe vermelha regularmente: Teste ativamente as defesas com ataques simulados e saiba como os adversários utilizam indevidamente ferramentas confiáveis para penetrar na segurança de rotina.
-
Eleve a consciência de segurança e torne-a memória muscular: Treine usuários e administradores sobre métodos LOTL, engenharia social e quais sinais sutis revelam comprometimento.
-
Atualização e inventário: Mantenha inventários de aplicativos, corrija vulnerabilidades conhecidas e conduza auditorias de segurança frequentes.
Conclusão: A empresa de serviços financeiros mencionada no início desta história acabou se recuperando do ataque LOTL. Hoje, seus modelos, o processo CI/CD para desenvolvimento de IA e P&D de geração de IA são gerenciados por uma equipe de gerentes de segurança cibernética com décadas de experiência no bloqueio de websites e cofres do Departamento de Defesa dos EUA.
Os ataques LOTL são reais, crescentes, letais e exigem uma nova mentalidade por parte de todos na segurança cibernética.
