Um novo relatório da Travelers revelou que os grupos de ransomware mudaram suas táticas, abandonando a exploração de vulnerabilidades em massa e priorizando métodos mais confiáveis e repetíveis para invadir redes corporativas. Em vez de buscar falhas zero day em softwares amplamente utilizados, os criminosos estão focando em credenciais fracas em VPNs e gateways sem autenticação multifator (MFA), facilitando acessos não autorizados. A pesquisa aponta que essa tendência começou no segundo semestre de 2023 e se consolidou ao longo de 2024, sendo amplamente adotada por operadores de ransomware e brokers de acesso inicial (IABs).

Um dos principais indícios dessa mudança foi um manual de treinamento vazado no meio de 2023, onde um IAB aconselhava criminosos a priorizarem senhas comuns e padrões previsíveis, como “admin” e “test”, ao invés de investir tempo e recursos em novas explorações de vulnerabilidades. Esse novo cenário marca uma reviravolta em relação a 2023, ano em que grandes ataques de ransomware exploraram falhas críticas em softwares populares, como MOVEit e GoAnywhere, comprometendo múltiplas vítimas de uma só vez.

Agora, a tendência indica que os grupos preferem explorar acessos mais fáceis e sustentáveis, garantindo ataques mais duradouros e eficazes. Além da mudança de estratégia, o relatório revelou um crescimento alarmante nos ataques. No quarto trimestre de 2024, os incidentes de ransomware atingiram um recorde histórico, com 1663 novas vítimas publicadas em sites de vazamento. Esse número representa um aumento de 32% em relação ao terceiro trimestre, superando todos os registros anteriores. Novembro foi o mês mais crítico, com 629 vítimas divulgadas, seguido por uma leve redução para 516 casos em dezembro, tendência comum devido ao período de fim de ano.