Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Contenção de ransomware
Maritza Marie Dubec
Gerente sênior de marketing de conteúdo
Illumio Editorial
12 de agosto de 2025
23 minutos. ler

Cavalo de Tróia moderno: como os atacantes vivem fora da terra e como detê-los

Odisseu não invadiu Tróia com força bruta.

Ele se infiltrou neles por dentro — escondido dentro de um cavalo de madeira que os troianos pensaram ser um presente. Naquela noite, suas forças emergiram e tomaram a cidade de dentro.

Foi o engano perfeito: usar o que é confiável, não dar avisos — apenas estratégia, paciência e conhecimento dos pontos cegos do inimigo.

Os ataques cibernéticos mais avançados da atualidade seguem o mesmo manual. Os invasores exploram as ferramentas nativas que já estão dentro de seus sistemas. Eles se movem silenciosamente e ficam escondidos. Como Odisseu, eles usam o que é confiável para escapar sem serem detectados.

The Wooden Horse, painted by a Florentine artist, Biagio d’Antonio, in the late 15th century.

Ferramentas confiáveis, ameaças ocultas

In cybersecurity, living-off-the-land (LOTL) cyberattacks evade detection by using legitimate, built-in system tools like PowerShell or WMI.

Essas ferramentas baixam cargas maliciosas, se movem lateralmente e extraem dados — tudo junto com o tráfego normal da rede. Nenhum malware é instalado e nenhum arquivo suspeito é descartado, e é por isso que esses ataques geralmente passam despercebidos por meses.

LOTL attacks now account for the majority of modern cyber intrusions. A 2025 analysis of over 700,000 incidents found that 84% of major attacks involved LOTL techniques.

Por que eles são tão eficazes? Os sistemas operacionais vêm pré-carregados com ferramentas poderosas destinadas aos administradores, e os atacantes as estão transformando em armas. Uma vez lá dentro, eles usam essas mesmas ferramentas para se misturar, manter o acesso e expandir silenciosamente seu alcance.

Uma análise de 2025 de mais de 700.000 incidentes descobriu que 84% dos principais ataques envolveram técnicas de LOTL.

Isso torna os ataques do Living off the Land mais difíceis de detectar — e muito mais difíceis de impedir.

While many LOTL attacks occur on Windows, using trusted tools and executing code in memory can also apply to macOS and Linux.  

No macOS, os invasores podem explorar serviços nativos, como o AppleScript e o comando launchd, para persistir e executar comandos. No Linux, eles podiam contar com Bash, SSH, cron jobs e execução na memória para operar sem gravar arquivos em disco e evitar a detecção tradicional.

Exemplo de ferramentas do sistema disponíveis no Windows
Exemplo de ferramentas do sistema disponíveis no Windows

A recente exploração do SharePoint ToolShell “viveu do nada?”

In July 2025, Microsoft disclosed active exploitation of two SharePoint zero-day vulnerabilities (CVE202553770 and CVE202553771), collectively known as ToolShell.

The flaws — Linen Typhoon, Violet Typhoon, and Storm2603 — affected internet-facing on-premises servers and were exploited by state-backed actors.

These threat groups used vulnerabilities to execute remote code, steal machine keys, escalate privileges, and deploy ransomware, including Warlock and LockBit variants, across hundreds of vulnerable systems.

Michael Adjei, diretor de engenharia de sistemas da Illumio, compartilha sua perspectiva sobre o que se destaca nas explorações do ToolShell: “Não é apenas o uso de ferramentas nativas — é como os atacantes passaram do acesso inicial para o movimento lateral sem acionar os alarmes tradicionais. Esse incidente reforça uma realidade fundamental: se os defensores estão apenas atentos ao malware, eles já estão atrasados.”

Ransomware + Living off the Land: uma combinação potente

Another powerful example of this stealthy approach is Medusa ransomware.

In February 2024, the FBI and CISA issued a joint advisory (#StopRansomware: Medusa Ransomware) warning of its growing threat to critical infrastructure. More than 300 organizations have already been hit, including hospitals, financial institutions, schools, and government services.  

O Medusa não depende de dias zero chamativos ou de malwares óbvios. Em vez disso, ele se integra — usando ferramentas confiáveis como PowerShell, WMI, RDP, SSH e software de acesso remoto, como o ScreenConnect, para percorrer ambientes híbridos e evitar a detecção.

O ransomware moderno não entra pela porta da frente — ele se mistura como um espião.

Por que a NSA soou o alarme no LOTL

In 2024, the NSA, CISA, and international partners released a joint advisory warning of the surge in LOTL intrusions.

Isso não foi desencadeado por uma violação, mas por uma tendência preocupante: agentes avançados de ameaças, incluindo grupos patrocinados pelo estado, estavam usando cada vez mais ferramentas nativas para se infiltrar silenciosamente na infraestrutura crítica.

The tipping point? Campaigns like Volt Typhoon, where attackers burrowed into U.S. communications, energy, and transportation systems without deploying traditional malware.

O aviso foi claro: as técnicas de LOTL haviam se tornado uma estratégia essencial para atacantes de estados-nação, e os defensores precisavam se adaptar imediatamente.

SolarWinds: uma aula magistral em LOTL

One of the earlier and most damaging examples of LOTL tradecraft happened in 2020, when threat actors quietly inserted malware into a routine Orion update from SolarWinds.

When customers installed it, attackers gained access to some of the most sensitive networks in the world, including U.S. government agencies and Fortune 500 companies.

Usando ferramentas nativas do Windows e imitando a atividade normal do Orion, os atacantes evitaram a detecção por meses. O malware foi ativado somente em alvos de alto valor. Uma vez lá dentro, houve uma ampla exfiltração de dados e eles cobriram seus rastros.  

The White House later attributed the attack to Russian intelligence.

Parar o LOTL exige ver o que os outros perdem

Esses ataques não dependem de malware e abusam das ferramentas legítimas que já estão dentro da sua rede. As equipes de segurança precisam ter visibilidade de como os sistemas normalmente se comunicam para que possam detectar comportamentos incomuns e colocar ameaças em quarentena em tempo real.  

As principais defesas incluem:

  • Detecção de movimento lateral: a visibilidade da comunicação entre sistemas é essencial para descobrir invasores se movendo dentro dos ambientes.
  • Detecção comportamental de ameaças: análises que identificam o uso anormal de ferramentas nativas ajudam a revelar atividades que se misturam às operações normais.
  • Priorização de alertas: filtrar o comportamento rotineiro e destacar padrões suspeitos é fundamental quando os invasores usam processos confiáveis.
  • Contenção rápida: a capacidade de isolar ativos comprometidos rapidamente, sem esperar por assinaturas de malware, pode interromper as técnicas de LOTL antes que elas se espalhem.

Em um mundo onde os atacantes vivem da terra, os defensores precisam ter o poder de ver e controlar como seu ambiente está sendo usado.

Descubra como o Illumio Insights impede as ameaças de LOTL antes que elas se espalhem. Comece o seu teste gratuito hoje.

Tópicos relacionados

Contenção de ransomware

Artigos relacionados

Por dentro da investigação: caçando hackers por meio dos “Quatro Fundadores”
Contenção de ransomware

Por dentro da investigação: caçando hackers por meio dos “Quatro Fundadores”

Aprenda as principais perguntas, táticas e ferramentas para descobrir atividades maliciosas, rastrear o comportamento do invasor e proteger dados críticos no complexo cenário atual de ameaças.

Leia mais
AWS e Illumio: ajudando o setor de saúde a modernizar sua resposta ao ransomware
Contenção de ransomware

AWS e Illumio: ajudando o setor de saúde a modernizar sua resposta ao ransomware

Junte-se à Illumio em 21 de setembro às 9h PST para um webinar gratuito com a Amazon Web Services (AWS).

Leia mais
Como a Brooks usa o Illumio para impedir que o ransomware funcione desenfreadamente
Contenção de ransomware

Como a Brooks usa o Illumio para impedir que o ransomware funcione desenfreadamente

Veja por que a Brooks escolheu a segmentação Illumio Zero Trust para garantir a confiabilidade de seus negócios de varejo e comércio eletrônico.

Leia mais
Por que o Medusa Ransomware é uma ameaça crescente à infraestrutura crítica
Contenção de ransomware

Por que o Medusa Ransomware é uma ameaça crescente à infraestrutura crítica

Saiba como o ransomware Medusa funciona e por que é tão perigoso para infraestruturas críticas em todo o mundo.

Leia mais
Here Be Dragons: as crescentes ameaças cibernéticas à infraestrutura crítica
Resiliência cibernética

Here Be Dragons: as crescentes ameaças cibernéticas à infraestrutura crítica

Descubra como os ataques cibernéticos em infraestruturas críticas estão aumentando em 2025, à medida que as tensões globais aumentam e os grupos apoiados pelo estado atacam serviços públicos, serviços de saúde e muito mais.

Leia mais
Duas violações, um banco: lições da crise cibernética do ICBC
Resiliência cibernética

Duas violações, um banco: lições da crise cibernética do ICBC

Descubra as principais lições da crise cibernética do ICBC, em que duas grandes violações — ransomware nos EUA e roubo de dados em Londres — revelaram vulnerabilidades sistêmicas no setor bancário global.

Leia mais

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Saiba mais