Com crescimento de ciberataques via RMM, Proofpoint foca em solução “human centric”

Ciberataques não são uma novidade para quem atua no setor de Tecnologia, mas a forma como os criminosos operam tem evoluído desde o avanço dos sistemas de inteligência artificial (IA). Mais sofisticados, os grupos utilizam a ferramenta em seus golpes para enganar tanto as vítimas quanto os sistemas de detecção. No caso de phishing, em que 97% dos ataques ocorrem via e-mail, por exemplo, a IA é empregada para ajustar formatos de linguagem que seriam identificados como suspeitos.

A inteligência artificial também passou a ser usada para escalar os ataques, já que não é mais necessário dominar um idioma para redigir uma mensagem. Para escapar aos monitoramentos das empresas de cibersegurança, os criminosos têm se aproveitado de ferramentas legítimas de monitoramento e gerenciamento remoto (RMM). Uma pesquisa recente realizada pela Proofpoint revelou que, entre maio de 2023 e janeiro de 2025, as campanhas com essas táticas aumentaram 300% – número global.

No Brasil, a empresa de cibersegurança identificou recentemente, e pela primeira vez, o uso de RMM por uma das maiores organizações de ciberataques: o TA2725. O grupo é o mais ativo da América Latina e o segundo maior do mundo, conhecido por empregar malwares bancários brasileiros e phishing para atingir instituições, principalmente no Brasil, México e Espanha.

Para detectar essas estratégias, a companhia monitora os e-mails de mais de dois milhões de clientes. Só no ano passado, foram analisadas 13 trilhões de URLs por meio de inteligência artificial, tanto no conteúdo das mensagens quanto no back-end. Para Nate Chessin, vice-presidente sênior de Engenharia de Sistemas Mundiais da Proofpoint, ter uma base de dados robusta e bem estruturada é parte essencial do trabalho de cibersegurança.

“Nós rastreamos esses grupos há anos, e é por isso que conseguimos identificar os padrões e quando eles mudam. Estamos utilizando o outro lado da inteligência artificial e, por meio dos dados, integrando aos LLMs as novas formas de ataque, porque o objetivo pode ser o mesmo, mas as tendências, capacidades e ferramentas mudaram.”

A tática em si não é nova. O criminoso falsifica credenciais e se passa por uma empresa. O funcionário recebe um e-mail, SMS ou mensagem via WhatsApp com um conteúdo chamativo, que o leva a clicar em um link redirecionado e, assim, abrir as portas para os ataques. De acordo com a Proofpoint, o TA2725 normalmente hospeda seu redirecionador de URL na GoDaddy, empresa registradora de domínios e provedora de hospedagem de sites.

Leia mais: Com evento que mistura TI e drift, Teltec quer acelerar debate sobre cibersegurança no Brasil

Chessin explica que a escolha decorre da tentativa de utilizar o prestígio de nuvens legítimas para se camuflar. “As URLs são o tipo mais comum de ataque, porque é relativamente simples criar novos sites e domínios. Esses grupos se aproveitam da facilidade e da confiança que as pessoas têm nos sites.”

O uso das RMM, geralmente adotadas por administradores de TI, permite que as organizações criminosas contornem com mais facilidade os sistemas de detecção tradicionais e mantenham um acesso persistente, obtendo a entrada inicial, coletando dados, roubando informações financeiras e instalando malware posteriormente, inclusive ransomware.

Entre as ferramentas utilizadas estão o Fleetdeck, o Atera e o ScreenConnect, enquanto o NetSupport, anteriormente predominante, teve sua aplicação reduzida.

Diante das novas estratégias, a Proofpoint adotou um método “human centric”, voltado para a conscientização das equipes e para a criação de soluções que integrem todas as etapas da cibersegurança. Durante um evento realizado para clientes e jornalistas em São Paulo, nesta quarta-feira (17), o vice-presidente apresentou as novas soluções para este ano e falou sobre a importância de empoderar o usuário para que ele tome decisões mais seguras.

Segundo Marcelo Bezerra, especialista em cibersegurança da Proofpoint, um dos principais obstáculos para esse empoderamento está na forma como os treinamentos são conduzidos. “Alguns lugares ainda reúnem todo mundo por duas horas no fim do ano, colocam um filme e você ‘assiste’ enquanto mexe no celular”, explica.

Pensando nisso, a empresa desenvolveu uma solução interativa que treina os funcionários em sua rotina diária: o ZenGuide. A depender da função e da área de atuação do colaborador, a ferramenta determina um nível de risco e passa a analisar os tipos de ameaças que ele recebe. A partir daí, com o uso de inteligência artificial, a tecnologia envia automaticamente simulações de ataque e registra se o usuário caiu ou não no golpe, com o objetivo de oferecer maior visibilidade aos seus gestores e um treinamento personalizado às ameaças mais recorrentes.

Até o momento, a solução opera em e-mails, guias específicas do navegador, entre outros, mas a ideia é expandi-la para todos os ambientes de trabalho online, especialmente após o anúncio da nova parceria com a Microsoft.