Falhas de software agora são o principal vetor de ataque em nuvem, diz Google

Principais destaques

• Exploração de vulnerabilidades de software respondeu por 44,5% das invasões em nuvem no fim de 2025.
• Credenciais fracas, antes o principal problema, caíram para 27,2% dos incidentes.
• Ataques estão mais rápidos, com exploração ocorrendo em até 48 horas após divulgação de falhas.

O Google Cloud divulgou o relatório Cloud Threat Horizons H1 2026, apontando uma mudança significativa na forma como criminosos invadem ambientes em nuvem.

Pela primeira vez, falhas em softwares de terceiros superaram credenciais fracas como o principal ponto de entrada para ataques.

Segundo o estudo, vulnerabilidades exploradas representaram 44,5% das intrusões investigadas no segundo semestre de 2025, um salto impressionante em comparação com apenas 2,9% registrados no primeiro semestre do mesmo ano.

O levantamento foi produzido pelo Office of the CISO do Google Cloud em parceria com o Google Threat Intelligence Group.

Enquanto isso, credenciais fracas ou inexistentes, tradicionalmente o método mais comum de invasão, tiveram uma queda relevante. Elas passaram de 47,1% dos incidentes no início de 2025 para 27,2% no final do ano, enquanto erros de configuração também diminuíram, de 29,4% para 21%.

Ataques cada vez mais rápidos

Outro ponto de destaque do relatório é a velocidade com que invasores estão explorando novas vulnerabilidades. No passado, podia levar semanas entre a divulgação de uma falha e seu uso em ataques reais. Agora, esse intervalo caiu para poucos dias.

Em alguns casos, ferramentas maliciosas como cryptominers foram implantadas em menos de 48 horas após a divulgação pública de uma vulnerabilidade. Isso mostra que grupos criminosos estão monitorando constantemente novas falhas para explorá-las rapidamente.

Entre os exemplos citados estão vulnerabilidades de execução remota de código, como a falha conhecida como React2Shell (CVE-2025-55182) e outra vulnerabilidade do XWiki (CVE-2025-24893), utilizadas em campanhas de botnets e mineração de criptomoedas.

Ataques miram sistemas de backup

O relatório também alerta para uma nova estratégia adotada por grupos de ransomware: atacar diretamente os sistemas de backup das vítimas.

Grupos como UNC2165, associado à organização criminosa Evil Corp, foram observados acessando backups em nuvem para excluir dados e alterar permissões de usuários. A intenção é impedir a recuperação dos sistemas e pressionar empresas a pagar resgates.

Táticas semelhantes também foram associadas aos grupos UNC4393, ligado ao ransomware Black Basta, e UNC2465, relacionado a campanhas de DarkSide e LockBit.

Inteligência artificial começa a entrar no jogo

Outro fenômeno emergente destacado pelo Google é o uso de inteligência artificial para acelerar ataques. Em um caso investigado, criminosos utilizaram modelos de linguagem para automatizar a coleta de credenciais e escalar privilégios dentro de um ambiente corporativo.

Nesse episódio, os invasores conseguiram evoluir de um ambiente de desenvolvimento local para acesso administrativo completo à nuvem em menos de 72 horas.

Em outro incidente, o grupo norte-coreano UNC4899 explorou um ambiente de desenvolvimento com assistência de IA para inserir um backdoor que acabou resultando no roubo de milhões de dólares em criptomoedas.

O que empresas precisam fazer agora

Diante desse cenário, o Google recomenda que organizações adotem estratégias de defesa muito mais rápidas e automatizadas. Entre as principais medidas sugeridas estão a aplicação de patches virtuais em menos de 24 horas e correções completas em até 72 horas.

Também é recomendada a adoção de autenticação multifator resistente a phishing, restrição de permissões OAuth em integrações de terceiros e monitoramento contínuo de transferências anormais de grandes volumes de dados.

Para os especialistas do Google, a principal conclusão é clara: a velocidade dos ataques na nuvem tornou a resposta manual insuficiente, exigindo automação e vigilância constante.