Benjamin Lim Diretor de Vendas para Empresas

Na manhã de 1 de maio de 2026, os trabalhadores que chegaram às instalações da Foxconn em Mount Pleasant, no Wisconsin, receberam folhas de ponto em papel.

Não foi por causa de um corte de energia. Nem foi um simulacro de incêndio.

Toda a rede ficou fora de serviço. O Wi-Fi deixou de funcionar às 7h00. A infraestrutura central da fábrica ficou sem energia às 11h00. Toda a área de produção, dedicada à construção de servidores de IA para a Apple, a Google, a NVIDIA, a Intel e a Dell, ficou reduzida a caneta e papel antes mesmo de a maioria das pessoas ter terminado o seu café da manhã.

A 11 de maio, o grupo de ransomware Nitrogen tinha publicado a Foxconn no seu site de divulgação na dark web e afirmado ter obtido oito terabytes de dados. Mais de 11 milhões de ficheiros. Plantas de montagem. Mapas de topologia de centros de dados da Google e da Intel. Esquemas de hardware para infraestruturas de IA de próxima geração. Uma segunda instalação em Houston, no Texas, terá também sido alvo do ataque.

Não se tratou de um ataque relâmpago. Foi um ataque deliberado, paciente e centrado na identidade — e seguiu um guia de estratégias que os defensores da identidade precisam de conhecer ao pormenor.


Por que é que o ransomware ataca primeiro a identidade?

No Relatório sobre o Risco de Ransomware da Semperis , 78 % dos inquiridos revelaram ter sido alvo de ransomware nos últimos 12 meses. O ponto de entrada mais comum? O sistema de identificação.


83 % dos ataques de ransomware a empresas globais do setor industrial comprometeram a infraestrutura de identidade.

Fonte: Semperis, Relatório sobre os riscos do ransomware de 2025


Para os profissionais experientes em cibersegurança e os responsáveis pela resposta a incidentes, estas estatísticas não são surpreendentes. A infraestrutura de identidade é fundamental para todas as outras aplicações e sistemas da organização. Quando os atacantes se infiltram no Active Directory (AD), no Entra ID ou no Okta, conseguem estabelecer persistência, deslocar-se lateralmente e elevar os seus privilégios para obterem um maior alcance em todo o ambiente.

O ataque «Nitrogen» seguiu um padrão bem documentado, no qual uma credencial comprometida abre a porta a privilégios elevados, acesso ao domínio e às chaves dos sistemas de cópia de segurança.


Como funciona a cadeia de ataque «identidade em primeiro lugar»?

Nos ataques de ransomware do tipo «identity-first», o ponto de entrada é quase sempre o mesmo: uma credencial comprometida ou um terminal exposto. Por vezes, trata-se de um e-mail de phishing dirigido especificamente a administradores de TI — pessoas com privilégios elevados, acesso ao domínio e as chaves para os sistemas de cópia de segurança. Não estão interessados no portátil de um utilizador comum. Estão interessados em contas que permitam realizar ações.

Este padrão está em consonância com o que os investigadores de ameaças da Semperis observaram ao longo de dezenas de investigações sobre ransomware: o Active Directory não é apenas um alvo nestes ataques. É a superfície de ataque.

  1. Acesso inicial através do uso indevido de credenciais. As credenciais comprometidas — obtidas através de phishing ou adquiridas junto de intermediários de acesso inicial — proporcionam frequentemente um ponto de entrada inicial. Não é necessária qualquer exploração de vulnerabilidades. Basta um nome de utilizador e uma palavra-passe válidos.
  2. Escalada de privilégios através de configurações incorretas do Active Directory. Uma vez no interior, os atacantes procuram os alvos mais fáceis que existem em quase todos os Active Directories empresariais: contas de serviço vulneráveis ao «Kerberoast» com privilégios excessivos, delegação sem restrições, contas de administrador desatualizadas e configurações incorretas de ACL que permitem a um utilizador normal redefinir a palavra-passe de uma conta com privilégios.

    Para fabricantes como a Foxconn, uma rede de Fabricação Inteligente em expansão — integrada à IoT, ligada à nuvem e construída a um ritmo acelerado — é exatamente o tipo de ambiente onde essas configurações incorretas se acumulam de forma invisível.
  3. Movimento lateral e domínio do domínio. Com um ponto de apoio e um caminho de escalada, os atacantes avançam em direção ao domínio. Procuram alvos com privilégios elevados, tais como administradores de domínio, administradores empresariais e contas com direitos de DCSync. Assim que os obtêm, assumem o controlo do ambiente. Todos os sistemas que confiam nessa instância do AD ficam agora comprometidos.
  4. Identificação e preparação dos backups. Antes de provocar qualquer perturbação visível, o atacante localiza e neutraliza a infraestrutura de backup. Na violação de segurança da Foxconn em 2020, o DoppelPaymer apagou 30 TB de dados de backup. Atacantes como o Nitrogen podem adotar uma abordagem mais cirúrgica, preparando os dados discretamente e utilizando-os como moeda de troca nas suas negociações. Mas a intenção é a mesma: tornar a recuperação o mais difícil possível.
  5. Exfiltração e, em seguida, extorsão. Oito terabytes de dados não são transferidos da noite para o dia. A maioria dos ataques de ransomware requer semanas de exfiltração paciente, gradual e discreta — exatamente o tipo de atividade que se confunde com o ruído normal da rede, se não se estiver a acompanhar de perto o comportamento das identidades.

Uma vez dentro do sistema de identidades, os atacantes não se apressam. Passam semanas a mapear o ambiente, a identificar controladores de domínio, a localizar servidores de cópia de segurança e a preparar a exfiltração discretamente em segundo plano. Quando alguém se apercebe de que algo está errado, os dados já desapareceram. A encriptação, quando finalmente ocorre, é quase uma formalidade. O verdadeiro trunfo foi a exfiltração.


Que medidas de defesa centradas na identidade podem os fabricantes implementar neste momento?

Conforme refere o estudo da Semperis sobre ransomware, muitas empresas do setor industrial compreendem que a segurança das identidades e a resiliência são fundamentais para a resiliência cibernética e empresarial, e 90% dos inquiridos a nível mundial implementaram uma estratégia de deteção e resposta a ameaças à identidade (ITDR).

No entanto:

  • Apenas 65 % dos fabricantes incluem procedimentos de recuperação específicos para AD no seu plano de recuperação de desastres
  • Apenas 61% dispõem de sistemas de cópia de segurança dedicados e específicos para o AD

Ambos são essenciais para uma ITDR eficaz. Então, como é que a sua organização pode combater com sucesso as ameaças de ransomware relacionadas com a identidade, de modo a reforçar a resiliência operacional?

Vamos analisar o que pode fazer para proteger o seu ambiente de identidade — antes, durante e após um ciberataque — e onde podem existir lacunas específicas em ambientes de produção complexos, como o da Foxconn.


Comece já: veja o que o atacante vê — antes mesmo dele

Duas ferramentas comunitárias da Semperis permitem-lhe avaliar imediatamente o seu nível de segurança — sem qualquer custo.

Um relatório conjunto divulgado pela Aliança Five Eyes— que inclui o Centro Australiano de Cibersegurança, a Agência de Segurança Nacional dos EUA e outras entidades — recomenda Purple Knight, a ferramenta gratuita de avaliação de segurança do AD da Semperis, como uma ferramenta eficaz de prevenção e deteção que permite monitorizar o seu nível de segurança de identidade ao longo do tempo. E é totalmente gratuita.

Purple Knight uma análise sem agentes nos seus ambientes do Active Directory, Entra ID e Okta e atribui pontuações com base em mais de 218 indicadores de segurança em várias categorias:

  • Delegação AD
  • Segurança da conta
  • Infraestrutura AD
  • ID Entra
  • Segurança da Política de Grupo
  • Segurança Híbrida
  • Segurança Kerberos
  • Okta

Num ambiente empresarial típico, a ferramenta identifica configurações incorretas e vulnerabilidades que permaneciam por detetar há anos. Em seguida, fornece orientação especializada para o ajudar a dar prioridade às ameaças de maior risco e a resolvê-las de forma sistemática.

Outra ferramenta gratuita, Forest Druid, amplia ainda mais a visibilidade da sua postura de segurança de identidade, mapeando as vias de ataque de Nível 0 — os percursos que um atacante pode seguir a partir de uma conta de utilizador padrão comprometida até ao comprometimento do administrador do domínio ou do controlador de domínio. Esta ferramenta gratuita responde à pergunta que a maioria das organizações não consegue responder por si própria:

«Se um invasor conseguir entrar aqui, quantos passos são necessários para assumir o controlo do nosso domínio?»

Num ambiente em que a rede da área de produção, as TI da empresa e a infraestrutura de montagem de servidores de IA estão todas interligadas, o número de percursos não intencionais de Nível 0 é, quase de certeza, significativo. Forest Druid visualmente, hierarquiza-os por risco e fornece aos responsáveis pela segurança um plano de ação para a correção — antes que um atacante descubra esses percursos por si próprio.


Melhorar a visibilidade do sistema de identificação para reduzir o intervalo de permanência

As semanas ou meses que um atacante passa dentro de uma rede antes de provocar perturbações constituem uma janela de oportunidade para os defensores. Durante esse período de permanência, é possível detetá-lo — mas apenas se estiver atento aos sinais certos.

As ferramentas SIEM padrão registam eventos. No entanto, não compreendem o significado desses eventos no contexto do seu ambiente híbrido do Active Directory. Um atacante que execute uma operação DCSync, crie um «Golden Ticket», modifique o AdminSDHolder ou adicione discretamente um utilizador a um grupo privilegiado irá gerar registos, mas a maioria dos SIEM não os apresentará como alertas de alta prioridade, uma vez que não dispõem da inteligência específica do AD necessária para compreender o que estão a analisar.

Semperis Directory Services Protector DSP) monitoriza continuamente a infraestrutura de identidade, correlaciona as alterações com padrões de ataque conhecidos e — o que é fundamental — permite a reversão automática de alterações não autorizadas em tempo real.

Isso significa que, se um invasor adicionar uma conta não autorizada ao grupo «Domain Admins» às 2h00 da manhã, DSP se limita a emitir um alerta. Ele reverte a alteração antes que a conta possa ser utilizada.


Prepara-te para as perguntas a que ninguém quer responder

Eis uma pergunta a que todos os CISO deveriam ser capazes de responder antes de um incidente, e não durante o mesmo:

«Se os nossos controladores de domínio estiverem fora de serviço neste momento, quanto tempo demoramos a recuperar o Active Directory para um estado conhecido como seguro — e temos a certeza de que a cópia de segurança a partir da qual estamos a recuperar ainda não está comprometida?»

A maioria das organizações não consegue responder a esta pergunta com segurança. A maioria ainda não testou essa situação. E, num cenário de ransomware, recuperar a partir de uma cópia de segurança comprometida não é uma recuperação — é restabelecer o ponto de apoio do atacante.


Tenha a certeza de que conseguirá limpar tudo — e não apenas rapidamente

Os inquiridos do setor industrial que participaram no estudo da Semperis sobre ransomware referiram que, quando os ataques de ransomware eram bem-sucedidos, eram alvo de ataques não apenas uma vez, mas várias vezes ao longo de dias ou semanas:

  • 39% foram atacados duas vezes.
  • 25 % foram atacados três vezes.
  • 8% foram atacados quatro ou mais vezes.

Estes ataques repetidos evidenciam que restaurar cópias de segurança nas quais o atacante ainda se encontra à espreita não serve de nada. É necessário garantir que se consegue recuperar para um estado fiável e limpo.

Semperis Active Directory Forest Recovery ADFR) automatiza o processo de recuperação da floresta do AD, eliminando os passos manuais e propensos a erros descritos no guia de recuperação da Microsoft, que podem demorar dias e dar origem a erros humanos em situações de pressão. Mais importante ainda, ADFR a floresta para um estado livre de malware. Não se limita a restaurar a última cópia de segurança; garante que o ambiente restaurado está limpo.

A rede da Foxconn ficou inoperacional a 1 de maio. A 11 de maio — dez dias depois —, a empresa continuava a descrever a produção como estando em «restabelecimento gradual». Esse prazo não é invulgar para organizações que recuperam o AD manualmente. Com ADFR, esse período de recuperação reduz-se de dias para horas.


Teste o seu plano de recuperação antes de precisar dele

Mesmo que tenha cópias de segurança e um plano de recuperação em vigor, como é que sabe se vai funcionar quando acontecer o pior?

De acordo com o relatório da Semperis estudo «State of Enterprise Crisis Readiness» da Semperis:

  • 96% das organizações a nível mundial afirmam dispor de um plano de resposta a crises cibernéticas
  • No entanto, 71% continuaram a sofrer incidentes cibernéticos que paralisaram as suas atividades

O problema não é que estas organizações não se esforcem ou não tenham talento. O problema é que não dispõem de meios para garantir que a sua resposta seja eficaz.

Semperis Ready1 é uma plataforma empresarial de gestão de crises que funciona como o seu centro de comando e controlo antes, durante e após um incidente cibernético. É o local onde as suas equipas podem elaborar os seus planos de resposta a crises cibernéticas, testar a sua capacidade de recuperação antes de ser necessário, validar a integridade das cópias de segurança, identificar lacunas nos manuais de procedimentos — e garantir que, quando precisar de recuperar, não terá de descobrir como fazê-lo sob pressão às 2h00 da manhã, enquanto a produção está em baixo.


O panorama geral: Como é que o setor industrial pode reforçar a resiliência da identidade?

A violação de segurança na Foxconn é significativa não só devido à sua dimensão, mas também devido ao que foi roubado.

Mapas de topologia de centros de dados para a infraestrutura da Google e da Intel
Especificações de montagem para hardware de IA
Propriedade intelectual cujo desenvolvimento levou anos e custou centenas de milhões de dólares

Todos saíram do edifício ao longo de semanas de exfiltração discreta, enquanto ninguém estava a vigiar o domínio.

O setor industrial continua a encarar o Active Directory como um problema de TI, em vez de um risco operacional. Num ambiente da Indústria 4.0 — onde o controlador de domínio é o pilar de confiança para tudo, desde o chão de fábrica até à nuvem — essa perspetiva está perigosamente desatualizada.

Os atacantes compreendem isto: a camada de identidade é a principal superfície de ataque.

A questão que se coloca a todos os CISO nos setores da indústria transformadora, das infraestruturas críticas e da cadeia de abastecimento tecnológica não é apenas se os seus sistemas operacionais estão bem protegidos. É saber se, quando um atacante conseguir entrar, as suas defesas de identidade o irão impedir — ou se lhe darão acesso a tudo.


Ler mais