Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Cavalo de Tróia moderno: como os atacantes vivem fora da terra e como detê-los

Maritza Marie Dubec
Gerente sênior de marketing de conteúdo
Illumio Editorial
August 12, 2025
23 minutos. ler

Odisseu não invadiu Tróia com força bruta.

Ele se infiltrou neles por dentro — escondido dentro de um cavalo de madeira que os troianos pensaram ser um presente. Naquela noite, suas forças emergiram e tomaram a cidade de dentro.

Foi o engano perfeito: usar o que é confiável, não dar avisos — apenas estratégia, paciência e conhecimento dos pontos cegos do inimigo.

Os ataques cibernéticos mais avançados da atualidade seguem o mesmo manual. Os invasores exploram as ferramentas nativas que já estão dentro de seus sistemas. Eles se movem silenciosamente e ficam escondidos. Como Odisseu, eles usam o que é confiável para escapar sem serem detectados.

O Cavalo de Madeira, pintado por um artista florentino, Biagio d'Antonio, no final do século XV.

Ferramentas confiáveis, ameaças ocultas

Na segurança cibernética, os ataques cibernéticos que vivem fora da terra (LOTL) evitam a detecção usando ferramentas de sistema legítimas e integradas, como PowerShell ou WMI.

Essas ferramentas baixam cargas maliciosas, se movem lateralmente e extraem dados — tudo junto com o tráfego normal da rede. Nenhum malware é instalado e nenhum arquivo suspeito é descartado, e é por isso que esses ataques geralmente passam despercebidos por meses.

Os ataques LOTL agora são responsáveis pela maioria das intrusões cibernéticas modernas. Uma análise de 2025 de mais de 700.000 incidentes descobriu que 84% dos principais ataques envolveram técnicas de LOTL.

Por que eles são tão eficazes? Os sistemas operacionais vêm pré-carregados com ferramentas poderosas destinadas aos administradores, e os atacantes as estão transformando em armas. Uma vez lá dentro, eles usam essas mesmas ferramentas para se misturar, manter o acesso e expandir silenciosamente seu alcance.

Uma análise de 2025 de mais de 700.000 incidentes descobriu que 84% dos principais ataques envolveram técnicas de LOTL.

Isso torna os ataques do Living off the Land mais difíceis de detectar — e muito mais difíceis de impedir.

Embora muitos ataques de LOTL ocorram no Windows, o uso de ferramentas confiáveis e a execução de código na memória também podem ser aplicados ao macOS e ao Linux.  

No macOS, os invasores podem explorar serviços nativos, como o AppleScript e o comando launchd, para persistir e executar comandos. No Linux, eles podiam contar com Bash, SSH, cron jobs e execução na memória para operar sem gravar arquivos em disco e evitar a detecção tradicional.

Exemplo de ferramentas do sistema disponíveis no Windows
Exemplo de ferramentas do sistema disponíveis no Windows

A recente exploração do SharePoint ToolShell “viveu do nada?”

Em julho de 2025, a Microsoft divulgou a exploração ativa de duas vulnerabilidades de dia zero doSharePoint (CVE202553770 e CVE202553771), conhecidas coletivamente como ToolShell.

As falhas — Linen Typhoon, Violet Typhoon e Storm2603 — afetaram servidores locais voltados para a Internet e foram exploradas por atores apoiados pelo estado.

Esses grupos de ameaças usaram vulnerabilidades para executar código remoto, roubar chaves de máquina, aumentar privilégios e implantar ransomware, incluindo as variantes Warlock e LockBit, em centenas de sistemas vulneráveis.

Michael Adjei, diretor de engenharia de sistemas da Illumio, compartilha sua perspectiva sobre o que se destaca nas explorações do ToolShell: “Não é apenas o uso de ferramentas nativas — é como os atacantes passaram do acesso inicial para o movimento lateral sem acionar os alarmes tradicionais. Esse incidente reforça uma realidade fundamental: se os defensores estão apenas atentos ao malware, eles já estão atrasados.”

Ransomware + Living off the Land: uma combinação potente

Outro exemplo poderoso dessa abordagem furtiva é o ransomware Medusa.

Em fevereiro de 2024, o FBI e a CISA emitiram um comunicado conjunto (#StopRansomware: Medusa Ransomware) alertando sobre sua crescente ameaça à infraestrutura crítica. Mais de 300 organizações já foram atingidas, incluindo hospitais, instituições financeiras, escolas e serviços governamentais.  

O Medusa não depende de dias zero chamativos ou de malwares óbvios. Em vez disso, ele se integra — usando ferramentas confiáveis como PowerShell, WMI, RDP, SSH e software de acesso remoto, como o ScreenConnect, para percorrer ambientes híbridos e evitar a detecção.

O ransomware moderno não entra pela porta da frente — ele se mistura como um espião.

Por que a NSA soou o alarme no LOTL

Em 2024, a NSA, a CISA e parceiros internacionais divulgaram um aviso consultivo conjunto sobre o aumento das intrusões de LOTL.

Isso não foi desencadeado por uma violação, mas por uma tendência preocupante: agentes avançados de ameaças, incluindo grupos patrocinados pelo estado, estavam usando cada vez mais ferramentas nativas para se infiltrar silenciosamente na infraestrutura crítica.

O ponto de inflexão? Campanhas como o Volt Typhoon, em que os atacantes se infiltraram nos sistemas de comunicação, energia e transporte dos EUA sem implantar o malware tradicional.

O aviso foi claro: as técnicas de LOTL haviam se tornado uma estratégia essencial para atacantes de estados-nação, e os defensores precisavam se adaptar imediatamente.

SolarWinds: uma aula magistral em LOTL

Um dos exemplos anteriores e mais prejudiciais da tecnologia LOTL aconteceu em 2020, quando agentes de ameaças inseriram silenciosamente um malware em uma atualização rotineira do Orion da SolarWinds.

Quando os clientes a instalaram, os atacantes obtiveram acesso a algumas das redes mais confidenciais do mundo, incluindo agências governamentais dos EUA e empresas da Fortune 500.

Usando ferramentas nativas do Windows e imitando a atividade normal do Orion, os atacantes evitaram a detecção por meses. O malware foi ativado somente em alvos de alto valor. Uma vez lá dentro, houve uma ampla exfiltração de dados e eles cobriram seus rastros.  

Posteriormente, a Casa Branca atribuiu o ataque à inteligência russa.

Parar o LOTL exige ver o que os outros perdem

Esses ataques não dependem de malware e abusam das ferramentas legítimas que já estão dentro da sua rede. As equipes de segurança precisam ter visibilidade de como os sistemas normalmente se comunicam para que possam detectar comportamentos incomuns e colocar ameaças em quarentena em tempo real.  

As principais defesas incluem:

  • Detecção de movimento lateral: a visibilidade da comunicação entre sistemas é essencial para descobrir invasores se movendo dentro dos ambientes.
  • Detecção comportamental de ameaças: análises que identificam o uso anormal de ferramentas nativas ajudam a revelar atividades que se misturam às operações normais.
  • Priorização de alertas: filtrar o comportamento rotineiro e destacar padrões suspeitos é fundamental quando os invasores usam processos confiáveis.
  • Contenção rápida: a capacidade de isolar ativos comprometidos rapidamente, sem esperar por assinaturas de malware, pode interromper as técnicas de LOTL antes que elas se espalhem.

Em um mundo onde os atacantes vivem da terra, os defensores precisam ter o poder de ver e controlar como seu ambiente está sendo usado.

Descubra como o Illumio Insights impede as ameaças de LOTL antes que elas se espalhem. Comece o seu teste gratuito hoje.

Tópicos relacionados

Ransomware Containment

Artigos relacionados

Como interromper os ataques do Clop Ransomware com o Illumio
Ransomware Containment

Como interromper os ataques do Clop Ransomware com o Illumio

Descubra como a variante de ransomware Clop opera e como a Illumio pode ajudar sua organização a conter o ataque com microssegmentação.

Read more
3 etapas para impedir que o ransomware se espalhe
Ransomware Containment

3 etapas para impedir que o ransomware se espalhe

Descubra as etapas para impedir que o ransomware se espalhe limitando as conexões, expandindo a visibilidade e melhorando o tempo de resposta.

Read more
Desmistificando técnicas de ransomware usando assemblies.Net: 5 técnicas principais
Ransomware Containment

Desmistificando técnicas de ransomware usando assemblies.Net: 5 técnicas principais

Aprenda sobre 5 técnicas de ransomware usando a estrutura de software.Net.

Read more
Por que o Medusa Ransomware é uma ameaça crescente à infraestrutura crítica
Ransomware Containment

Por que o Medusa Ransomware é uma ameaça crescente à infraestrutura crítica

Saiba como o ransomware Medusa funciona e por que é tão perigoso para infraestruturas críticas em todo o mundo.

Read more
Here Be Dragons: as crescentes ameaças cibernéticas à infraestrutura crítica
Cyber Resilience

Here Be Dragons: as crescentes ameaças cibernéticas à infraestrutura crítica

Descubra como os ataques cibernéticos em infraestruturas críticas estão aumentando em 2025, à medida que as tensões globais aumentam e os grupos apoiados pelo estado atacam serviços públicos, serviços de saúde e muito mais.

Read more
Duas violações, um banco: lições da crise cibernética do ICBC
Cyber Resilience

Duas violações, um banco: lições da crise cibernética do ICBC

Descubra as principais lições da crise cibernética do ICBC, em que duas grandes violações — ransomware nos EUA e roubo de dados em Londres — revelaram vulnerabilidades sistêmicas no setor bancário global.

Read more

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Learn more