Em 2026, hackers passaram a explorar ferramentas nativas do Windows para conduzir campanhas devastadoras de ransomware e exfiltração de dados, adotando a técnica Living off the Land (LotL). Um caso emblemático envolve uma campanha do ransomware INC detectada em 25 de fevereiro de 2026, que utilizou PsExec e utilitários de backup renomeados para extrair dados antes de criptografar sistemas. O acesso inicial ocorreu apenas um dia antes, em 24 de fevereiro, demonstrando a velocidade dessas operações.
O impulso por ferramentas legítimas se baseia na confiança. Antivírus tradicionais tendem a não bloquear executáveis assinados pela Microsoft, permitindo que PowerShell, Windows Management Instrumentation (WMI) e certutil.exe operem com privilégios elevados sem acionar alertas. O caso do BlankGrabber ilustra a sofisticação dessa abordagem, já que a cadeia de infecção multi-estágio inclui Rust e Python, com cada etapa parecendo atividade administrativa comum.
Outras táticas envolvem o uso de arquivos .scr (screensaver) e .rdp para implantar ferramentas de acesso remoto como SimpleHelp. Essas aplicações de gerenciamento remoto legítimas oferecem controle total sobre máquinas comprometidas sem disparar alarmes, evidenciando a dificuldade de diferenciar entre uso legítimo e abuso malicioso.
A engenharia social também evoluiu: campanhas de vishing ocorrem via Microsoft Teams, persuadindo vítimas a conceder acesso através do Windows Quick Assist. A porta de entrada é apresentada como suporte técnico legítimo, o que aumenta a probabilidade de que usuários autorizem ações potencialmente perigosas.
Defesas e respostas implementadas pela indústria avançam para além de listas de permissões: há ênfase em análise comportamental, telemetria detalhada e soluções EDR/XDR, com Segmentação de rede para conter movimentação lateral. Em março de 2026, o Patch Tuesday corrigiu 78 vulnerabilidades, incluindo uma zero-day explorada ativamente, e o MSRT adicionou suporte a 47 novas famílias de malware. O volume de exploits antes de patches disponíveis revela uma corrida armamentista contínua entre defensores e atacantes.
O impacto operacional é significativo: ransomware bem-sucedido pode paralisar operações por semanas, com exfiltração de dados que expõe propriedade intelectual e dados de clientes, gerando passivos regulatórios sob LGPD e GDPR. Organizações com pouca visibilidade sofrem dwell time elevado, reforçando a necessidade de soluções EDR/XDR, SIEM e treinamento de usuários. A evolução das defesas passa pela arquitetura Zero Trust, verificação contínua de identidades e dispositivos, além de monitoramento de comportamento para detectar desvios no uso de ferramentas oficiais.
