5 maneiras pelas quais as soluções de segurança de endpoints poderiam ter evitado violações em 2025
Cinco incidentes reais de 2025. Lições práticas sobre proteção de endpoints, gerenciamento de postura e segurança de identidade para prevenir a próxima violação.
Este ano foi marcado por uma onda ininterrupta de ciberataques em diversos setores. Desde ransomware que paralisou operações comerciais até vazamentos massivos de dados, cada incidente oferece uma lição sobre o que poderia tê-lo evitado.
Notavelmente, muitas das piores violações de segurança de 2025 poderiam ter sido impedidas, ou pelo menos mitigadas, por meio de práticas robustas de segurança de endpoints. Softwares sem patches, senhas roubadas e sistemas mal configurados foram pontos de entrada comuns.
Neste artigo, examinaremos cinco violações de segurança de alto perfil ocorridas em 2025 e exploraremos como a segurança de endpoints poderia tê-las evitado.
1. Ataques de Zero Day da Microsoft SharePoint
Um grande incidente ocorrido em 2025 envolveu a exploração generalizada de servidores on-premises da Microsoft SharePoint. Em julho, cibercriminosos (incluindo grupos ligados à China) abusaram de vulnerabilidades recém-descobertas, denominadas ToolShell , para comprometer centenas de sistemas SharePoint.
Mais de 400 servidores foram infiltrados em mais de 100 organizações, incluindo agências governamentais dos Estados Unidos (EUA). Os invasores exploraram essas vulnerabilidades de zero-day para executar códigos maliciosos, obtendo acesso irrestrito aos dados nesses servidores. A Microsoft se apressou em lançar patches, mas não antes que informações confidenciais fossem acessadas e backdoors fossem potencialmente instalados pelos hackers.
Essa violação demonstra a importância do gerenciamento oportuno de patches. Embora as explorações no SharePoint tenham começado como vulnerabilidades de zero day, as organizações que aplicaram rapidamente os patches fora de banda da Microsoft foram protegidas assim que os patches foram disponibilizadas. Uma solução de gerenciamento de endpoints com gerenciamento automatizado de patches teria atualizado prontamente os servidores SharePoint afetados, impedindo os ataques do ToolShell.
Além disso, a detecção e resposta de endpoints (EDR) avançadas poderiam ter identificado comportamentos suspeitos nesses servidores, como processos incomuns ou escalonamento de privilégios, e alertado as equipes de segurança em tempo real. Ao combinar a aplicação de patches com a detecção de ameaças baseada em comportamento, uma plataforma unificada de gerenciamento e segurança de endpoints poderia ter limitado drasticamente o período de exposição.
2. Ataque de ransomware à Ingram Micro
Nenhum setor esteve a salvo em 2025, como demonstra o enorme ataque de ransomware sofrido pela Ingram Micro, gigante da distribuição de TI listada na Fortune 500. Durante o feriado de 4 de julho, os sistemas da Ingram Micro foram atingidos pelo ransomware SafePay, forçando a empresa a desativar seus sistemas globais de pedidos.
Durante quase uma semana, os clientes ficaram impossibilitados de fazer pedidos, o que interrompeu as cadeias de suprimentos até que a Ingram Micro restabeleceu as operações em 10 de julho. Esse ataque apresentou todas as características de um ransomware moderno: malware se espalhando pela rede, criptografando servidores críticos e exigindo pagamento.
A SafePay, o grupo responsável, evita o modelo típico de Ransomware como Serviço, o que tornou a defesa contra ele particularmente desafiadora. O resultado final foi um longo período de inatividade das operações e prováveis perdas financeiras, sem mencionar os danos à reputação de uma empresa cujo negócio depende da confiabilidade.
O ransomware é exatamente o tipo de ameaça que as soluções de segurança de endpoints são projetadas para combater. No caso da Ingram Micro, uma defesa de endpoints em múltiplas camadas poderia ter impedido o SafePay em vários pontos.
Primeiro, os sistemas antimalware e de inteligência de ameaças nos endpoints reconheceriam arquivos maliciosos conhecidos ou comportamentos suspeitos (como um processo criptografando arquivos) e os bloqueariam antes que a criptografia se propagasse. Segundo, as ferramentas EDR poderiam ter detectado a movimentação lateral do ransomware desde o início.
Ao conter a infecção no paciente zero, o ataque jamais teria se alastrado a ponto de causar uma interrupção completa. Por fim, backups regulares de dados, combinados com um plano de gerenciamento de endpoints, podem garantir que uma empresa se recupere rapidamente, mesmo que alguns sistemas sejam afetados.
3. Violação de dados do centro de atendimento da Qantas
Em junho de 2025, a companhia aérea australiana Qantas sofreu uma das maiores violações de dados do país em anos. Os invasores entraram em uma plataforma de atendimento ao cliente de terceiros usada pela central de atendimento da Qantas, acessando um banco de dados com cerca de 6 milhões de registros de clientes, incluindo informações como nomes, endereços de e-mail, números de telefone, datas de nascimento e números de programas de fidelidade.
A violação não afetou a segurança ou as operações de voo, mas representou um duro golpe para a confiança dos clientes. As investigações sugerem que os culpados usaram táticas de engenharia social ligadas ao grupo de hackers Scattered Spider, se passando por funcionários de TI para roubar credenciais de login de colaboradores.
Isso demonstra a necessidade de controles de acesso rigorosos e verificação de identidade em todos os endpoints e aplicações. Se a plataforma de terceiros da Qantas tivesse sido protegida por autenticação multifator (MFA), uma senha roubada por si só não teria sido suficiente para obter acesso.
As soluções de segurança de endpoints permitem que as empresas implementem a autenticação multifator (MFA) tanto para sistemas internos quanto para sistemas de terceiros, garantindo que, mesmo que as credenciais sejam obtidas por phishing, um método adicional de verificação (como um autenticador móvel ou token de hardware) seja necessário para fazer login.
As plataformas de endpoints também podem implementar análises de comportamento do usuário para detectar anomalias; por exemplo, uma conta de funcionário baixando milhões de registros ou fazendo login de um local incomum acionaria alertas. No caso da Qantas, uma combinação de MFA (autenticação multifator) e monitoramento poderia ter impedido o invasor no portão de embarque.
4. Barts Health NHS Trust: Ataque de ransomware Cl0p
Em agosto de 2025, o Barts Health NHS Trust sofreu um ciberataque ligado ao grupo de ransomware Cl0p. O Barts afirma que os atacantes exploraram uma vulnerabilidade no Oracle E-Business Suite (EBS) para acessar e copiar arquivos de um banco de dados usado para faturamento e cobrança. O trust confirmou posteriormente que as informações roubadas incluíam nomes, endereços e detalhes de faturas, afetando alguns pacientes e funcionários.
O incidente não afetou o sistema eletrônico de registros de pacientes ou os principais sistemas clínicos do Barts, mas o roubo de dados ainda representou um risco significativo, visto que informações de faturas e contatos podem ser usadas para golpes e phishing direcionados. Após a publicação dos dados online pelo Cl0p, Barts informou estar trabalhando com o NHS England, o NCSC e a Polícia Metropolitana, além de ter tomado medidas legais para limitar a disseminação das informações.
Este é exatamente o tipo de violação que os programas de segurança de endpoints visam reduzir, especialmente para aplicações corporativas voltadas para a internet. Assim que a Oracle lançasse patches para as vulnerabilidades do EBS que estavam sendo exploradas ativamente, o gerenciamento automatizado de patches e a varredura de vulnerabilidades teriam reduzido drasticamente a janela de exposição.
Além disso, o gerenciamento de endpoints nos servidores afetados poderia ter sinalizado atividades pós-exploração (como novos web shells ou processos, ações administrativas suspeitas ou acesso ou exportação de dados incomuns) com antecedência suficiente para conter o incidente antes que dados em larga escala fossem copiados.
5. Violação do sistema CRM em nuvem da Allianz Life Insurance
Nem mesmo os setores altamente regulamentados escaparam ilesos em 2025. No final de julho, a Allianz Life Insurance Company of North America divulgou uma violação de segurança que expôs os dados pessoais de aproximadamente 1,1 milhão de clientes (potencialmente até 1,5 milhão, segundo análises posteriores).
Essa violação foi problemática devido à natureza sensível dos dados: nomes, endereços, datas de nascimento, números de telefone e até mesmo números de Segurança Social foram roubados do sistema de gestão de relacionamento com o cliente (CRM) baseado na nuvem da Allianz.
A Allianz revelou que um agente malicioso acessou uma plataforma de CRM de terceiros usando engenharia social em 16 de julho de 2025. Os atacantes enganaram um funcionário da Allianz (ou um parceiro autorizado) para obter suas credenciais de login do CRM baseado na Salesforce e, em seguida, usaram esse acesso para roubar os dados.
Um grupo de hackers notório chamado ShinyHunters acabou assumindo a responsabilidade pelo vazamento de tabelas inteiras do banco de dados da Salesforce na internet. As consequências para a Allianz Life foram graves: a empresa teve que notificar quase todos os seus clientes nos EUA e oferecer proteção contra o monitoramento de identidade, além de lidar com a fiscalização regulatória.
A violação de segurança da Allianz demonstra por que o roubo de credenciais e a segurança de aplicações em nuvem são agora prioridades absolutas para a proteção de endpoints. A defesa mais simples e eficaz nesse caso teria sido a autenticação multifator (MFA) na conta do CRM.
Com a MFA implementada, mesmo que um funcionário fosse enganado e revelasse seu nome de usuário e senha, o invasor seria impedido imediatamente pela segunda etapa de verificação.
Dê os próximos passos com o ManageEngine Endpoint Central
Cada uma dessas violações revela uma falha diferente: um servidor sem as devidas atualizações, um usuário desavisado, um banco de dados mal configurado ou a falta de controle de acesso. Elas também comprovam que as soluções de segurança de endpoints deixaram de ser opcionais e se tornaram a peça fundamental para a prevenção de violações.
As organizações precisam de uma maneira de fortalecer seus endpoints e redes em todas as frentes: implantando patches rapidamente, detectando e neutralizando ameaças como ransomware, aplicando o princípio do menor privilégio com MFA e protegendo dados confidenciais onde quer que estejam armazenados.
A boa notícia é que você não precisa combinar diversas ferramentas para alcançar esse objetivo. O ManageEngine oferece uma plataforma integrada, o Endpoint Central, que reúne gerenciamento de endpoints e segurança em uma solução unificada.
[imagem] https://blogscdn.manageengine.com/sites/meblogs/images/uems/endpoint-central/dkblog/dk-2.png
Figura 1: Capacidade de detecção e correção de vulnerabilidades do Endpoint Central.
Desde o gerenciamento automatizado de patches e a verificação de vulnerabilidades até a detecção avançada de ameaças e o controle de dispositivos, o ManageEngine Endpoint Central foi projetado para resolver exatamente os problemas mostrados acima.
Isso permite que as equipes de TI respondam mais rapidamente do que os invasores e criem barreiras de proteção em torno dos pontos mais vulneráveis antes que sejam explorados. Não espere até que sua organização seja a próxima notícia. Reforce suas defesas agora mesmo, explorando o que o pacote de segurança de endpoints da ManageEngine pode fazer por você.
Experimente o Endpoint Central gratuitamente por 30 dias.
Leia o artigo original aqui.
Nota: Encontre a revenda da ManageEngine certa. Entre em contato com a nossa equipe de canais pelo e-mail latam-sales@manageengine.com.
Importante: a ManageEngine não trabalha com distribuidores no Brasil.