Dados do Índice Global de Ameaças para janeiro de 2025, da empresa mundial de soluções de cibersegurança, Check Point Software Technologies, destacam o malware FakeUpdates como uma ameaça significativa, ao desempenhar um papel crucial na facilitação de ataques de ransomware.
Uma investigação recente efetuada por investigadores de segurança revelou que um afiliado do RansomHub utilizou uma backdoor baseada em Python para manter um acesso persistente e implementar ransomware em várias redes. Instalado pouco depois do FakeUpdates ter obtido acesso inicial, este backdoor demonstrou técnicas avançadas de disfarce, juntamente com padrões de codificação assistidos por IA. O ataque envolveu um movimento lateral através do Protocolo de Ambiente de Trabalho Remoto (RDP) e estabeleceu um acesso contínuo através da criação de tarefas agendadas.
Em Portugal, como referiu a Check Point, a liderança em janeiro de 2025 do malware mais predominante foi do Remcos, com um impacto de 5,91% nas organizações portuguesas, tendo o setor mais afetado sido o da Educação/Investigação.
“A IA está a transformar o panorama das ameaças cibernéticas, com os cibercriminosos a evoluírem rapidamente os seus métodos, aproveitando a IA para automatizar e escalar as suas táticas e melhorar as suas capacidades. Para combater eficazmente estas ameaças, as organizações devem ir além das defesas tradicionais e adotar medidas de segurança proativas e adaptativas alimentadas por IA que antecipem os riscos emergentes”, referiu Maya Horowitz, VP de Investigação da Check Point Software.
A Check Point Software descreve as principais famílias de malwares em circulação e a sua evolução no mês, em que setas indicam uma mudança na classificação em relação ao mês anterior.
Principais famílias de malware a nível mundial
- ↔ FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader codificado em JavaScript. Encripta toda a carga útil no disco antes de a lançar. O Fake Updates levou a um maior compromisso através de vários malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer, and AZORult.
- ↑ Formbook – O Formbook, identificado pela primeira vez em 2016, é um malware infostealer que visa principalmente os sistemas Windows. O malware recolhe credenciais de vários navegadores Web, recolhe capturas de ecrã, monitoriza e regista as teclas pressionadas, e pode descarregar e executar cargas úteis adicionais. Propaga-se através de campanhas de phishing, anexos de email maliciosos e sites comprometidos, muitas vezes disfarçados de ficheiros legítimos.
- ↔ AgentTesla – O AgentTesla é um RAT avançado que funciona como um keylogger e um ladrão de informações, capaz de monitorizar e recolher a entrada do teclado da vítima, o teclado do sistema, fazer capturas de ecrã e exfiltrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, o Mozilla Firefox e o cliente de email Microsoft Outlook).
Principais Famílias Malware em Portugal
- ↑ Remcos – O Remcos é um RAT que apareceu pela primeira vez em 2016. A Remcos distribui-se através de documentos maliciosos do Microsoft Office que são anexados a e-mails de SPAM, e foi concebida para contornar a segurança UAC do Microsoft Windows e executar malware com privilégios de alto nível.
- ↔ FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader codificado em JavaScript. Encripta toda a carga útil no disco antes de a lançar. O Fake Updates levou a um maior compromisso através de vários malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer, and AZORult.
- ↑ Androxgh0st – O AndroxGh0st é um malware baseado em Python que visa aplicações que utilizam a estrutura Laravel PHP, procurando ficheiros .env expostos que contenham informações sensíveis, tais como credenciais de início de sessão para serviços como AWS, Twilio, Office 365 e SendGrid. Funciona através da utilização de uma botnet para identificar sites que executam o Laravel e extrair dados confidenciais. Uma vez obtido o acesso, os atacantes podem implementar malware adicional, estabelecer ligações backdoor e explorar recursos da cloud para atividades como a extração de moeda criptográfica.
Principais malwares móveis a nível mundial
- ↔ Anubis – O Anubis é um trojan bancário versátil originário de dispositivos Android, com capacidades como contornar a autenticação multi-fator (MFA), keylogging, gravação de áudio e funções de ransomware.
- ↑ AhMyth – O AhMyth é um trojan de acesso remoto (RAT) que visa dispositivos Android, disfarçado de aplicações legítimas. Obtém permissões extensivas para exfiltrar informações sensíveis como credenciais bancárias e códigos MFA.
- ↓ Necro – O Necro é um downloader malicioso para Android que recupera e executa componentes nocivos com base nos comandos dos seus criadores.
Setores mais atacados a nível mundial
- Educação/Investigação
- Administração Pública/Defesa
- Telecomunicações
Principais indústrias atacadas em Portugal
- Educação/Investigação
- Transportes e Logística
- Cuidados de Saúde
Principais Grupos de Ransomware
Os dados são baseados em insights de sites de “shame” de ransomware operados por grupos de ransomware de dupla extorsão, que publicam informações privadas das vítimas. O Clop é o grupo de ransomware mais predominante, responsável por 10% dos ataques publicados, seguido pelo FunkSec com 8% e pelo RansomHub com 7%.
- Clop – O Clop é uma variante de ransomware, ativa desde 2019, que visa indústrias em todo o mundo. Utiliza a “extorsão dupla”, ameaçando divulgar os dados roubados, a menos que seja pago um resgate.
- FunkSec – O FunkSec é um grupo de ransomware emergente que surgiu em dezembro de 2024, com um site de fuga de dados que mistura incidentes de ransomware com violações de dados.
- RansomHub – O RansomHub é uma operação de Ransomware-as-a-Service (RaaS) que surgiu como uma versão rebranded do ransomware Knight. Ganhou notoriedade por visar ambientes Windows, macOS, Linux e VMware ESXi.
