A Check Point Software publicou o Índice Global de Ameaças referente a maio de 2025. Segundo o estudo, o SafePay, um grupo de ransomware, superou outras ameaças em maio para se tornar o ator mais prevalente na lista dos principais grupos de ransomware, empregando uma estratégia de dupla extorsão. Em relação aos Top malwares do mês, o FakeUpdates continua dominando como o malware mais disseminado, impactando organizações em todo o mundo. Além disso, os pesquisadores indicam que o setor de educação permanece como o mais visado a ataques globalmente, refletindo vulnerabilidades contínuas nas instituições.
A pesquisa mostrou que em maio, a Europol, o FBI, a Microsoft e outros parceiros lançaram uma grande operação com foco no Lumma, uma proeminente plataforma de malware como serviço (Malware-as-a-Service). Essa ofensiva resultou na apreensão de milhares de domínios, interrompendo significativamente a operação. No entanto, especialistas apontaram que os servidores principais do Lumma, baseados na Rússia, teriam permanecido operacionais, e os desenvolvedores rapidamente restauraram sua infraestrutura. Apesar disso, a operação causou danos reputacionais ao empregar táticas psicológicas, como phishing e criação de desconfiança entre seus usuários. Embora a interrupção técnica tenha sido relevante, dados relacionados ao Lumma continuam circulando, gerando preocupações sobre o impacto de longo prazo da ofensiva.
“Os dados do Índice Global de Ameaças de maio destacam a crescente sofisticação das táticas dos cibercriminosos. Com a ascensão de grupos como o SafePay e a ameaça persistente do FakeUpdates, as organizações devem adotar medidas de segurança proativas e em múltiplas camadas”, afirmou Lotem Finkelstein, diretor de Inteligência de Ameaças na Check Point Software.
Principais famílias de malware Global e Brasil
De acordo com o relatório, o FakeUpdates seguiu como o malware mais prevalente em maio no ranking global com impacto de 5%, seguido de perto por Remcos e AndroxGh0st, ambos impactando 3% das organizações em todo o mundo. No Brasil, em maio, o ranking nacional de ameaças listou os mesmos malwares e nas mesmas posições que o global: o malware FakeUpdates liderou o índice nacional de ameaças com impacto de 10,75%; o segundo malware que mais impactou as organizações no Brasil foi o Remcos com índice de 2,70%, e, em terceiro, o Androxgh0st registrou impacto foi de 4,82%.
Principais grupos de Ransomware
Os dados apontaram que os grupos de ransomware continuam a dominar o cenário do crime cibernético. Em maio, o SafePay surgiu como a ameaça de ransomware mais significativa, com uma nova geração de operadores mirando tanto grandes empresas quanto pequenas empresas. As táticas utilizadas por esses grupos estão se tornando cada vez mais sofisticadas, e a competição entre eles está se intensificando.
O SafePay foi observado pela primeira vez em novembro de 2024, com indicadores sugerindo uma possível afiliação russa. Segundo os pesquisadores, o grupo opera um modelo de extorsão dupla: criptografa os arquivos das vítimas e extrai dados confidenciais para aumentar a pressão por pagamento. Apesar de não operar como um Ransomware como Serviço (RaaS), o SafePay registrou um número excepcionalmente alto de vítimas. Sua estrutura centralizada e interna resulta em táticas, técnicas e procedimentos (TTPs) consistentes e segmentação focada.
Principais malwares para dispositivos móveis no mundo em maio de 2025
A pesquisa também apontou os principais malwares para dispositivos móveis. Entre eles estão o Anubis, um trojan bancário \que se originou em dispositivos Android. Ele possui capacidades como contornar a autenticação de múltiplos fatores (MFA), registrar teclas digitadas (keylogging), gravar áudio e executar funções de ransomware.
Os pesquisadores também apontam o AhMyth, um trojan de acesso remoto (RAT) que ataca dispositivos Android, disfarçado como aplicativos legítimos. Ele obtém permissões extensivas para exfiltrar informações sensíveis, como credenciais bancárias e códigos MFA.
Além desses, o Necro um downloader malicioso para Android que recupera e executa componentes nocivos em dispositivos infectados com base em comandos de seus criadores. Segundo a pesquisa, ele foi descoberto em diversos aplicativos populares no Google Play, bem como em versões modificadas de aplicativos em plataformas não oficiais, como Spotify, WhatsApp e Minecraft.
