A Check Point Software publicou o Índice Global de Ameaças referente a janeiro de 2025, ressaltando a crescente ofensiva dos cibercriminosos com uso de IA. Em janeiro, o destaque foi para o malware FakeUpdates, o qual continua representando uma ameaça significativa no cenário cibernético, desempenhando um papel crucial na facilitação de ataques de ransomware.
Em relação ao cenário de ransomware, uma investigação recente conduzida por pesquisadores de segurança revelou que um afiliado do grupo RansomHub utilizou um backdoor baseado em Python para manter acesso persistente e implantar ransomware em diversas redes. Instalado logo após o FakeUpdates obter acesso inicial, esse backdoor demonstrou técnicas avançadas de ocultação, além de padrões de codificação assistidos por IA. O ataque envolveu movimentação lateral por meio do Protocolo de Área de Trabalho Remota (RDP – Remote Desktop Protocol) e estabeleceu acesso contínuo criando tarefas agendadas.
“A IA está transformando o cenário das ameaças cibernéticas, com os cibercriminosos evoluindo rapidamente seus métodos, utilizando-a para automatizar e ampliar suas táticas, além de aprimorar suas capacidades. Para combater essas ameaças de forma eficaz, as organizações devem ir além das defesas tradicionais e adotar medidas de segurança proativas e adaptativas, baseadas em IA, que antecipem riscos emergentes”, afirma Maya Horowitz, vice-presidente de pesquisa da Check Point Software.
Principais Famílias de Malware
FakeUpdates – FakeUpdates (também conhecido como SocGholish) é um malware downloader descoberto inicialmente em 2018. Ele se espalha por meio de downloads ocultos em sites comprometidos ou maliciosos, induzindo os usuários a instalar uma falsa atualização de navegador. O FakeUpdates está associado ao grupo de hackers russo Evil Corp e é utilizado para entregar cargas secundárias após a infecção inicial.
Formbook – Identificado pela primeira vez em 2016, Formbook é um malware ladrão de informações que ataca principalmente sistemas Windows. Ele coleta credenciais de diversos navegadores, captura telas, monitora e registra pressionamentos de teclas e pode baixar e executar cargas adicionais. Sua disseminação ocorre por meio de campanhas de phishing, anexos maliciosos em e-mails e sites comprometidos, frequentemente disfarçado como arquivos legítimos.
Remcos – Remcos é um Trojan de Acesso Remoto (RAT) observado pela primeira vez em 2016. Ele costuma ser distribuído por meio de documentos maliciosos em campanhas de phishing. O Remcos contorna mecanismos de segurança do Windows, como o Controle de Conta de Usuário (UAC), e executa malware com privilégios elevados, tornando-se uma ferramenta versátil para agentes de ameaças.
Top 5 Malwares no Brasil
Em janeiro, o malware FakeUpdates consolidou-se como líder do ranking nacional de ameaças com impacto de 4,75%. O segundo malware que mais impactou no Brasil no primeiro mês do ano foi o Androxgh0st com impacto de 4,40% às organizações no país, e o Remcos ocupou o terceiro lugar cujo impacto foi de 2,61%.
O FakeUpdates é um malware que se disfarça de atualizações falsas de software para infectar sistemas. Ele pode ser distribuído por meio de sites comprometidos e, uma vez instalado, permite que os atacantes instalem backdoors, roubem credenciais e realizem movimentações laterais dentro da rede da vítima. O malware é amplamente utilizado por grupos de cibercriminosos para obter acesso inicial a redes corporativas, servindo como porta de entrada para ataques mais sofisticados, incluindo ransomware.
Principais Malwares para Dispositivos Móveis em janeiro de 2025
Anubis – Anubis é um trojan bancário versátil que se originou em dispositivos Android. Ele possui capacidades como contornar a autenticação de múltiplos fatores (MFA), registrar teclas digitadas (keylogging), gravar áudio e executar funções de ransomware.
AhMyth – AhMyth é um trojan de acesso remoto (RAT) que ataca dispositivos Android, disfarçado como aplicativos legítimos. Ele obtém permissões extensivas para exfiltrar informações sensíveis, como credenciais bancárias e códigos MFA.
Necro – Necro é um downloader malicioso para Android que recupera e executa componentes prejudiciais com base em comandos enviados pelos seus criadores.
Principais setores atacados
Em janeiro de 2025, a Educação também se consolidou como o setor mais atacado a nível mundial, seguido pelo Governo e Telecomunicações. No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de janeiro foram: Governo, Telecomunicações e Saúde.
Principais Grupos de Ransomware
Com base em dados de “shame sites” de ransomware, o Clop é o grupo mais prevalente, responsável por 10% dos ataques publicados, seguido pelo FunkSec com 8% e o RansomHub com 7%.
1.Clop – O Clop é uma variante de ransomware ativa desde 2019, que ataca indústrias em todo o mundo. Ele emprega a técnica de “dupla extorsão”, ameaçando vazar dados roubados caso o resgate não seja pago.
2.FunkSec – FunkSec é um grupo emergente de ransomware que surgiu em dezembro de 2024, operando um site de vazamento de dados que mistura incidentes de ransomware com violações de dados.
3.RansomHub – RansomHub é uma operação de Ransomware-as-a-Service (RaaS) que surgiu como uma versão reformulada do ransomware Knight. Ganhou notoriedade por atacar ambientes Windows, macOS, Linux e VMware ESXi.
O cenário de ciberameaças de janeiro de 2025 reflete a contínua sofisticação das táticas cibercriminosas, com o FakeUpdates mantendo-se como um vetor crítico para ataques de ransomware. O uso crescente de IA por grupos de cibercriminosos, como evidenciado no backdoor baseado em Python utilizado por afiliados do RansomHub, destaca a evolução dos métodos de ataque, tornando-os mais furtivos e eficazes.
