Lisboa, 21 de outubro de 2025 – A WatchGuard® Technologies, líder global em cibersegurança unificada para fornecedores de serviços geridos (MSP), divulgou hoje as conclusões do seu mais recente Relatório de Segurança na Internet, uma análise trimestral que identifica as principais ameaças de malware, rede e endpoint observadas pelos investigadores do WatchGuard Threat Lab entre abril e junho, correspondendo ao segundo trimestre de 2025.
As principais conclusões do relatório revelam um aumento de 40%, face ao trimestre anterior, em malware avançado e evasivo. Os dados destacam os canais encriptados como o vetor de ataque preferido pelos adversários, que recorrem ao Transport Layer Security (TLS), o protocolo de encriptação que protege a maioria do tráfego web seguro. Embora o TLS seja essencial para proteger os utilizadores, os atacantes estão a explorá-lo cada vez mais para ocultar cargas maliciosas.
No total, as deteções de malware aumentaram 15% no segundo trimestre, impulsionadas por um crescimento de 85% no Gateway AntiVirus (GAV) e de 10% no IntelligentAV (IAV), evidenciando o papel crescente do IAV na deteção de ameaças sofisticadas. Com 70% de todo o malware agora entregue através de ligações encriptadas, os resultados mostram uma dependência crescente dos atacantes em técnicas de ofuscação e dissimulação, sublinhando a necessidade de as organizações melhorarem a visibilidade sobre o tráfego encriptado e adotarem estratégias de proteção mais flexíveis.
O Threat Lab observou também um ligeiro aumento nos ataques de rede, que subiram 8,3%. Ao mesmo tempo, a diversidade de ataques diminuiu, com 380 assinaturas únicas detetadas, em comparação com 412 no trimestre anterior. Destaca-se a identificação de uma nova deteção maliciosa em JavaScript – “WEB-CLIENT JavaScript Obfuscation in Exploit Kits” – demonstrando a rapidez com que novas ameaças se disseminam através de técnicas de ofuscação para contornar controlos antigos. Os resultados indicam que, embora surjam novos exploits, os atacantes continuam a explorar vulnerabilidades antigas e amplamente utilizadas em navegadores, frameworks web e ferramentas open-source.
“Ao longo do segundo trimestre, os resultados apontam para um aumento de malware evasivo em canais encriptados, à medida que os atacantes se esforçam por evitar a deteção e maximizar o impacto. Para MSPs e equipas de TI com recursos limitados, o verdadeiro desafio passa por adaptar-se rapidamente com medidas eficazes. A aplicação consistente de patches, defesas comprovadas e tecnologias avançadas de deteção e resposta continuam a ser as contramedidas mais eficazes para mitigar estas ameaças”, afirmou Corey Nachreiner, chief security officer da WatchGuard Technologies.
Principais conclusões adicionais do Relatório de Segurança na Internet da WatchGuard – 2.º trimestre de 2025:
- Novos tipos de malware aumentaram 26%, demonstrando a frequência com que a encriptação por empacotamento – uma forma de evasão – é utilizada pelos cibercriminosos. Estas variantes polimórficas conseguem evitar a deteção baseada em assinaturas, o que resultou num aumento das deteções pelos serviços avançados da WatchGuard, como o APT Blocker (Advanced Persistent Threat Blocker) e o IntelligentAV.
- O Threat Lab identificou inesperadamente duas ameaças de malware baseadas em USB: PUMPBENCH, uma backdoor de acesso remoto, e HIGHREPS, um loader. Ambas instalavam um coin miner – XMRig – utilizado para executar a mineração do Monero (XMR), possivelmente associadas à utilização de carteiras digitais de criptomoedas.
- Os ataques de ransomware diminuíram 47%, refletindo uma mudança para ataques menos numerosos, mas mais impactantes, dirigidos a alvos de elevado perfil, com consequências mais graves. Verificou-se, no entanto, um aumento no número de grupos de extorsão ativos, com destaque para Akira e Qilin, entre os mais agressivos.
- Os droppers dominaram o malware de rede: sete das dez deteções principais correspondiam a cargas de primeira fase, incluindo Trojan.VBA.Agent.BIZ e o stealer de credenciais PonyStealer, que exploram macros ativadas pelo utilizador para comprometer sistemas. O infame botnet Mirai também ressurgiu após cinco anos, concentrando-se sobretudo na região APAC. O predomínio dos droppers evidencia a preferência dos atacantes por infeções em múltiplas fases.
- O malware zero-day continua dominante, representando mais de 76% de todas as deteções e quase 90% do malware transmitido por canais encriptados. Estes dados reforçam a necessidade de capacidades de deteção avançadas para além das assinaturas, especialmente face a ameaças ocultas em tráfego TLS.
- As ameaças baseadas em DNS mantiveram-se, incluindo domínios associados ao trojan de acesso remoto DarkGate (RAT), um loader que atua também como RAT, reforçando o papel da filtragem DNS como camada de defesa crítica.
Em conformidade com as atualizações trimestrais anteriores do Threat Lab, os dados deste relatório baseiam-se em inteligência de ameaças agregada e anonimizada proveniente de produtos de rede e endpoint ativos da WatchGuard, cujos proprietários optaram por partilhar informação para apoiar diretamente os esforços de investigação da empresa.
Para uma análise mais detalhada da investigação da WatchGuard, descarregue o Relatório de Segurança na Internet – 2.º Trimestre de 2025 completo.