Principais atores de ameaça em agosto: ransomware, espionagem e infostealers

Ao longo do ano, observámos ataques de ransomware, exfiltração de dados e espionagem clandestina patrocinada por estados. Estas são algumas das ameaças mais significativas que surgiram em agosto de 2025.

Grupo de ransomware Qilin (também conhecido como "Agenda")

Qilin é uma operação de ransomware como serviço (RaaS) que perfilámos em julho. Este agente de ameaça da Europa de Leste tornou-se um dos grupos de ransomware mais ativos e danosos do mundo. Observado pela primeira vez como "Agenda" em meados de 2022, foi completamente rebatizado como Qilin em setembro de 2022. O grupo trabalha com afiliados que implantam o seu ransomware nas redes das vítimas; em troca, os administradores do Qilin mantêm os sites de vazamento de dados e gerem as negociações, pagamentos e acordos de partilha de lucros. De acordo com a inteligência de ameaças do FalconFeeds, a atividade de Qilin em 2025 atingiu o pico em junho e reivindicou 93 vítimas durante o mês de agosto. A pesquisa de agosto da Comparitech difere ligeiramente, atribuindo apenas 86 ataques ao grupo.

A carga útil do ransomware Qilin pode encriptar sistemas Windows e Linux/VMware ESXi, o que permite ao Qilin visar uma ampla gama de ativos empresariais. Durante a execução, elimina cópias de segurança/cópias sombra, encripta os ficheiros visados e renomeia os ficheiros encriptados com uma extensão como .qilin. O ransomware exfiltra dados sensíveis antes da encriptação, e o grupo ameaça publicá-los se as exigências de resgate não forem atendidas.

Qilin continua a atacar setores de alto valor como saúde, automóvel e manufatura. O seu sistema RaaS e ferramentas de ataque estão a evoluir, e o grupo tem impulso ao entrar em setembro.

Defesas chave contra ataques ao estilo Qilin:

• Segmente as redes de TI e OT para isolar os sistemas de controlo industrial dos ativos voltados para a internet. Considere usar o Modelo Purdue como guia.
• Monitorize padrões incomuns de exfiltração de dados e grandes transferências de saída—Qilin frequentemente rouba dados antes da encriptação.
• Desative o PowerShell e as ferramentas de scripting sempre que possível. Certifique-se de que as utilidades e ferramentas do sistema que estão em uso são visíveis e rigidamente controladas.
• Utilize honeypots e outras táticas de defesa para detectar movimentos laterais e atividades de preparação de ransomware.

grupo de ransomware Akira

O grupo Akira RaaS é uma das operações de ransomware mais ativas ao longo do seu ciclo de vida, classificando-se consistentemente entre os 3-5 principais atores de ameaça pelo número de vítimas. O que distingue Akira é a combinação do seu elevado ritmo operacional – atacando centenas de organizações num curto espaço de tempo – e as suas elevadas exigências de resgate na ordem das dezenas ou até centenas de milhões de dólares (EUA). A marca Akira é reconhecida pelo seu sítio de fugas de estilo retro e a extensão de ficheiro “.akira” deixada em ficheiros encriptados.

Os ataques de Akira geralmente começam explorando vulnerabilidades conhecidas em VPNs ou outras aplicações voltadas para o público, especialmente se a autenticação multifator (MFA) não for aplicada. Akira também utiliza e-mails de phishing com anexos ou links maliciosos para implantar carregadores de malware nas redes das vítimas. Uma vez dentro de uma rede, Akira segue uma cadeia de ataque típica para extorsão dupla. Ao contrário de alguns grupos criminosos, Akira não faz exceções para instituições médicas, agências governamentais ou distritos escolares. O grupo reivindicou 60 vítimas em agosto.

Akira foi uma ameaça significativa para os provedores de serviços geridos em agosto e continua a melhorar as suas ferramentas e métodos de ataque. O grupo mantém-se significativo ao entrar em setembro devido ao seu uso de exploits e às oportunidades criadas por sistemas desatualizados e sem patches. Akira detinha cerca de 19% da 'quota de mercado do ransomware' no segundo trimestre de 2025.

Defesas chave contra ataques do tipo Akira:

• Corrija e monitorize todos os appliances VPN, especialmente aquelas marcas e modelos conhecidos por serem explorados pelo Akira.
• Utilize autenticação multifator com suporte de hardware, como chaves FIDO sempre que possível. Isto é especialmente importante para logins privilegiados e de acesso remoto.
• Prevenir a manipulação de drivers ao ativar a integridade de memória em sistemas suportados para bloquear técnicas de trazer o seu próprio driver vulnerável (BYOVD).

Grupo Lazarus

O Grupo Lazarus, também referido como APT38, Hidden Cobra e outros pseudónimos, acredita-se operar dentro do governo da República Popular Democrática da Coreia (RPDC), comumente referida como Coreia do Norte. O grupo é conhecido pelo ataque à Sony Pictures em 2014 e pela campanha de ransomware WannaCry em 2017. Ao longo de mais de uma década, o Lazarus tem como alvo sistemas bancários, redes governamentais e exchanges de criptomoedas em todo o mundo, utilizando malware avançado e táticas de engenharia social, tanto para ganhos financeiros quanto para objetivos políticos. O grupo roubou mais dinheiro através de ciberataques do que qualquer outro ator de ameaça na história, graças, em parte, aos bilhões roubados da exchange Bybit e do Banco de Bangladesh.

Em agosto de 2025, o Grupo Lazarus estreou PyLangGhost, um trojan de acesso remoto (RAT) baseado em Python que os atacantes utilizam em entrevistas de emprego falsas ou chamadas de negócios. O malware apresenta mensagens de erro enganosas que induzem as vítimas a executar scripts e código malicioso. Quando bem-sucedidos, estes ataques concedem privilégios de acesso remoto aos atacantes. O malware PyLangGhost inclui módulos para reconhecimento, operações de ficheiros e vários outros passos na cadeia de ataque. Este novo malware é mais uma demonstração da sofisticação técnica e agilidade do Grupo Lazarus.

Lazarus mudou para ataques furtivos de cadeia de fornecimento de software e envenenamento de código aberto. Os seus alvos incluem programadores, pipelines de CI/CD e empresas de criptomoeda.

Principais defesas contra ataques do Lazarus Group:

• Utilize análise de composição de software (SCA) e monitorização de ficheiros de bloqueio para detetar dependências de código aberto adulteradas.
• Impor commits assinados e proveniência de artefactos nos fluxos de trabalho CI/CD para reduzir o risco de sequestro de dependências.
• Implementar proteção de endpoint específica para desenvolvedores que sinaliza toolchains não autorizadas, tentativas de roubo de credenciais e exfiltração de código.
• Monitorizar a presença de beaconing em ambientes de desenvolvimento/teste, uma vez que o Lazarus frequentemente utiliza ferramentas de desenvolvimento infectadas como pontos de persistência furtivos.

Lumma e Redline stealers

As nossas duas últimas ameaças estão combinadas porque são tão semelhantes. Lumma e RedLine são, de longe, as famílias de infostealer mais ativas em 2025. O malware infostealer é concebido para infiltrar-se num sistema, identificar e recolher informações sensíveis no sistema e transmitir esses dados para um servidor controlado por um atacante. Isto torna-os a ferramenta ideal para os corretores de acesso inicial (IABs) roubarem e venderem credenciais a grupos de ransomware e outros agentes de ameaça.

De acordo com Hudson Rock infostealer intelligence, a contagem de infeções por infostealer em agosto é superior a 289.000. Isto representa um aumento de 13% em relação ao mês anterior. Outras pesquisas mostram que aproximadamente um terço de todas as vítimas de ransomware descobriram pelo menos uma infeção por infostealer nas 16 semanas anteriores ao ataque.  

A maioria dos infostealers está ligada a grupos de ransomware e ecossistemas de cibercriminosos, mas alguns atores estatais adicionaram recentemente infostealers ao seu arsenal. A pesquisa da Hudson Rock descobriu "uma onda global de contas de e-mail do Ministério dos Negócios Estrangeiros (MOFA) comprometidas" ligadas a infostealers e credenciais roubadas.

A pesquisa detalhou estas vítimas e o impacto dos ataques:

• Arábia Saudita (mofa.gov.sa): Credenciais ligadas ao MFA do Reino, vulneráveis a uso indevido na diplomacia do Médio Oriente.
• Coreia do Sul (mail.mofa.go.kr): As infeções estão a atingir os sistemas de assuntos externos de Seul, arriscando a exposição das negociações do Indo-Pacífico.
• Emirados Árabes Unidos (mofa.gov.ae): Quebras no MFA de Abu Dhabi, um interveniente chave na diplomacia do Golfo.
• Catar (mofa.gov.qa): Contas comprometidas em Doha, críticas para mediar conflitos como Gaza.
• Outros: As detecções abrangem MFAs na Europa, Ásia, África e Américas, mostrando uma ameaça generalizada.

Com estes grupos de estados-nação a adotar estas técnicas, os infostealers estão a ser elevados de um ataque comum de acesso inicial para uma arma geopolítica.

Defesas chave contra infostealers como Lumma e Redline:

• Impor isolamento do navegador para utilizadores de alto risco ou aqueles que lidam com os dados mais sensíveis. Isto irá prevenir o roubo de cookies/sessões.  
• Bloquear o acesso à infraestrutura conhecida de C2 de stealer e a domínios que terminam em .top, .xyz e .ru. Estes são utilizados por ambas as famílias, embora Lumma se incline mais para .xyz do que RedLine, e RedLine também utilize .shop e .club. Estes domínios são populares porque são baratos e geralmente têm verificações de registo pouco rigorosas.
• Desativar o preenchimento automático e armazenamento de credenciais nos navegadores e aplicar o uso de gestores de senhas com políticas fortes de autenticação multifator (MFA).
• Implementar deteção comportamental para padrões de acesso a ficheiros invulgares como “dados de login” e “dados da web.”

Barracuda pode ajudar

Deixe-nos ajudá-lo a maximizar a sua proteção e resiliência cibernética com a plataforma de cibersegurança BarracudaONE potenciada por IA. A plataforma protege o seu e-mail, dados, aplicações e redes, e é fortalecida por um serviço XDR gerido 24/7, unificando as suas defesas de segurança e proporcionando uma deteção e resposta a ameaças profundas e inteligentes. Gerencie a postura de segurança da sua organização com confiança, aproveitando proteção avançada, análises em tempo real e capacidades de resposta proativa. Ferramentas de relatórios robustas fornecem informações claras e acionáveis, ajudando-o a monitorar riscos, medir o ROI e demonstrar o impacto operacional. Não perca a oportunidade de obter uma demonstração da plataforma com os nossos especialistas em cibersegurança.