O Malware Mais Procurado em Maio: SafePay Assume a Posição de Liderança

Press Release: O malware mais procurado em maio: SafePay assume a posição de liderança nas ameaças cibernéticas.

Os cibercriminosos estão cada vez mais sofisticados, com o grupo de ransomware SafePay a emergir como uma das principais ameaças. FakeUpdates continua a ser uma ameaça persistente à escala global. 

A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder mundial em soluções de cibersegurança, divulgou o seu Índice Global de Ameaças relativo ao mês de maio de 2025, destacando o grupo SafePay, um grupo de ransomware relativamente recente e em rápida ascensão.

Este grupo conseguiu ultrapassar todas as outras ameaças este mês, surgindo como o ator mais prevalente na lista de grupos de ransomware, utilizando uma estratégia de dupla extorsão. O FakeUpdates mantém-se como o malware mais disseminado, afetando organizações em todo o mundo. O setor da Educação continua a ser o mais visado, refletindo vulnerabilidades persistentes nas instituições.

Lumma ainda é uma ameaça

Em maio, a Europol, o FBI, a Microsoft e outros parceiros lançaram uma operação de grande escala contra o Lumma, uma das principais plataformas de malware-as-a-service. A operação resultou na apreensão de milhares de domínios, causando uma interrupção significativa.

No entanto, os servidores centrais do Lumma, alegadamente sediados na Rússia, permaneceram operacionais e os programadores conseguiram restaurar rapidamente a infraestrutura. Apesar disso, a ação causou danos de reputação ao utilizar táticas psicológicas como phishing e fomentar a desconfiança entre os seus utilizadores.

Embora a perturbação técnica tenha sido relevante, os dados relacionados com o Lumma continuam a circular, levantando preocupações sobre o impacto a longo prazo desta operação.

Situação nacional a piorar

Em Portugal, a liderança do passado mês de maio pertenceu ao FakeUpdates, com um total de 7,01% das ameaças registadas a nível nacional, sendo seguido pelo Remcos com 3,22% e pelo Androxgh0st com 3,45%. O anterior líder, AgentTesla, não conseguiu melhor que a sexta posição, com apenas 1,49% de todas as ameaças registadas.

Em termos de ranking global, Portugal piorou a sua situação, encontrando-se atualmente no 45.º lugar, após perder cinco posições, demonstrando que há cada vez mais ameaças a cidadãos e empresas portuguesas. O setor mais afetado continua a ser o da Educação/Investigação.

Segundo Lotem Finkelstein, Diretor de Threat Intelligence da Check Point Software:“ Os dados do Global Threat Index de maio destacam a crescente sofisticação das táticas dos cibercriminosos. Com o crescimento de grupos como o SafePay e a ameaça persistente do FakeUpdates, é essencial que as organizações adotem medidas de segurança proativas e em várias camadas. À medida que as ameaças evoluem, torna-se crucial antecipar os ataques com inteligência em tempo real e defesas robustas.”

Principais famílias de malware a nível mundial

(As setas indicam uma mudança na classificação em relação ao mês anterior)

• ↔ FakeUpdates – Também conhecido como SocGholish, é um downloader de malware identificado pela primeira vez em 2018. Propaga-se por downloads em sites comprometidos, incitando os utilizadores a instalar falsas atualizações. Está associado ao grupo russo Evil Corp e serve de porta de entrada para cargas maliciosas secundárias.
• ↔ Remcos – Trojan de acesso remoto (RAT) distribuído por documentos maliciosos em campanhas de phishing. Concebido para contornar mecanismos de segurança do Windows e executar código com privilégios elevados.
• ↑ Androxgh0st – Malware baseado em Python que explora ficheiros .env expostos em aplicações com Laravel, roubando credenciais de serviços como AWS, Office 365 e Twilio. Opera através de botnets e permite instalação de mais malware ou mineração de criptomoedas.

Principais famílias de malware em Portugal

• ↑ FakeUpdates – Versão codificada em JavaScript, encripta a carga útil antes da execução. Leva à instalação de malwares adicionais como GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
• ↑ Remcos – RAT que contorna mecanismos UAC do Windows. Geralmente distribuído por anexos de SPAM.
• ↑ Androxgh0st – Tal como a nível mundial, explora vulnerabilidades em sites baseados em Laravel e extrai dados sensíveis para posterior exploração.

Principais malwares móveis a nível mundial

• ↔ Anubis – Trojan bancário para Android. Com capacidades como keylogging, ransomware e bypass de MFA. Distribuído por apps maliciosas na Play Store.
• ↔ AhMyth – RAT para Android disfarçado de apps legítimas, capaz de roubar dados bancários, capturas de ecrã, áudio e vídeo.
• ↑ Necro – Downloader malicioso presente em apps como Spotify e WhatsApp modificadas. Pode instalar apps de terceiros e inscrever o utilizador em serviços pagos.

Setores mais atacados a nível mundial

• Educação/Investigação
• Administração Pública/Defesa
• Telecomunicações

Principais indústrias atacadas em Portugal

• Educação/Investigação
• Administração Pública/Defesa
• Telecomunicações

Principais grupos de ransomware

Com base em dados de shame sites, os grupos de ransomware mais ativos são:

• SafePay – Surgido em novembro de 2024, atua com dupla extorsão (encriptação e exfiltração de dados). Embora não seja um serviço RaaS, tem um número elevado de vítimas e uma estrutura centralizada, com possível origem na Rússia.
• Qilin (Agenda) – Modelo RaaS, ativo desde julho de 2022, ataca principalmente os setores da saúde e educação. Desenvolvido em Golang.
• Play (PlayCrypt) – Desde junho de 2022, já afetou mais de 300 organizações. Explora credenciais comprometidas e falhas em VPNs Fortinet SSL. Usa técnicas como LOLBins para evasão e extração de dados.

Para aceder ao Índice Global de Ameaças de maio de 2025 completo e outras informações, visite o Blogue da Check Point.

Siga a Check Point Software:

• X: twitter.com/checkpointsw
• Blog: blog.checkpoint.com
• YouTube: youtube.com/user/CPGlobal

Sobre a Check Point Software Technologies Ltd.

A Check Point Software Technologies Ltd. (www.checkpoint.com) é um fornecedor líder de plataformas de cibersegurança alimentadas por IA e fornecidas na cloud, protegendo mais de 100.000 organizações em todo o mundo. A Check Point aproveita o poder da IA em todo o lado para melhorar a eficiência e a precisão da cibersegurança através da sua Plataforma Infinity, com taxas de captura líderes na indústria, permitindo uma antecipação proativa de ameaças e tempos de resposta mais inteligentes e rápidos. A plataforma abrangente inclui tecnologias fornecidas pela cloud que consistem em Check Point Harmony para proteger o espaço de trabalho, Check Point CloudGuard para proteger a cloud, Check Point Quantum para proteger a rede e Check Point Infinity Core Services para operações e serviços de segurança colaborativos. 

Mais informações aqui.