Entre os destaques mais alarmantes está o aumento de 171% nas deteções de malware único em comparação com o trimestre anterior — o maior valor jamais registado pelos especialistas da WatchGuard. Esta explosão coincide com uma subida acentuada do chamado “malware zero day”, que contorna os métodos tradicionais de deteção baseados em assinaturas. A WatchGuard aponta para uma mudança clara: os atacantes estão a deixar de lado os modelos previsíveis e a adotar técnicas de evasão cada vez mais sofisticadas, onde a encriptação e a camuflagem são armas centrais.
Este movimento é refletido no crescimento de 323% das deteções proativas com recurso a inteligência artificial, especificamente através do sistema IntelligentAV (IAV), que recorre a aprendizagem automática para identificar ameaças antes de estas serem catalogadas. Em paralelo, os ataques que exploram canais encriptados — como os que usam Transport Layer Security (TLS) — também subiram, com um aumento de 11% nas ocorrências. O crescimento de 30% dos bloqueios via Gateway AntiVirus reforça a conclusão: os cibercriminosos estão a esconder-se atrás da encriptação para evitar as defesas mais tradicionais.
“O nosso relatório confirma aquilo que muitos no setor já pressentem: a cibersegurança entrou numa nova fase, onde a inteligência artificial é usada por ambos os lados do conflito”, afirma Corey Nachreiner, diretor de segurança da WatchGuard. Segundo o especialista, os atacantes estão a recorrer a ferramentas de IA para conceber ataques altamente personalizados e em escala, usando técnicas de phishing e engenharia social com uma precisão sem precedentes. “É essencial que as organizações respondam com defesas igualmente robustas, automatizadas e adaptáveis”, sublinha.
Um dos dados mais reveladores do trimestre foi o aumento de 712% no número de novas ameaças de malware nos endpoints — uma inversão abrupta da tendência descendente registada nos últimos três trimestres. Entre essas ameaças, destaca-se o LSASS dumper, uma ferramenta de roubo de credenciais que permite aos invasores contornar o modo de utilizador do sistema operativo e aceder diretamente ao modo kernel, abrindo caminho para a tomada de controlo de sistemas críticos.
Apesar deste panorama de escalada, nem todas as métricas revelam crescimento. O número de ataques de ransomware caiu 85% em relação ao trimestre anterior. No entanto, esta aparente boa notícia esconde uma nova estratégia por parte dos atacantes: abandonar a encriptação de ficheiros em favor do roubo direto de dados, uma abordagem que contorna os avanços nas cópias de segurança e restauração. Ainda assim, o ransomware Termite surgiu como a segunda ameaça mais detetada, confirmando que esta tipologia continua ativa, embora em mutação.
Outro dado surpreendente é a quebra de quase 50% nos ataques por scripts, uma linguagem historicamente usada como principal vetor de infeção nos endpoints. Esta queda foi compensada por um aumento de 18% noutras técnicas do tipo Living off the Land (LoTL), como as que exploram ferramentas legítimas do Windows para fins maliciosos.
O relatório aponta ainda para a proliferação do Trojan.Agent.FZPI, um ficheiro HTML malicioso disfarçado, que combina vários métodos de ataque num único anexo de e-mail. Esta ameaça, que se espalha por canais encriptados, reforça o apelo dos investigadores para a implementação de inspeção TLS, análise comportamental e uma proteção reforçada nos endpoints.
O malware mais disseminado do trimestre foi o Application.Cashback.B.0835E4A4, uma variante recentemente identificada, que se tornou numa das famílias mais prevalecentes alguma vez registadas pela WatchGuard. A sua presença massiva alerta para a necessidade de estratégias de cibersegurança adaptadas às particularidades regionais, já que muitas campanhas têm alvos geográficos específicos.
No plano das redes, o número de assinaturas de ataques detetadas desceu 16%, sugerindo um foco mais concentrado por parte dos atacantes num número reduzido de explorações. Porém, a ameaça persiste: as vulnerabilidades não corrigidas continuam a ser um alvo frequente, exigindo que as organizações mantenham uma vigilância ativa e atualizações constantes.
O e-mail mantém-se como o principal canal de disseminação de malware, muito à frente da Web. Os atacantes continuam a apostar em mensagens de spear phishing — agora reforçadas com IA — para enganar utilizadores e infiltrar-se nas redes corporativas.
A WatchGuard, através da sua Plataforma de Segurança Unificada, compila os dados deste relatório com base em inteligência anónima recolhida de milhões de dispositivos ativos em redes e endpoints cujos utilizadores optaram por partilhar os seus dados para fins de investigação. O resultado é um retrato preocupante, mas essencial, de um cenário de ameaças cada vez mais complexo — e em constante mutação.
Em suma, o primeiro trimestre de 2025 oferece uma lição clara: num campo de batalha onde a IA é usada tanto para proteger como para atacar, a cibersegurança precisa de ser mais inteligente, mais proativa e, acima de tudo, mais resiliente.