João Miguel Mesquita
O contraste entre o que se passa na rede e nos dispositivos finais (endpoints) é um dos pontos mais marcantes do relatório. As deteções de malware ao nível da rede quase duplicaram (+94%) face ao trimestre anterior. Este aumento drástico está fortemente ligado à eficácia dos motores de deteção proativos, como o IntelligentAV (+315%) e o APT Blocker (+74%), que são capazes de identificar ameaças complexas, incluindo malware de zero day.
Contudo, nos endpoints, o cenário foi o oposto: uma queda histórica de 91% nas deteções de malware único. Este recuo não significa que as ameaças desapareceram, mas antes que o tipo de malware mudou — deixou de ser altamente personalizado e passou a ser mais genérico e em larga escala. Apenas 8 em cada 100.000 deteções foram identificadas como novas ameaças, um mínimo absoluto.
Este relatório revela que 60% do malware identificado circulou através de ligações encriptadas (TLS), o que representa um crescimento de 8 pontos percentuais num só trimestre. Esta tendência acentua-se no malware zero day: 78% das amostras passaram por canais encriptados. Em linguagem simples, se as empresas não estão a inspecionar o tráfego encriptado, estão cegas a quase quatro em cada cinco ameaças novas.
É também aqui que os motores proativos como o IntelligentAV ganham relevância: permitem detetar o que as soluções tradicionais, baseadas em assinaturas, não conseguem ver.
Os mineradores de criptomoedas — durante muito tempo uma tendência em declínio — estão de volta com força. As deteções de coinminers cresceram 141% nos endpoints, e um deles subiu ao segundo lugar na lista de malware mais detetado na rede. Mais preocupante ainda é a emergência do Etherhiding, uma técnica que utiliza blockchains para alojar e distribuir malware, tornando-o virtualmente indestrutível e extremamente difícil de rastrear.
Apesar de uma redução de 27% nos ataques de rede, a maioria das explorações identificadas continua a visar vulnerabilidades antigas — como o ProxyLogin e o HAProxy. É a prova de que os criminosos preferem explorar falhas já conhecidas e não corrigidas, aproveitando a negligência na gestão de atualizações.
Também se mantém a persistência dos domínios de phishing, muitos com aparência de portais legítimos como o SharePoint, usados para roubo de credenciais. A familiaridade visual continua a ser uma arma poderosa nas mãos dos cibercriminosos.
O relatório destaca que 83% dos vetores de ataque a endpoints foram realizados através de scripts — sobretudo PowerShell, sendo que 97% desses ataques usaram esta ferramenta da Microsoft. A prática de living off the land (LotL), ou seja, o uso de ferramentas legítimas para ações maliciosas, tornou-se norma. Ao usar o que já está nos sistemas, os criminosos evitam levantar suspeitas.
Os dados agora divulgados pela WatchGuard para o último trimestre de 2024 confirmam uma mudança de paradigma. O cibercrime está menos preocupado em inventar novas ameaças e mais empenhado em tornar as existentes invisíveis. A evasão é agora mais valiosa do que a inovação.
Com o malware de zero day a regressar aos níveis mais preocupantes dos últimos anos, e com um volume crescente de tráfego malicioso a circular sob a capa da encriptação, as defesas tradicionais perdem eficácia. A vigilância passa obrigatoriamente por uma abordagem em camadas: inspeção de tráfego TLS, deteção comportamental avançada e visibilidade cruzada entre rede e endpoint.
Ao contrário da narrativa comum de que as ameaças são cada vez mais novas, os dados mostram outra realidade: são cada vez mais difíceis de ver.
Para os decisores empresariais e responsáveis de TI, a lição é evidente: o investimento em tecnologia de deteção proativa e em inspeção de tráfego encriptado já não é opcional — é a nova linha da frente.
