Evolução das ameaças cibernéticas no terceiro trimestre de 2025. Estatísticas de computadores pessoais

Evolução das ameaças cibernéticas no terceiro trimestre de 2025. Estatísticas de dispositivos móveis
Evolução das ameaças cibernéticas no terceiro trimestre de 2025. Estatísticas de computadores pessoais

Números do trimestre

No terceiro trimestre de 2025:

• As soluções da Kaspersky bloquearam mais de 389 milhões de ataques originados de diversos recursos da internet;
• O antivírus web reagiu a 52 milhões de links únicos;
• O antivírus de arquivos bloqueou mais de 21 milhões de objetos maliciosos e potencialmente indesejados;
• Foram detectadas 2.200 novas modificações de ransomware;
• Quase 85.000 usuários enfrentaram ataques de ransomware;
• 15% de todas as vítimas de ransomware, cujos dados foram publicados em sites DLS (Data Leak Site) dos grupos sofreram danos causados pelo Qilin;
• Mais de 254.000 usuários foram alvo de mineradores de criptomoedas.

Ransomware

Principais tendências e eventos do trimestre

Operações bem-sucedidas das forças de segurança

A Agência Nacional de Combate ao Crime (NCA) do Reino Unido, no âmbito da investigação do ataque de ransomware que causou falhas em diversos aeroportos europeus em setembro de 2025, prendeu o primeiro suspeito. Detalhes não foram divulgados, pois a investigação ainda está em andamento. De acordo com dados fornecidos pelo pesquisador de segurança Kevin Beaumont, o ataque foi realizado com o ransomware Hardbit, descrito pelo especialista como primitivo e sem seu próprio site DLS.

O Departamento de Justiça dos EUA apresentou acusações contra o administrador dos grupos extorsionários LockerGoga, MegaCortex e Nefilim. Ele constava nas listas de procurados tanto do FBI quanto da União Europeia, e seus ataques causaram prejuízos de milhões de dólares.

As autoridades norte-americanas também apreenderam mais de 2,8 milhões de dólares em criptomoedas, 70 mil dólares em espécie e um carro de luxo de um suspeito envolvido na distribuição do ransomware Zeppelin. O esquema criminoso incluía roubo de dados, criptografia de arquivos e extorsão, afetando inúmeras organizações globalmente.

O FBI, o Serviço de Investigação de Segurança Interna (HSI), o Serviço de Receita Interna (IRS) e forças policiais de diversos outros países conduziram uma operação internacional coordenada que desmantelou a infraestrutura do ransomware BlackSuit. Foram apreendidos quatro servidores, nove domínios e 1,09 milhão de dólares em criptomoedas. A operação visava desestabilizar o ecossistema de software malicioso e proteger a infraestrutura crítica dos Estados Unidos.

Vulnerabilidades e ataques

Ataques a SonicWall via SSL VPN

Desde o final de julho, pesquisadores registraram um aumento nos ataques do grupo Akira contra firewalls SonicWall compatíveis com SSL VPN. A empresa SonicWall associou os incidentes à vulnerabilidade CVE-2024-40766, já corrigida, que permitia a usuários não autorizados acessar recursos do sistema. Com isso, os invasores conseguiam roubar credenciais e usá‑las para acessar até dispositivos já atualizados com o patch correspondente. Os cibercriminosos conseguiram contornar a autenticação multifator (MFA) habilitada nos dispositivos. A SonicWall recomenda alterar todas as senhas e atualizar o firmware do SonicOS.

Scattered Spider compromete VMware ESXi por meio de engenharia social

O grupo Scattered Spider (UNC3944) ataca ambientes virtuais VMware fazendo-se passar por funcionários da empresa. Os invasores ligavam para o suporte técnico e convenciam os atendentes a alterar a senha do Active Directory. Após obterem acesso ao vCenter, ativavam o SSH nos servidores ESXi, extraíam a base de dados NTDS.dit e, na fase final do ataque, executavam um ransomware que criptografava todas as máquinas virtuais.

Exploração de vulnerabilidade no Microsoft SharePoint

No final de julho, pesquisadores detectaram ataques a servidores SharePoint utilizando a cadeia de vulnerabilidades ToolShell. Durante a investigação da campanha, que afetou mais de 140 organizações em todo o mundo, foi descoberto o ransomware 4L4MD4R, baseado em código público conhecido como Mauri870. O malware, escrito em Go e empacotado com UPX, exigia um resgate de 0,005 BTC.

Uso de IA em ransomware

Um cibercriminoso britânico criou e lançou uma plataforma de ransomware as a service (RaaS) com o auxílio do modelo de IA Claude. O modelo gerou um código que incorpora técnicas anti-debugging, criptografia com os algoritmos ChaCha20 e RSA, funções para eliminar cópias de segurança ocultas e a capacidade de criptografar arquivos em redes.

A Anthropic observou que o cibercriminoso dependia quase exclusivamente do Claude, já que não possuía conhecimentos técnicos suficientes para prestar suporte aos seus clientes. Ele vendia kits de software malicioso prontos na dark web por valores entre 400 e 1.200 dólares.

Além disso, pesquisadores descobriram um ransomware que utiliza diretamente um modelo LLM durante o ataque, batizado de PromptLock. O programa, escrito em Go, gera dinamicamente scripts em Lua a partir de entradas predefinidas para roubar e criptografar dados em sistemas Windows, macOS e Linux, utilizando o algoritmo SPECK-128, raramente empregado por ransomwares.

Posteriormente, cientistas da NYU Tandon School of Engineering indicaram que o PromptLock provavelmente se baseia em seu projeto educacional Ransomware 3.0, descrito em uma publicação acadêmica.

Grupos mais ativos

Esta seção apresenta dados sobre os grupos de extorsão mais ativos com base no número de vítimas adicionadas a seus sites DLS (Data Leak Site). Assim como no trimestre anterior, o grupo mais “produtivo” foi o Qilin, cuja participação aumentou 1,89 ponto percentual, alcançando 14,96%. O ransomware Clop reduziu sua atividade, enquanto a fatia do Akira (10,02%) teve leve aumento. O grupo INC Ransom (8,15%), ativo desde 2023, subiu para a terceira posição.

Percentual de vítimas de cada grupo (segundo dados de seu site DLS) em relação ao total de vítimas de todos os grupos publicadas em todos os sites DLS analisados no período coberto pelo relatório (download)

Número de novas modificações

No terceiro trimestre, as soluções da Kaspersky detectaram 4 novas famílias e 2.259 modificações de ransomware — quase um terço a mais que no segundo trimestre de 2025 e ligeiramente superior ao mesmo trimestre de 2024.

Número de novas modificações de ransomware, terceiro trimestre de 2024 – terceiro trimestre de 2025 (download)

Número de usuários atacados por trojans ransomware

Durante o período analisado, nossas soluções protegeram 84.903 usuários únicos contra ransomware. A maior atividade de software extorsionador foi registrada em julho, enquanto agosto foi o mês mais tranquilo.

Número de usuários únicos atacados por trojans ransomware, terceiro trimestre de 2025 (download)

Distribuição geográfica dos ataques

TOP 10 países mais atacados por trojans ransomware

No terceiro trimestre, a maior proporção de usuários atacados foi registrada em Israel (1,42%). A maior parte dos trojans ransomware nesse país foi detectada em agosto por meio de análise de comportamento.

* Países e territórios com menos de 50.000 usuários da Kaspersky foram excluídos.
** Percentual de usuários únicos cujos dispositivos foram atacados por trojans ransomware em relação ao total de usuários únicos de produtos Kaspersky no país ou território.

TOP 10 famílias de trojans ransomware mais comuns

* Percentual de usuários únicos da Kaspersky vítimas de ataques de uma determinada família de trojans extorsionadores em relação ao total de usuários afetados por trojans extorsionadores.

Mineradores de criptomoedas (cryptominers)

Número de novas modificações

No terceiro trimestre de 2025, as soluções Kaspersky detectaram 2863 novas modificações de mineradores de criptomoedas.

Número de novas modificações de mineradores de criptomoedas, terceiro trimestre de 2025 (download)

Número de usuários atacados por mineradores de criptomoedas

No terceiro trimestre, detectamos ataques com mineradores de criptomoedas em dispositivos de 254.414 usuários únicos de produtos Kaspersky em todo o mundo.

Número de usuários únicos atacados por mineradores de criptomoedas, terceiro trimestre de 2025 (download)

Distribuição geográfica dos ataques

TOP 10 países mais atacados por mineradores de criptomoedas

* Países e territórios com menos de 50.000 usuários da Kaspersky foram excluídos.
** Percentual de usuários únicos cujos dispositivos foram atacados por mineradores de criptomoedas em relação ao total de usuários únicos de produtos Kaspersky no país ou território.

Ataques contra macOS

Em abril, pesquisadores da empresa Iru (anteriormente Kandji) relataram um novo spyware chamado PasivRobber. Ao longo do terceiro trimestre, nossa equipe observou a evolução dessa família. Novas modificações incluíram módulos executáveis adicionais ausentes nas versões anteriores. Além disso, os invasores começaram a empregar técnicas de ofuscação para dificultar a detecção das amostras.

Em julho, relatamos um minerador de criptomoedas disseminado por meio de extensões falsas do ambiente de desenvolvimento Cursor AI para Visual Studio Code. Na ocasião, um script JS malicioso baixava o utilitário de acesso remoto ScreenConnect, por meio do qual scripts VBS maliciosos eram baixados no dispositivo da vítima com o objetivo de roubar criptomoedas. Posteriormente, o pesquisador Michael Bocanegra relatou novas extensões falsas para o VSCode, que também executavam código JS malicioso. Desta vez, o script baixava um payload malicioso para macOS na forma de um loader escrito em Rust, que instalava um backdoor (provavelmente também voltado ao roubo de criptomoedas) e permitia carregar módulos adicionais para coleta de informações do sistema. O loader em Rust foi analisado em detalhes pelos pesquisadores da Iru (anteriormente Kandji).

Em setembro, pesquisadores da Jamf relataram a descoberta de uma versão até então desconhecida do backdoor modular ChillyHell, descrito pela primeira vez em 2023. Chama atenção que, no momento da descoberta, os arquivos executáveis do trojan estavam assinados com um certificado válido de desenvolvedor.

A amostra havia estado disponível no Dropbox desde 2021. Além da funcionalidade de backdoor, continha um módulo capaz de realizar ataques de força bruta para descriptografar senhas de usuários existentes no sistema.

No final do terceiro trimestre, pesquisadores da Microsoft informaram o surgimento de novas versões do spyware XCSSET, direcionado a desenvolvedores e propagado por meio de projetos Xcode infectados. Essas versões incluíam módulos adicionais para roubo de dados e persistência no sistema.

TOP 20 ameaças para macOS

*Percentual de usuários únicos atacados por esse malware em relação ao total de usuários das soluções de segurança da Kaspersky para macOS que sofreram ataques (download)

** Os dados do trimestre anterior podem diferir ligeiramente dos publicados em relatórios anteriores devido à revisão retroativa de alguns veredictos.

O spyware PasivRobber continua intensificando suas atividades. Suas modificações ocupam as primeiras posições na lista das ameaças mais comuns para macOS. Também se destacam os trojans Amos, voltados ao roubo de senhas e dados de carteiras criptográficas, e diversos aplicativos de publicidade. Os backdoors Backdoor.OSX.Agent.l, em 13º lugar, são uma variante do conhecido malware de código aberto Mettle.

Distribuição geográfica das ameaças para macOS

TOP 10 países e territórios por percentual de usuários atacados

Estatísticas de ameaças para IoT

Esta seção apresenta estatísticas de ataques a honeypots IoT da Kaspersky. A geolocalização da origem dos ataques é baseada nos endereços IP dos dispositivos cibercriminosos.

No terceiro trimestre de 2025, houve um ligeiro aumento na proporção de dispositivos que atacaram as armadilhas da Kaspersky via protocolo SSH, enquanto a proporção de ataques via Telnet diminuiu ligeiramente.

Distribuição dos serviços atacados, de acordo com o número de endereços IP exclusivos dos dispositivos que lançaram os ataques (download)

Em contraste, a proporção de ataques por meio do protocolo SSH diminuiu ligeiramente.

istribuição das sessões de atividade dos cibercriminosos com as armadilhas da Kaspersky (download)

TOP 10 ameaças carregadas em dispositivos IoT

Percentual de ameaças específicas carregadas em um dispositivo infectado após um ataque bem-sucedido, em relação ao total de ameaças implantadas (download)

No terceiro trimestre, as proporções dos botnets NyaDrop e Mirai.b no total de ameaças a IoT diminuíram significativamente, mas aumentou a atividade de outros membros da família Mirai e do botnet Gafgyt. Como de costume, a maior parte da lista de ameaças mais comuns é composta por variantes do Mirai.

Ataques a honeypots IoT

Alemanha e Estados Unidos continuam liderando a distribuição de ataques via protocolo SSH. Também houve um pequeno aumento na proporção de ataques vindos do Panamá e do Irã.

Como de costume, a maioria dos ataques via protocolo Telnet partiu da China. Dispositivos na Índia reduziram sua atividade, enquanto a participação de ataques da Indonésia aumentou.

Ataques via páginas web

Os dados estatísticos nesta seção baseiam-se nos veredictos de detecção do antivírus web, que protege os usuários no momento do download de objetos suspeitos de páginas web maliciosas ou comprometidas. Os cibercriminosos criam páginas maliciosas intencionalmente. A contaminação pode afetar recursos web onde os usuários geram conteúdo (como fóruns) ou sites legítimos que foram hackeados.

TOP 10 países de origem de ataques web

Essas estatísticas mostram a distribuição geográfica dos ataques da internet bloqueados pelos produtos da Kaspersky (páginas com redirecionamento para exploits, sites com exploits e outros programas maliciosos, centros de controle de botnets, etc.). Cada host único pode ter sido fonte de um ou mais ataques.

Para determinar a origem geográfica, foi utilizada a técnica de associar um nome de domínio ao endereço IP real em que ele está hospedado e identificar a localização geográfica desse IP (GEOIP).

No terceiro trimestre de 2025, as soluções da Kaspersky neutralizaram 389.755.481 ataques lançados de recursos da internet em todo o mundo. Foram registradas 51.886.619 URLs únicas que acionaram o antivírus web.

Distribuição de fontes de ataques web por país, terceiro trimestre de 2025 (download)

Distribuição da origem de ataques web por países, terceiro trimestre de 2025

Países e territórios com maior exposição à contaminação via internet

Para avaliar o risco de contaminação por malware via internet em diferentes regiões, calculamos, para cada país ou território, a proporção de usuários de produtos Kaspersky cujos dispositivos acionaram o antivírus web durante o período. Os dados refletem a agressividade do ambiente em que os dispositivos operam.

Apenas ataques com objetos maliciosos da classe Malware foram considerados. Ativações relacionadas a programas potencialmente indesejados (como RiskTool e adware) foram excluídas.

* Países com menos de 10.000 usuários da Kaspersky foram excluídos.
** Percentual de usuários únicos vítimas de ataques de objetos maliciosos da classe Malware em relação ao total de usuários únicos de produtos Kaspersky no país ou território.

Em média, durante o trimestre, 4,88% dos dispositivos em todo o mundo sofreram pelo menos um ataque web da classe Malware.

Ameaças locais

As estatísticas de contaminações locais em computadores de usuários são um indicador importante. Incluem objetos que chegaram ao dispositivo por arquivos infectados, mídias removíveis ou que não foram introduzidos deliberadamente pelo usuário (por exemplo, componentes integrados em instaladores legítimos, arquivos criptografados recebidos por e-mail, etc.).

Esta seção analisa dados do antivírus que verifica arquivos no disco rígido no momento de sua criação ou acesso, bem como do escaneamento de mídias removíveis (pen drives, cartões de memória, telefones, HDs externos). As estatísticas baseiam-se nos veredictos dos módulos OAS (on-access scan) e ODS (on-demand scan) do antivírus de arquivos.

No terceiro trimestre de 2025, nosso antivírus de arquivos detectou 21.356.075 objetos maliciosos e potencialmente indesejados.

Países e territórios com maior risco de contaminação local

Para cada país ou território, foi calculada a proporção de usuários cujos dispositivos acionaram o antivírus de arquivos durante o período. Essa métrica reflete o nível de contaminação de computadores pessoais nas diferentes regiões.

Apenas ataques com objetos maliciosos da classe Malware foram considerados. Ativações relacionadas a programas potencialmente indesejados foram excluídas.

* Países com menos de 10.000 usuários Kaspersky foram excluídos.
** Percentual de usuários únicos cujos dispositivos bloquearam ameaças locais da classe Malware em relação ao total de usuários de produtos Kaspersky no país.

Globalmente, em média, 12,36% dos dispositivos registraram pelo menos uma ameaça local da classe Malware no terceiro trimestre.