- Setembro 20, 2025
Resumo executivo
- Agosto de 2025 apresentou um número significativo de tentativas de intrusão e incidentes contra organizações em Portugal, incluindo ataques de ransomware, campanhas de phishing e incidentes com impacto em media e telecomunicações.
- Vetores mais frequentes: phishing/spear-phishing (LNK/PDF), exploração de appliances VPN/SSL-VPN, credential stuffing / RDP brute-force, uso de loaders e técnicas LOTL (PowerShell, PsExec).
- Padrão operacional: acesso inicial via phishing ou appliances mal-atualizadas, seguido de movimento lateral com dumping de credenciais, exfiltração para serviços cloud e dupla extorsão (roubo de dados + encriptação).
TTPs por fase (modelo MITRE-like)
1) Acesso inicial
- Phishing e spear-phishing com anexos LNK/PDF e páginas de captura de credenciais.
- Exploração ou abuso de appliances de perímetro (SSL-VPN / VPN / firewalls) desactualizados ou mal configurados.
- Credential stuffing e ataques de força bruta contra RDP/SMB e serviços expostos.
2) Execução
- Loaders/droppers que instalam infostealers, ransomware e cryptominers.
- Uso de ferramentas legítimas do sistema (PowerShell, WMIC, PsExec) para execução e contorno de deteção.
3) Persistência e elevação
- Web shells, serviços agendados e scheduled tasks para manter acesso pós-comprometimento.
- Dump de memória (LSASS/SAM) e roubo de credenciais para escalada de privilégios.
4) Movimento lateral
- Propagação via SMB, RDP, PsExec e abuso de shares/contas privilegiadas.
5) Exfiltração e impacto
- Exfiltração através de HTTPS e serviços cloud; preparação dos dados (compressão/encriptação) antes da exfiltração.
- Dupla extorsão: roubo de dados seguido de encriptação e publicação/ameaça de leak caso não haja pagamento.
- Incidentes em Agosto incluíram impactos em empresas de media e relatos de interrupções de serviços em operadores de telecomunicações.
Tendências operacionais
- Combinação de exploração de dispositivos de perímetro com campanhas de phishing para comprometimentos rápidos.
- Profissionalização das operações via RaaS (Ransomware-as-a-Service), permitindo a operadores menos técnicos realizarem ataques.
- Foco estratégico em alvos que maximizam pressão (media, telecomunicações, serviços críticos).
Recomendações práticas e prioritárias para organizações em Portugal
- Patch e mitigação imediata para appliances VPN/SSL-VPN e restrição do acesso administrativo por IP/allow-list.
- MFA robusto em todos os acessos remotos e contas privilegiadas; evitar apenas SMS como segundo factor.
- Eliminar exposição de RDP/SMB à Internet; usar jump hosts e segmentação de rede.
- XDR com deteção comportamental para LOTL e dumping de memória; logs centralizados e retenção adequada.
- Backups offline e testados com plano de recuperação claro e prioritização de sistemas críticos.
- Simulações de phishing em português (foco em LNK/PDF) e formação contínua para colaboradores.
- Revisão de contas privilegiadas e aplicação de princípio de privilégio mínimo; rotação de credenciais.
Fontes consultadas (nomes e período, sem URLs)
- Relatórios e briefings de fornecedores de threat intelligence e empresas de segurança — sumários de Agosto de 2025.
- Comunicados e análises sobre incidentes em empresas de media e telecomunicações em Portugal — Agosto 2025.
- Avisos de fabricantes de appliances VPN/SSL-VPN e relatórios agregados sobre exploração dessa superfície — Agosto 2025.
IOCs — Portugal (Agosto 2025):
| Tipo | Indicador | Comentário |
|---|---|---|
|
ASN |
ASN 23480
|
Infraestrutura observada usada por actores maliciosos.
|
|
ASN |
ASN 62240 |
Infraestrutura observada.
|
|
ASN
|
ASN 29802
|
Infraestrutura observada, usada em movimentos/exfiltração. |
|
ASN |
ASN 62904 |
Infraestrutura observada. |
|
IP |
104.238.220.216 |
Infraestrutura de acesso observada. |
|
IP |
193.163.194.7 |
Infraestrutura observada. |
|
IP |
162.213.194.186 |
Infraestrutura observada. |
|
IP |
107.158.128.106 |
Infraestrutura observada. |
|
IP |
66.165.243.39 |
Usado para exfiltração via SSH (porta 22) em campanhas observadas. |
|
Domínio / Storage |
Nome de object storage (Cloud R2) observado como staging |
Object storage utilizado como staging para exfiltração. |
|
Ficheiro / Hash |
Advanced_IP_Scanner_2.5.4594.1.exe — hash parcial indicado |
Ferramenta de scanning renomeada usada por atacantes. |
|
Ficheiro / Hash |
Advanced_Port_Scanner_2.5.3869.exe — hash parcial indicado |
Ferramenta de scanning usada. |
|
Ficheiro / Hash |
netscan.exe — hash parcial indicado |
Netscan renomeado / utilizado. |
|
Ficheiro / Hash |
n.exe (renamed netscan.exe) — hash parcial indicado |
Variante/renomeação observada. |
|
Ficheiro / Hash |
rclone.exe — hash parcial indicado |
Utilizado para movimentação/estágio de dados. |
|
Ficheiro / Hash |
winrar-x64-713.exe — hash parcial indicado |
Utilizado para armazenar antes da exfiltração. |
|
Ficheiro / Hash |
cloudflared.exe — hash parcial / token parcial indicado |
Binário cloudflared observado com token de túnel; atenção ao uso legítimo de tunnels por atores. |
|
Ficheiro / Hash |
akira.exe — hash parcial indicado |
Binário associado a incidentes da campanha identificada como “Akira”/relac |
