- Setembro 20, 2025
Resumo executivo
- Registou-se atividade maliciosa elevada dirigida a organizações em Angola ao longo de Agosto de 2025, sobretudo phishing, exploração de appliances de perímetro (VPN/SSL-VPN), ataques a credenciais (stuffing/brute-force) e operações de cryptomining ilícito.
- Foi executado o encerramento de várias operações de mineração ilegal, confirmando presença local de infraestruturas criminosas.
- As técnicas observadas alinham-se com o padrão global do período: dupla extorsão no ransomware, uso de LOTL (PowerShell, PsExec), e exfiltração para serviços cloud.
1) Acesso inicial
- Phishing / spear-phishing com anexos LNK/PDF e landing pages de credenciais.
- Exploração de appliances de perímetro (SSL-VPN/VPNs, gateways) desatualizados ou mal configurados; tentativas de acesso via portais de administração expostos.
- Credential stuffing e brute-force a RDP/SMB e outros serviços externos.
2) Execução e persistência
- Loaders para instalação de ransomware, infostealers e cryptominers.
- LOTL (living-off-the-land): PowerShell, PsExec e WMI para reduzir a deteção.
- Agendamentos, serviços e web shells para persistência.
3) Escalada de privilégios e movimento lateral
- Dump de credenciais/LSASS, abuso de contas privilegiadas.
- Movimentação via SMB, RDP e PsExec, exploração de shares e trusts internos.
4) Exfiltração
- Exfiltração via HTTPS para cloud storage e servidores externos.
- Preparação/staging local antes do envio; compressão e encriptação dos dados.
5) Impacto
- Dupla extorsão (roubo de dados + encriptação) e publicação em sites de leaks.
- Cryptomining sustentado (incluindo operações físicas clandestinas com consumo energético ilícito).
TTPs por fase (modelo MITRE-like)
Recomendações operacionais (prioridade)
- Patching urgente de appliances de perímetro (SSL-VPN/VPN/gateways) e restrição de acesso ao portal de administração (allow-list de IPs, MFA).
- MFA obrigatório em acessos remotos e contas privilegiadas; rotação de credenciais e bloqueio de reutilização.
- Segmentação de rede e remoção de RDP/SMB exposto à Internet; aplicar geo-fencing quando aplicável.
- XDR e deteção comportamental focada em PowerShell, PsExec, dumping de memória (LSASS) e criação de serviços/scheduled tasks suspeitos.
- Backups offline testados e planos de resposta a incidentes que contemplem exfiltração + encriptação.
- Auditorias de consumo elétrico e inspeções físicas para sinais de mineração ilícita; coordenação com utilities e autoridades.
- Formação anti-phishing com simulações específicas a LNK/PDF e engenharia social em língua portuguesa.
Fontes utilizadas (indicadas apenas por nome e data, sem URLs)
- INTERPOL / AFRIPOL — Comunicados e balanço da operação regional contra cibercrime e mineração ilegal (junho–agosto de 2025).
- Relatórios regionais de ameaça — Agosto de 2025 (ex.: sumários mensais de vendors e equipas de threat intelligence sobre África Austral).
- Sumários globais de ransomware — Agosto de 2025 (estatísticas e TTPs dominantes: exploração de VPNs, LOTL, dupla extorsão).
