MSPs devem preparar-se para escalada de malware evasivo e encriptado

A WatchGuard Technologies divulgou o mais recente Internet Security Report, revelando uma aceleração expressiva de ameaças evasivas e distribuídas através de canais encriptados. O relatório semestral aponta para um aumento sustentado do volume e da sofisticação do malware em 2025, colocando pressão adicional sobre modelos de segurança reativos ainda presentes em muitos ambientes empresariais.

O volume de novo malware cresceu ao longo de todos os trimestres de 2025, culminando num pico de 1.548% do terceiro para o quarto trimestre. Em paralelo, 23% do malware detetado conseguiu contornar mecanismos de deteção baseados em assinaturas, qualificando-se como ameaças zero-day.

Baseado em inteligência de ameaças anonimizada e agregada a partir das soluções de segurança de rede, proteção de endpoint e filtragem DNS da fabricante, o estudo evidencia limitações claras das abordagens tradicionais assentes em assinaturas. As conclusões do Internet Security Report 2H 2025 reforçam a necessidade de estratégias que integrem proteção, deteção e resposta avançadas ao nível do endpoint (EPDR), deteção suportada por inteligência artificial e monitorização contínua. «Os MSPs que terão sucesso em 2026 e nos anos seguintes serão aqueles que conseguirem demonstrar, de forma inequívoca, inteligência de ameaças proativa e proteção unificada nos ambientes dos seus clientes», alerta Corey Nachreiner, Chief Security Officer da WatchGuard Technologies.

Tendências que expõem fragilidades nos modelos tradicionais

Entre as principais conclusões com impacto direto para os Managed Service Providers (MSPs), destacam-se:

Malware evasivo multiplica-se nos endpoints

Foi registado um aumento superior a 15 vezes no número de amostras de malware nunca antes observadas nos endpoints. Os atacantes estão a privilegiar exploits novos e técnicas de ofuscação destinadas a contornar métodos de deteção estática.

Distribuição encriptada domina

96% do malware bloqueado foi entregue através de TLS. Para organizações que não realizam inspeção HTTPS, esta realidade cria lacunas significativas de visibilidade.

A encriptação deixou de ser exceção. É agora o padrão operacional dos atacantes.

Mudança nas técnicas ao nível do endpoint

Os scripts maliciosos têm vindo a diminuir gradualmente, enquanto os binários Windows e ferramentas living-off-the-land (LotL) assumem protagonismo. Ao explorarem processos legítimos do sistema operativo, estas técnicas reduzem a probabilidade de deteção.

Exploits de rede persistem

Embora os exploits baseados na rede tenham diminuído no segundo semestre de 2025, a maioria das deteções continua a explorar vulnerabilidades antigas, sobretudo em aplicações web modernas. O relatório reforça a importância de defesas em camadas, incluindo sistemas de prevenção de intrusões (IPS).

Phishing, Malware-as-a-Service e monetização seletiva

Na segunda metade de 2025, a WatchGuard identificou campanhas de phishing que recorreram a scripts PowerShell maliciosos para preparar ferramentas de Malware-as-a-Service, incluindo trojans de acesso remoto. Estas campanhas foram concebidas para evitar mecanismos automáticos de análise de ficheiros.

Apesar de a atividade global de ransomware ter diminuído 68,42% em termos homólogos, os pagamentos públicos por extorsão atingiram níveis recorde. A tendência aponta para ataques menos frequentes, mas com maior retorno financeiro. O cryptomining mantém-se como uma via de monetização popular e de baixa fricção após o estabelecimento de acesso aos sistemas comprometidos.

---