O grupo de ransomware SafePay assumiu a liderança no cenário global de ciberameaças, de acordo com o Índice Global de Ameaças de maio de 2025, publicado pela Check Point Software. O avanço do grupo ocorre em paralelo à manutenção do malware FakeUpdates como a ameaça mais disseminada no mundo e, especialmente, no Brasil.
O SafePay, detectado pela primeira vez em novembro de 2024, atua com táticas de extorsão dupla, criptografando arquivos e extraindo dados sensíveis para pressionar vítimas. Apesar de não operar como um modelo de Ransomware como Serviço (RaaS), o grupo já registra um volume expressivo de ataques bem-sucedidos.
“Os dados do Índice Global de Ameaças de maio destacam a crescente sofisticação das táticas dos cibercriminosos. Com a ascensão de grupos como o SafePay e a ameaça persistente do FakeUpdates, as organizações devem adotar medidas de segurança proativas e em múltiplas camadas. À medida que as ameaças cibernéticas se tornam mais avançadas, é crucial estar à frente dos ataques em evolução com inteligência de ameaças em tempo real e defesas robustas”, recomenda Lotem Finkelstein, diretor de Inteligência de Ameaças na Check Point Software.
FakeUpdates segue como malware mais prevalente no Brasil e no mundo
O FakeUpdates foi o malware mais ativo no mundo em maio, afetando 5% das organizações globalmente. No Brasil, a ameaça teve impacto ainda maior, atingindo 10,75% das empresas, seguido por Remcos (2,70%) e AndroxGh0st (4,82%).
Na América Latina e na Europa Oriental, o aumento da atividade cibercriminosa foi impulsionado principalmente por infecções via FakeUpdates e Phorpiex.
SafePay: extorsão dupla e afiliação russa
O SafePay é considerado um grupo com estrutura centralizada, utilizando táticas, técnicas e procedimentos (TTPs) consistentes. Embora não compartilhe seu modelo com afiliados, a organização já demonstrou uma alta taxa de infecção, mirando desde grandes corporações até pequenas empresas.
Os dados que alimentam o relatório de ransomware da Check Point são extraídos de “sites de vergonha” operados pelos próprios criminosos para expor vítimas que se recusam a pagar o resgate.
Ataques sofisticados desafiam autoridades e tecnologia
Uma ofensiva recente liderada pela Europol, FBI e Microsoft contra o malware Lumma — uma plataforma de Malware como Serviço (MaaS) — resultou na apreensão de milhares de domínios. No entanto, os servidores principais, baseados na Rússia, permanecem ativos. A ação gerou impactos reputacionais e dividiu a base de usuários do serviço por meio de táticas de engenharia social, como phishing e desinformação.
Malwares móveis também preocupam especialistas
Além das ameaças para dispositivos tradicionais, a Check Point aponta os principais malwares móveis que afetaram o mundo em maio:
Anubis – Trojan bancário com recursos de ransomware, keylogging e bypass de autenticação.
AhMyth – RAT disfarçado como app legítimo que rouba dados sensíveis.
Necro – Downloader encontrado em versões modificadas de apps populares como Spotify, WhatsApp e Minecraft.
A Educação continua sendo o setor mais atacado globalmente, seguido por Governo e Telecomunicações. No Brasil, a ordem muda: Governo lidera, seguido por Telecomunicações e Educação.
Reforço nas práticas de cibersegurança é essencial
Diante do avanço de ameaças sofisticadas como SafePay e FakeUpdates, os especialistas da Check Point recomendam a adoção de estratégias de segurança em múltiplas camadas, com foco em detecção em tempo real, treinamento contínuo de equipes e respostas rápidas a incidentes.
Boas práticas sugeridas incluem:
- Ativação da autenticação em dois fatores (2FA);
- Não reutilizar senhas e usar gerenciadores confiáveis;
- Atualizações regulares de software e sistemas operacionais;
- Monitoramento constante de logs e atividades suspeitas;
- Backup seguro e plano de resposta a incidentes.
