No final de fevereiro de 2026, a equipa de cibersegurança da Dolutech detetou e analisou uma campanha massiva de ransomware ativamente em curso em Portugal. Esta operação criminosa tem como alvo principal empresas privadas e juntas de freguesia, utilizando credenciais comprometidas e vazadas de contas de email institucional para distribuir malware altamente sofisticado. Neste artigo do blog Dolutech, partilhamos os detalhes técnicos da nossa investigação, os indicadores de comprometimento identificados e as medidas urgentes que todas as organizações portuguesas devem adotar imediatamente.
Como a Campanha Foi Descoberta
A nossa equipa de monitorização de ameaças identificou um padrão anómalo de emails maliciosos que estavam a ser enviados a partir de contas legítimas de organizações portuguesas. Ao contrário de campanhas de phishing tradicionais que utilizam domínios falsificados, estes atacantes estavam a utilizar credenciais reais de email, previamente vazadas em data breaches, para enviar mensagens a partir de endereços de confiança. Isto torna a deteção por parte dos destinatários significativamente mais difícil, uma vez que os emails provêm de remetentes conhecidos e legítimos.
Os emails identificados continham links para o Dropbox, redirecionando as vítimas para o download de um ficheiro executável disfarçado com o nome “Cotação_Projetos e Arquivos.exe”, uma denominação cuidadosamente escolhida para aparentar ser um documento comercial legítimo de orçamentação.
Análise Técnica em Sandbox: O Que Descobrimos
A Dolutech submeteu a amostra maliciosa a uma análise comportamental completa num ambiente de sandbox controlado. O relatório gerado confirmou as nossas suspeitas: trata-se de uma ameaça de elevada severidade, classificada com uma pontuação de 8 em 10 em termos de maliciosidade.
SHA256 do executável: 5d91ac337b8f26da0d008def7600426b712b9ed33d35f5b572293f47ade181f1
Vetor de Infeção e Cadeia de Execução
O ataque inicia-se quando a vítima descarrega e executa o ficheiro através do link do Dropbox. O executável é na realidade um instalador compactado com 7-Zip SFX e Inno Setup, que ao ser executado desencadeia uma cadeia complexa de ações maliciosas. A análise revelou a seguinte sequência de execução:
O ficheiro “Cotação_Projetos e Arquivos.exe” extrai e executa um agente secundário (agent.exe), que por sua vez lança um instalador temporário (agent.tmp). Este instala silenciosamente múltiplos componentes na pasta “C:\Program Files (x86)\Advanced Monitoring Agent”, incluindo o processo principal winagent.exe, que se apresenta como uma ferramenta legítima de monitorização remota.
Táticas, Técnicas e Procedimentos (TTPs) Identificados
A análise mapeou a atividade maliciosa contra o framework MITRE ATT&CK Enterprise Matrix V16, identificando as seguintes técnicas críticas:
Persistência e Escalação de Privilégios: O malware adiciona chaves de registo no RunOnce e Run do Windows para garantir a sua execução após reinício do sistema (T1547.001). Também realiza hijacking de objetos COM (T1546.015) para manter persistência de forma mais furtiva.
Evasão de Defesas: São utilizadas múltiplas técnicas de evasão, incluindo modificação de permissões de ficheiros através do icacls.exe (T1222), modificação do registo do sistema (T1112), instalação de certificados raiz falsos na store de certificados do Windows (T1553.004) e verificação ativa de software antivírus instalado. A análise revelou que o malware pesquisa especificamente por Kaspersky, ESET, Avast, e outros antivírus no registo do sistema, adaptando o seu comportamento em conformidade.
Descoberta e Reconhecimento: O malware realiza uma extensa recolha de informações do sistema infetado, incluindo enumeração de drives conectados (T1120), verificação das definições de localização geográfica, descoberta de informações do browser (T1217), consulta de informações do processador e do sistema, e verificação do estado do UAC (User Account Control).
Execução: São utilizados scripts PowerShell (T1059.001) para executar comandos no sistema, incluindo a obtenção do UUID do computador através de Get-CimInstance -Class Win32_ComputerSystemProduct, informação que pode ser usada para identificar univocamente cada máquina comprometida.
Indicadores de Ransomware
Um aspeto particularmente preocupante da nossa análise é a presença de indicadores claros de capacidade de ransomware. O malware utiliza a API COM do Volume Shadow Copy Service e o provider WMI do Volume Shadow Copy, técnicas tipicamente associadas à eliminação de cópias de sombra do sistema antes da encriptação de ficheiros. Esta é uma assinatura comportamental clássica de ransomware que visa impedir a recuperação de dados sem pagamento de resgate.
Infraestrutura de Comando e Controlo
A análise de rede revelou comunicações com múltiplos servidores de comando e controlo. O malware estabelece ligações com domínios associados a plataformas de gestão remota, incluindo systemmonitor.eu.com, logicnow.us, n-able.com e system-monitor.com. Os atacantes estão a abusar de infraestrutura legítima de Remote Monitoring and Management (RMM) para camuflar o tráfego malicioso como atividade administrativa normal, tornando a deteção por parte de firewalls e sistemas de monitorização de rede extremamente difícil.
Foram também instalados componentes como o “Take Control Agent”, “MSP Agent” e “ScriptRunner”, que são ferramentas legítimas de administração remota, mas que neste contexto são utilizadas pelos atacantes para obter controlo total sobre os sistemas comprometidos.
O Perigo das Credenciais Comprometidas
Nós alertamos que o aspeto mais perigoso desta campanha reside na utilização de credenciais reais. Quando um atacante possui acesso a uma conta de email legítima de uma junta de freguesia ou empresa, os emails enviados passam todas as verificações de segurança tradicionais, incluindo SPF, DKIM e DMARC. Para o destinatário, a mensagem aparenta ser completamente legítima, vinda de um contacto ou parceiro de confiança.
As credenciais utilizadas nesta campanha provêm muito provavelmente de data breaches anteriores, bases de dados vendidas na dark web, ou ataques de credential stuffing contra portais webmail com palavras-passe reutilizadas.
Como Mitigar e Proteger a Sua Organização
A Dolutech recomenda a adoção imediata das seguintes medidas de proteção:
Medidas Urgentes
Implementação de autenticação multifator (MFA): Todas as contas de email institucionais devem ter MFA ativo imediatamente. Esta é a medida mais eficaz para impedir a utilização de credenciais comprometidas, mesmo que a palavra-passe já se encontre exposta.
Auditoria de credenciais expostas: Recomendamos que todas as organizações verifiquem se os seus domínios e endereços de email aparecem em bases de dados de vazamentos conhecidos. Ferramentas como o Have I Been Pwned podem auxiliar nesta verificação.
Bloqueio de execução de ficheiros descarregados: Implementem políticas de AppLocker ou Windows Defender Application Control que impeçam a execução de ficheiros .exe descarregados de fontes externas, especialmente de serviços de armazenamento na cloud como o Dropbox.
Medidas Complementares
Monitorização de ferramentas RMM não autorizadas: Uma vez que os atacantes estão a instalar ferramentas de gestão remota legítimas, as organizações devem manter um inventário rigoroso do software autorizado e alertar sobre instalações não aprovadas de agentes de monitorização como “Advanced Monitoring Agent” ou “Take Control Agent”.
Segmentação de rede e backups offline: Dado o potencial de ransomware confirmado na análise, é fundamental manter cópias de segurança atualizadas e isoladas da rede principal. A eliminação das Volume Shadow Copies é um dos primeiros passos executados por este malware, pelo que os backups locais acessíveis pela rede não oferecem proteção adequada.
Formação e sensibilização dos utilizadores: Mesmo emails provenientes de remetentes conhecidos podem ser maliciosos. Os utilizadores devem ser alertados para desconfiar de anexos executáveis e links de download inesperados, mesmo que venham de contactos habituais.
Conclusão
A campanha de ransomware que a Dolutech identificou em Portugal representa uma ameaça séria e ativa. A combinação de credenciais comprometidas, engenharia social refinada com nomes de ficheiros em português, abuso de plataformas legítimas de armazenamento e ferramentas de gestão remota torna esta campanha particularmente perigosa e difícil de detetar. Nós apelamos a todas as organizações portuguesas, desde grandes empresas a pequenas juntas de freguesia, que tomem medidas imediatas para proteger as suas infraestruturas e os seus dados. A prevenção e a preparação são as melhores defesas contra ameaças desta natureza.
A Dolutech continuará a monitorizar esta campanha e atualizará este artigo caso surjam novos indicadores de comprometimento ou desenvolvimentos relevantes.
Link do report da sandbox:
https://tria.ge/260226-snkx2sgv4f/behavioral1
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.