No Dia Internacional Anti-Ransomware, a Kaspersky compartilha um relatório com uma visão geral das tendências de ransomware que marcaram 2025 e insights sobre o que o cenário de ameaças reserva em 2026. Segundo dados da empresa de cibersegurança, em 2025 a América Latina teve a maior parcela de organizações com ataques de ransomware detectados (8,13%), seguida pela região Ásia-Pacífico (7,89%), África (7,62%), Oriente Médio (7,27%), Comunidade dos Estados Independentes (CEI, 5,91%) e Europa (3,82%). O relatório destaca o aumento dos ataques de extorsão “sem criptografia”, uso de criptografia pós-quântica por grupos de ransomware e o uso persistente de canais do Telegram por cibercriminosos para distribuir conjuntos de dados e credenciais comprometidos. Veja abaixo como se proteger.
Apesar de uma leve queda na participação total de organizações atacadas por ransomware em 2025 em comparação a 2024, os usuários continuam em risco significativo à medida que os atacantes industrializam suas operações, automatizam métodos de invasão e focam cada vez mais em roubar e vazar dados sensíveis, em vez de simplesmente criptografar sistemas.
Canais do Telegram e fóruns da dark web funcionam continuamente como plataformas para a distribuição e venda de conjuntos de dados comprometidos e acessos, incluindo aqueles obtidos em decorrência de ataques de ransomware. Um grande fórum clandestino, o RAMP, que também funcionava como plataforma por meio da qual cibercriminosos anunciavam seus serviços de ransomware e publicavam atualizações relacionadas ao serviço, foi apreendido pelas autoridades em janeiro de 2026. Outro fórum clandestino, o LeakBase, onde atores maliciosos distribuíram dados exfiltrados e comprometidos, foi derrubado em março de 2026. No entanto, enquanto as agências de segurança pública estão ativamente fechando plataformas na dark web e sites de vazamento de dados de ransomware, portais semelhantes podem surgir ao longo do tempo.
Uma das tendências em 2025 é o crescimento contínuo dos “killers” de EDR (detecção e resposta de endpoint), ferramentas especificamente projetadas para desativar soluções de segurança de endpoint antes de executar o próprio malware. Os “killers” de EDR se tornaram um componente padrão dos ataques, o que significa invasões mais deliberadas e metódicas.
Pesquisadores também notaram o surgimento de famílias de ransomware adotando padrões de criptografia pós-quântica, isso já havia sido previsto pela Kaspersky anteriormente. O desenvolvimento sinaliza uma mudança preocupante em direção a métodos de criptografia que poderiam resistir a futuras tentativas de descriptografia de computação quântica.
O papel dos Initial Access Brokers (IABs), intermediários cibercriminosos que vendem acesso corporativo pré-comprometido por meio de fóruns e plataformas de mensagens clandestinas está crescendo. Portais RDWeb (sites pelos quais dispositivos podem ser controlados remotamente) são cada vez mais alvos à medida que grupos de ransomware continuam a industrializar ataques por meio de operações de “Access-as-a-Service”. Como resultado, a barreira para lançar ataques de ransomware diminui.
Grupos ativos
Entre os grupos de ransomware mais ativos em 2025, baseados em sites de vazamento de dados, a Kaspersky identificou a Qilin como o operador dominante de ransomware como serviço (RaaS) após a apreensão das operações pela RansomHub. Clop ficou como o segundo grupo mais ativo, com Akira em terceiro lugar.
Embora vários grupos importantes de ransomware tenham encerrado suas operações em 2025, novos atores continuam surgindo. Em 2026, o grupo The Gentlemen é considerado um dos mais importantes novos agentes de ransomware devido ao rápido crescimento, operações estruturadas e foco crescente na extorsão centrada em dados. O grupo pode incluir cibercriminosos anteriormente associados a outras grandes operações de ransomware. O The Gentlemen exemplifica uma mudança mais ampla no ecossistema de ransomware, afastando-se de campanhas caóticas e de alto ruído para modelos de extorsão escaláveis e com foco em empresas, centrados principalmente em roubar dados sensíveis e aproveitar a pressão reputacional e regulatória, em vez de depender apenas de criptografia disruptiva de arquivos.
“O ransomware evoluiu para um ecossistema altamente organizado, focado em monetizar dados roubados, desativar defesas e escalar ataques com eficiência semelhante à de empresas. Os cibercriminosos estão se adaptando rapidamente, utilizando ferramentas legítimas de forma maliciosa, explorando infraestruturas de acesso remoto e até adotando criptografia pós-quântica anos antes do esperado por muitos especialistas. O objetivo do Dia Anti-Ransomware é aumentar a conscientização global sobre as ameaças representadas pelo ransomware e promover boas práticas de prevenção e resposta. Recomendamos que todos os usuários mantenham-se protegidos, implementem defesas em camadas, invistam em backups e ampliem os níveis de alfabetização digital para combater esses ataques”, comenta Fabio Assolini, Lead Security Researcher da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
O relatório completo está disponível no Securelist.
No Dia Anti-Ransomware e todos os outros dias do ano, a Kaspersky incentiva as organizações a seguirem estas melhores práticas para se proteger contra ransomware:
- Ative a proteção contra ransomware para todos os endpoints. Existe uma ferramenta gratuita Kaspersky Anti-Ransomware para Negócios que protege computadores e servidores contra ransomware e outros tipos de malware, previne exploits e é compatível com soluções de segurança já instaladas.
- Sempre mantenha o software atualizado em todos os dispositivos que você usa para evitar que cibercriminosos explorem vulnerabilidades e infiltrem sua rede.
- Concentre sua estratégia de defesa em detectar movimentos laterais e exfiltração de dados para a internet. Preste atenção especial ao tráfego de saída para detectar as conexões dos cibercriminosos com sua rede. Configure backups offline que intrusos não possam manipular. Certifique-se de poder acessá-los rapidamente quando necessário ou em emergências.
- Empresas do setor não industrial podem se proteger instalando soluções anti-APT e EDR que possibilitam capacidades avançadas para descoberta e detecção avançada de ameaças, investigação e remediação rápida de incidentes. As organizações também podem fornecer às suas equipes de SOC acesso às informações de ameaças mais recentes e regularmente aprimorar suas habilidades com treinamento profissional. Tudo isso está disponível na Kaspersky Next.
Imagem: https://pt.vecteezy.com/foto/11224723-tecnologia-de-computador-hackeada-numero-de-codigo-binario-alerta-de-dados-erro-de-hacker-na-tela-de-exibicao