Evolução das ameaças à segurança da informação no primeiro trimestre de 2026. Estatísticas de computadores

Evolução das ameaças à segurança da informação no primeiro trimestre de 2026. Estatísticas de computadores pessoais
Evolução das ameaças à segurança da informação no primeiro trimestre de 2026. Estatísticas de dispositivos móveis

As estatísticas deste relatório baseiam-se nos veredictos de detecção dos produtos da Kaspersky, salvo indicação em contrário. As informações são fornecidas pelos usuários dos produtos da Kaspersky que deram seu consentimento para o envio de dados estatísticos.

Números do trimestre

No primeiro trimestre de 2026:

• as soluções da Kaspersky bloquearam mais de 343 milhões de ataques provenientes de diversos recursos da internet;
• o antivírus web detectou 50 milhões de URLs únicas;
• o antivírus de arquivos bloqueou mais de 15 milhões de objetos maliciosos e potencialmente indesejados;
• foram descobertas 2.938 novas modificações de ransomware;
• mais de 77 mil usuários foram alvo de ataques de ransomware;
• 14% de todas as vítimas de ransomware cujos dados foram publicados nos sites DLS (Data Leak Site) das gangues sofreram ataques do Clop;
• mais de 260 mil usuários se depararam com

Programas maliciosos do tipo ransomware

Principais tendências e acontecimentos do trimestre

Sucessos das forças de segurança

Em janeiro de 2026, surgiu a informação de que o FBI tinha assumido o controle dos domínios do fórum cibercriminoso RAMP, uma grande plataforma amplamente utilizada pelos criadores de ransomware para divulgar seus programas RaaS e buscar afiliados. O FBI não emitiu declaração oficial a respeito, e ainda não se sabe se os servidores que hospedavam o fórum foram fisicamente apreendidos. Um dos administradores do RAMP, em uma postagem em outro recurso, mencionou que “as autoridades policiais obtiveram o controle do fórum”. Isso comprometeu um componente central do ecossistema RaaS e impactou as operações dos desenvolvedores de ransomware, dos afiliados e dos intermediários de acesso inicial.

Em fevereiro, um suspeito de ter ligações com a gangue Phobos foi detido na Polônia. O indivíduo foi acusado de criar, adquirir e distribuir programas de computador utilizados para obter informações ilegalmente, incluindo credenciais que permitem acesso não autorizado a dados armazenados em sistemas computacionais.

Em março, o administrador do ransomware Phobos declarou-se culpado da criação e distribuição do trojan que foi utilizado em ataques internacionais a partir de pelo menos novembro de 2020.

O Departamento de Justiça dos EUA, em março, apresentou acusações contra um indivíduo que atuava como negociador com gangues de ransomware. A empresa em que ele trabalhava é especializada na investigação de incidentes computacionais. A acusação afirma que o suspeito conspirou secretamente com a gangue BlackCat e compartilhou informações confidenciais com extorsionários sobre o andamento de negociações. Além disso, alega-se que o acusado havia participado anteriormente, de forma direta, em ataques do BlackCat, atuando como afiliado do RaaS.

Também em março, um corretor de acesso inicial vinculado à gangue Yanluowang foi condenado a 81 meses de prisão nos Estados Unidos. De acordo com o Departamento de Justiça dos EUA, o condenado contribuiu para dezenas de ataques de ransomware em todo o território do país norteamericano, causando danos efetivos superiores a 9 milhões de dólares e danos intencionais superiores a 24 milhões de dólares.

Vulnerabilidades e ataques

O grupo Interlock explorou amplamente a vulnerabilidade zero-day CVE-2026-20131 no software de gerenciamento de firewalls Cisco Secure FMC, desde pelo menos 26 de janeiro de 2026. A vulnerabilidade permitia a execução de código Java arbitrário com privilégios de root no dispositivo comprometido. Esta campanha demonstra o uso contínuo de vulnerabilidades zero-day para acesso inicial, o foco em dispositivos de rede como pontos de entrada de alto valor e a rápida incorporação de novas vulnerabilidades ao arsenal das gangues de ransomware.

Gangues mais ativas

Esta seção detalha os grupos de ransomware mais ativos, com base no número de vítimas publicadas em seus sites de vazamento de dados (DLS). Neste trimestre, o ransomware Clop (14,42%) retornou ao topo, deslocando do primeiro lugar o grupo Qilin (12,34%), que ocupava essa posição no período anterior. Em seguida vem um novo grupo, o The Gentlemen (9,25%), que surgiu a partir de pelo menos julho de 2025 e já se mostrou mais ativo do que os grupos Akira (7,25%) e INC Ransom (6,13%), que aparecem regularmente em nossas análises.

Proporção de vítimas de cada grupo (conforme dados do seu site DLS) em relação ao total de vítimas de todos os grupos publicadas nos sites DLS analisados durante o período do relatório (download)

Quantidade de novas modificações

No primeiro trimestre, as soluções da Kaspersky detectaram seis novas famílias de ransomware e 2.938 novas modificações. O volume de novas modificações retornou aos patamares do terceiro trimestre de 2025, após o pico observado no trimestre anterior.

Quantidade de novas modificações de ransomware, Q1 2025 – Q1 2026 (download)

Quantidade de usuários atacados por trojans do tipo ransomware

No trimestre analisado, nossas soluções protegeram 77.319 usuários únicos contra ransomware. Registramos o pico de atividade dos extorsionistas em março, mês em que 35.056 usuários foram alvo desse tipo de ataque.

Quantidade de usuários únicos atacados por trojans do tipo ransomware, Q1 2026 (download)

Geografia dos ataques

TOP 10 países e territórios atacados por trojans do tipo ransomware

* Para fins de cálculo, excluímos países e territórios com base de usuários da Kaspersky relativamente pequena (inferior a 50.000).
** Porcentagem de usuários únicos cujos computadores foram atacados por trojans do tipo ransomware em relação ao total de usuários únicos dos produtos da Kaspersky no país ou território.

TOP 10 famílias de trojans do tipo ransomware mais difundidas

* Porcentagem de usuários únicos da Kaspersky afetados por uma família específica de trojan ransomware em relação ao total de usuários afetados por trojans ransomware.

Mineradores

Quantidade de novas modificações

No primeiro trimestre de 2026, as soluções da Kaspersky detectaram 3.485 novas modificações de mineradores.

Quantidade de novas modificações de mineradores, Q1 2026 (download)

Quantidade de usuários atacados por mineradores

No primeiro trimestre, detectamos ataques com uso de programas mineradores nos computadores de 260.588 usuários únicos dos produtos da Kaspersky em todo o mundo.

Quantidade de usuários únicos atacados por mineradores, Q1 2026 (download)

Geografia dos ataques

TOP 10 países e territórios atacados por mineradores

* Para fins de cálculo, excluímos países e territórios com base de usuários da Kaspersky relativamente pequena (inferior a 50.000).
** Porcentagem dos usuários únicos cujos computadores foram atacados por mineradores em relação ao total de usuários únicos dos produtos da Kaspersky no país ou território.

Ataques contra macOS

No primeiro trimestre, o Google identificou uma nova campanha de roubo de criptomoedas, na qual os criminosos enviavam aos usuários links para videochamadas falsas. Durante a chamada, supostos problemas de conexão eram relatados e as vítimas recebiam comandos para instalar malwares disfarçados de instruções para a solução de problemas.

Em março, pesquisadores da GTIG e da iVerify relataram a descoberta, em ambiente real, de uma cadeia de exploits voltada para dispositivos com iOS e macOS. O conjunto de exploits, ao que tudo indica, era vendido na dark web, e os criminosos que o utilizavam tinham spywares em seu arsenal, além de módulos responsáveis pelo roubo de criptomoedas. O exploit era carregado nos dispositivos das vítimas quando elas acessavam sites de diferentes temas. Conseguimos constatar que, entre os exploits descobertos, há uma versão atualizada de um dos componentes da cadeia de ataque da “Operation Triangulation”.

Os dispositivos macOS também foram afetados pelo notório ataque à cadeia de suprimentos do pacote npm Axios, um cliente HTTP para JavaScript amplamente utilizado. A instalação do pacote infectado em dispositivos macOS resultava no download de um backdoor.

TOP 20 ameaças para macOS

Porcentagem* dos usuários únicos que se depararam com esta ameaça em relação ao total de usuários das soluções de proteção da Kaspersky para macOS que foram atacados (download)

* Os dados do trimestre anterior podem diferir ligeiramente dos publicados anteriormente devido à revisão retrospectiva de alguns veredictos.

A prevalência dos ataques do spyware PasivRobber começa a cair, dando lugar a aplicativos publicitários mais tradicionais e a softwares de monitoramento (stalkerware), capazes de rastrear a atividade do usuário. O stealer Amos, bastante difundido, também permanece no Top 20.

Geografia das ameaças para macOS

TOP 10 países e territórios em termos de usuários atacados

* Porcentagem dos usuários únicos que enfrentaram ameaças para macOS em relação ao total de usuários únicos dos produtos da Kaspersky no país ou território.

Estatísticas de ameaças IoT

Esta seção apresenta estatísticas de ataques aos honeypots IoT da Kaspersky. Os dados geográficos sobre a origem dos ataques baseiam-se nos endereços IP dos dispositivos de origem.

No primeiro trimestre de 2026, houve um aumento significativo na porcentagem dos dispositivos que atacam os honeypots da Kaspersky via protocolo SSH, em comparação ao período anterior.

Distribuição dos serviços atacados pelo número de endereços IP únicos dos dispositivos que realizaram os ataques (download)

Já na distribuição dos ataques pelos protocolos Telnet e SSH, manteve-se a proporção observada no quarto trimestre de 2025.

Distribuição das sessões de interação dos cibercriminosos com os honeypots da Kaspersky (download)

Top 10 ameaças baixadas em dispositivos IoT

Porcentagem de uma determinada ameaça que foi baixada em um dispositivo infectado em decorrência de um ataque bem-sucedido em relação ao total de ameaças baixadas (download)

As principais mudanças na distribuição das ameaças IoT estão relacionadas à atividade de diferentes variantes do botnet Mirai, embora os representantes desta família ainda componham a maior parte da lista. Além disso, surgiu no ranking mais uma variante do botnet, a Mirai.kl. No primeiro trimestre, observamos também uma redução significativa da atividade do botnet NyaDrop.

Ataques aos honeypots IoT

Na distribuição dos ataques pelo protocolo SSH, a maior porcentagem corresponde a ataques originados nos EUA, Países Baixos e Alemanha.

Entre os ataques pelo protocolo Telnet, a maior porcentagem tradicionalmente cabe a ataques originados na China. Também aumentou significativamente a participação do Paquistão.

Ataques por meio de recursos web

Os dados estatísticos desta seção baseiam-se nos veredictos de detecção do antivírus web, que protege os usuários no momento do download de arquivos suspeitos a partir de uma página web maliciosa ou infectada. As páginas maliciosas são criadas intencionalmente pelos criminosos. Podem ser infectados os recursos web cujo conteúdo é criado pelos próprios usuários (por exemplo, fóruns), bem como recursos legítimos comprometidos.

Países e territórios fonte de ataques web: TOP 10

A estatística apresentada a seguir mostra a distribuição por países e territórios das origens dos ataques de internet bloqueados pelos produtos da Kaspersky contra os computadores dos usuários (páginas web que redirecionam para exploits, sites com exploits e outros programas maliciosos, centros de comando e controle de botnets etc.). Observamos que cada host único pode ter sido a fonte de um ou mais ataques web.

Para determinar a origem geográfica dos ataques web, foi utilizada a metodologia de correspondência do nome de domínio com o endereço IP real onde o domínio está hospedado e a determinação da localização geográfica desse endereço IP (GeoIP).

No primeiro trimestre de 2026, as soluções da Kaspersky bloquearam 343.823.407 ataques realizados a partir de recursos da internet hospedados em todo o mundo. Foram registradas 49.983.611 URLs únicas em que o antivírus web foi acionado.

Distribuição das origens dos ataques web por países e territórios, Q1 2026 (download)

Países e territórios em que os usuários estiveram mais expostos ao risco de contaminação pela internet

Para avaliar o grau de risco de contaminação por programas maliciosos pela internet ao qual os computadores estão expostos em diferentes países e territórios do mundo, calculamos para cada um deles a proporção de usuários dos produtos da Kaspersky que se depararam com acionamentos do antivírus web no período do relatório. Os dados obtidos são um indicador da agressividade do ambiente em que operam os computadores em diferentes países e territórios.

Lembramos que neste ranking são considerados apenas os ataques de objetos maliciosos da classe Malware. Nos cálculos, não consideramos as detecções do antivírus web para programas potencialmente perigosos e indesejados, como RiskTool e adwares.

* Nos cálculos, excluímos países e territórios com um número relativamente baixo de usuários da Kaspersky (menos de 10.000).
** Porcentagem dos usuários únicos que sofreram ataques web de objetos maliciosos da classe Malware em relação ao total de usuários únicos dos produtos da Kaspersky no país ou território.

Em média, ao longo do trimestre, 4,73% dos computadores dos usuários no mundo foram alvos de pelo menos um ataque web da classe Malware.

Ameaças locais

Um indicador importante são as estatísticas de contaminações locais nos computadores dos usuários. Aqui se enquadram os objetos que entraram no dispositivo por meio da contaminação de arquivos ou de mídias removíveis, ou que inicialmente chegaram a ele de forma não aberta (por exemplo, programas integrados a instaladores complexos, arquivos criptografados etc.).

Nesta seção, analisamos os dados estatísticos obtidos com base no funcionamento do antivírus que examina os arquivos no disco rígido no momento de sua criação ou acesso, e os dados de varredura de diversas mídias removíveis de informação. As estatísticas baseiam-se nos veredictos de detecção dos módulos OAS (On-Access Scan) e ODS (On-Demand Scan) do antivírus de arquivos. Foram considerados os programas maliciosos encontrados diretamente nos computadores dos usuários ou em mídias removíveis conectadas aos computadores, como pen drives, cartões de memória de câmeras fotográficas, telefones e discos rígidos externos.

No primeiro trimestre de 2026, nosso antivírus de arquivos registrou 15.831.319 objetos maliciosos e potencialmente indesejados.

Países e territórios em que os computadores dos usuários estiveram mais expostos ao risco de contaminação local

Para cada país e território, calculamos a proporção de usuários dos produtos da Kaspersky em cujos dispositivos o antivírus de arquivos foi acionado pelo menos uma vez no período do relatório. Esta estatística reflete o nível de contaminação dos computadores pessoais em diferentes países e territórios do mundo.

Observamos que neste ranking são considerados apenas os ataques de objetos maliciosos da classe Malware. Nos cálculos, não consideramos os acionamentos do antivírus de arquivos sobre programas potencialmente perigosos ou indesejados, como RiskTool e programas de publicidade.

* Para fins de cálculo, excluímos países e territórios com base de usuários da Kaspersky relativamente pequena (inferior a 10.000).
** Porcentagem dos usuários únicos em cujos computadores foram bloqueadas ameaças locais da classe Malware em relação ao total de usuários únicos dos produtos da Kaspersky no país ou território.

Em média, no mundo, ao menos uma vez ao longo do primeiro trimestre, ameaças locais da classe Malware foram registradas em 11,55% dos computadores dos usuários.

O indicador da Rússia neste ranking foi de 11,92%.