Estado do ransomware em 2025

Tendências e números globais de ransomware

Com o Dia Internacional Anti-Ransomware se aproximando, em 12 de maio, a Kaspersky explora o cenário de ameaças de ransomware em constante mudança e suas implicações para a cibersegurança. De acordo com os dados da Kaspersky Security Network, o número de detecções de ransomware diminuiu 18% de 2023 para 2024, ou seja, de 5.715.892 para 4.668.229. Ao mesmo tempo, a parcela de usuários afetada por ataques de ransomware aumentou 0,02 p.p., para 0,44%. Essa porcentagem menor em comparação a outras ameaças cibernéticas é explicada pelo fato de que os invasores geralmente não distribuem esse tipo de malware em massa, e em vez disso, priorizam os alvos de alto valor, o que reduz o número geral de incidentes.

Dito isso, se analisarmos os incidentes em organizações que exigiram serviços imediatos de resposta a incidentes que foram mitigados pela Equipe Global de Resposta a Emergências (Global Emergency Response Team, GERT) da Kaspersky, veremos que 41,6% deles estavam relacionados com ransomware em 2024, em comparação com 33,3% em 2023. É provável que o ransomware direcionado continue sendo a principal ameaça para as organizações ao redor do mundo no futuro próximo.

Abaixo estão algumas das tendências globais em ransomware observadas pela Kaspersky em 2024.

Predominância de Ransomware como Serviço (RaaS)

O modelo RaaS continua sendo a estrutura predominante para os ataques de ransomware ao alimentar a proliferação com a diminuição da barreira técnica para criminosos virtuais. Em 2024, plataformas RaaS como a RansomHub prosperaram ao oferecer malware, suporte técnico e programas de afiliados que dividiam o resgate (por exemplo, 90/10 para afiliados/grupo principal). Esse modelo permite que agentes menos qualificados executem ataques sofisticados ao contribuir para o surgimento de vários novos grupos de ransomware somente em 2024. Embora o ransomware tradicional ainda exista, a escalabilidade e a lucratividade do RaaS o tornam o principal mecanismo, com plataformas evoluindo para incluir serviços como corretagem de acesso inicial e exfiltração de dados, garantindo seu predomínio até 2025.

Alguns grupos continuam a adotar plataformas cruzadas, enquanto o Windows continua sendo o alvo principal

Muitos ataques de ransomware ainda têm como alvo sistemas baseados em Windows, o que reflete o uso generalizado do sistema operacional em ambientes corporativos. A arquitetura do Windows, combinada com vulnerabilidades em softwares como o Remote Desktop Protocol (RDP) e sistemas sem patch, torna-o um alvo principal para executáveis de ransomware. Nos últimos anos, no entanto, alguns invasores se diversificaram, com grupos como RansomHub e Akira desenvolvendo variantes para sistemas Linux e VMware, especialmente em ambientes de nuvem e virtualizados. Embora o Windows continue sendo o epicentro, o foco crescente em ransomware multiplataforma sinaliza uma mudança em direção à exploração de infraestruturas diversas, à medida que, especialmente, as organizações adotam configurações híbridas e de nuvem. Esta não é uma tendência nova e esperamos que persista nos próximos anos.

Os pagamentos totais por ransomware caíram, mas o pagamento médio de resgate aumentou

De acordo com a Chainalysis, os pagamentos por ransomware caíram significativamente em 2024, para aproximadamente 813,55 milhões USD, uma queda de 35% em relação ao recorde de 1,25 bilhão USD em 2023. Por outro lado, a Sophos relata que o pagamento médio de resgate aumentou de 1.542.333 USD em 2023 para 3.960.917 USD em 2024, o que reflete uma tendência de direcionamento de ataques para organizações maiores com demandas mais altas. O relatório também destaca que mais organizações pagaram por resgates para obter os dados de volta, embora outros relatórios indiquem que menos organizações pagaram por resgates em comparação a 2023. Por exemplo, de acordo com a Coveware, uma empresa especializada no combate a ransomware, a taxa de pagamento atingiu uma baixa recorde de 25% no quarto trimestre de 2024, abaixo dos 29% no quarto trimestre de 2023, impulsionada por repressões policiais, melhoria da cibersegurança e pressões regulatórias que desencorajam os pagamentos.

Embora a criptografia continue sendo um componente central de muitos ataques de ransomware, o objetivo principal de alguns grupos mudou ou se expandiu além do bloqueio de dados

Em 2024, os criminosos virtuais priorizaram cada vez mais a exfiltração de dados juntamente com a criptografia, mas às vezes, simplesmente deixaram-na de lado para se concentrarem no roubo de informações confidenciais e maximizar a alavancagem e os lucros ou até mesmo estender as ameaças a terceiros, como clientes, parceiros, fornecedores, etc. A criptografia ainda é amplamente utilizada, mas o aumento de táticas de extorsão dupla e tripla mostra uma mudança estratégica. O RansomHub e a maioria dos grupos modernos de ransomware geralmente combinam criptografia com roubo de dados e ameaçam vazá-los ou vendê-los se o resgate não for pago, o que torna a exfiltração uma tática crítica.

Agentes de ransomware desmantelados ou interrompidos em 2024

Vários grandes grupos de ransomware enfrentaram interrupções significativas em 2024, embora a resiliência do ecossistema tenha limitado o impacto a longo prazo. O LockBit, responsável por 27,78% dos ataques em 2023, foi duramente atingido pela Operação Cronos em fevereiro de 2024, com as autoridades apreendendo sua infraestrutura, prendendo membros e desmascarando o líder, Dmitry Khoroshev. Entretanto, apesar desses esforços, a LockBit relançou suas operações que permaneceram ativas ao longo de 2024.

O ALPHV/BlackCat, outro grupo prolífico, foi desmantelado após uma operação do FBI em dezembro de 2023, embora os afiliados tenham migrado para outros grupos, como o RansomHub. A operação Radar/Dispossessor foi interrompida pelo FBI em agosto de 2024, e as autoridades alemãs apreenderam 47 bolsas de criptomoedas ligadas à lavagem de dinheiro com ransomware. Apesar dessas remoções, grupos como RansomHub e Play voltaram à cena rapidamente, o que ressalta a importância e o desafio de erradicar as redes de ransomware. No entanto, de acordo com as pesquisas mais recentes, o grupo RansomHub provavelmente pausou as operações em 1º de abril de 2025.

Alguns grupos desaparecem, outros retomam o trabalho

Quando os grupos de ransomware se dissolvem ou desaparecem, suas ferramentas, táticas e infraestrutura geralmente permanecem acessíveis no ecossistema do crime virtual para permitir que outros grupos adotem e aprimorem essas práticas. Por exemplo, grupos como BlackMatter ou REvil, após enfrentarem pressão das autoridades policiais, viram seu código e métodos reutilizados por sucessores como BlackCat, que, por sua vez, foi seguido pelo Cicada3301. Grupos em extinção também podem vender seus códigos-fonte, kits de exploração ou modelos de afiliados em fóruns da dark web para permitir que gangues emergentes ou existentes redirecionem esses recursos. Além disso, às vezes, ferramentas maliciosas vazam na Internet, como foi o caso do LockBit 3.0. Consequentemente, muitos grupos menores ou indivíduos sem vínculos com os desenvolvedores de ransomware, incluindo hacktivistas e criminosos virtuais pouco qualificados, obtêm essas ferramentas para usá-las em seus próprios objetivos. Esse ciclo de transferência de conhecimento acelera a evolução do ransomware conforme novos agentes desenvolvem estratégias comprovadas, se adaptam a contramedidas e exploram vulnerabilidades mais rápido do que os defensores conseguem responder. Na telemetria, esses novos grupos que usam kits de ferramentas antigos podem ser identificados como grupos antigos (por exemplo, o LockBit).

Os grupos de ransomware estão desenvolvendo, cada vez mais, seus próprios kits de ferramentas personalizados

Isso é feito para aumentar a eficácia de seus ataques e evitar a detecção. Geralmente, esses kits de ferramentas incluem as ferramentas de exploração, ferramentas de movimento lateral, ferramentas de ataque de senha, etc. adaptadas para alvos ou setores específicos. Ao criar ferramentas proprietárias, esses grupos reduzem a dependência de exploits amplamente disponíveis e detectáveis e mantêm o controle sobre suas operações. Esse desenvolvimento interno também facilita as atualizações frequentes para combater defesas, explorar novas vulnerabilidades e tornar seus ataques mais resilientes e mais difíceis de serem mitigados por medidas de cibersegurança.

Compartilhamento geral versus ransomware direcionado

Ataques direcionados de ransomware, direcionados a organizações específicas para máxima interrupção e pagamento, concentram-se em alvos de alto valor, como hospitais, instituições financeiras e agências governamentais para reconhecer e explorar com precisão ataques do tipo zero-day. Os invasores utilizam táticas sofisticadas para comprometer a segurança dessas entidades. O ransomware geral, que se espalha indiscriminadamente por meio de phishing ou dispositivos externos, geralmente afeta empresas menores ou indivíduos com defesas mais fracas. O foco em ataques direcionados reflete a preferência dos criminosos virtuais por resgates maiores, embora o ransomware geral persista devido ao baixo esforço e alto potencial de volume.

De acordo com uma pesquisa da Kaspersky, o RansomHub foi o grupo mais ativo que executou ataques direcionados em 2024, seguido pelo Play.

O compartilhamento de vítimas de cada grupo de acordo com o site de vazamento de dados (DLS) como uma porcentagem de todas as vítimas relatadas de todos os grupos durante o período em análise (download)

Ferramentas de IA usadas no desenvolvimento de ransomware (FunkSec)

O FunkSec surgiu como um grupo de ransomware no final de 2024 e ganhou rapidamente notoriedade. Ele fez várias vítimas já em dezembro e ultrapassou grupos estabelecidos como Cl0p e RansomHub. Ao operar em um modelo de Ransomware como Serviço (RaaS), o FunkSec emprega uma tática de extorsão dupla que combina criptografia de dados com exfiltração. O grupo tem como alvo setores como governo, tecnologia, finanças e educação em países como Índia, Espanha e Mongólia.

O FunkSec é notável por sua forte dependência de ferramentas assistidas por IA, particularmente no desenvolvimento de malware. Seu ransomware apresenta código gerado por IA com comentários perfeitos da perspectiva da linguagem, sugerindo o uso de grandes modelos de linguagem (LLMs) para agilizar o desenvolvimento e evitar a detecção. Ao contrário dos grupos típicos de ransomware que exigem milhões, os resgates da FunkSec são excepcionalmente baixos, uma vez que adota uma abordagem de alto volume e baixo custo.

Os ataques Bring Your Own Vulnerable Driver (BYOVD) continuam

Os ataques do tipo “traga seu próprio driver com vulnerabilidade” (Bring Your Own Vulnerable Driver , BYOVD) representam uma técnica cada vez mais comum usada em ataques de ransomware para contornar defesas de segurança e obter acesso no nível do kernel em sistemas Windows.

Com o BYOVD, os invasores implementam um driver legítimo, mas vulnerável, geralmente assinado digitalmente por um fornecedor confiável ou pela Microsoft, em um sistema alvo. Esses drivers, que operam no nível do kernel (anel 0) com altos privilégios, contêm falhas exploráveis que permitem que invasores desabilitem ferramentas de segurança, aumentem privilégios ou executem códigos maliciosos sem serem detectados. Ao utilizar drivers assinados, os invasores conseguem contornar as verificações de segurança padrão do Windows.

Embora o BYOVD seja uma técnica avançada, há uma variedade de ferramentas de código aberto, como EDRSandblast e Backstab, que diminuem as barreiras técnicas e simplificam esses ataques. De acordo com o projeto Living Off The Land Drivers (LOLDrivers), centenas de fatores exploráveis são conhecidos, o que destaca a escala do problema. Os invasores continuam encontrando novos drivers com vulnerabilidades, e ferramentas como o KDMapper permitem o mapeamento de drivers não assinados na memória via BYOVD para complicar as defesas.

Tendências e números regionais de ransomware

Proporção de usuários cujos computadores foram atacados por cripto-ransomware, por região. Dados da Kaspersky Security Network (download)

Nas regiões do Oriente Médio e Ásia-Pacífico, o ransomware afetou uma parcela maior de usuários devido à rápida transformação digital, à expansão das superfícies de ataque e aos diferentes níveis de maturidade da cibersegurança. Empresas na região Ásia-Pacífico (APAC) foram fortemente visadas, com motivações a ataques na infraestrutura e tecnologia operacional, especialmente em países com economias em crescimento e novas leis de privacidade de dados.

O ransomware é menos prevalente na África devido aos menores níveis de digitalização e restrições econômicas, o que reduz o número de alvos de alto valor. No entanto, à medida que países como África do Sul e Nigéria expandem suas economias digitais, os ataques de ransomware estão aumentando, especialmente nos setores de manufatura, financeiro e governamental. A conscientização e os recursos limitados em cibersegurança deixam muitas organizações vulneráveis, embora a menor superfície de ataque signifique que a região continua atrás dos principais pontos críticos globais.

A América Latina também sofre ataques de ransomware, principalmente em países como Brasil, Argentina, Chile e México. Manufatura, agricultura e varejo, bem como setores críticos como governo e energia são alvos, mas restrições econômicas e resgates menores impedem alguns invasores. A crescente adoção digital na região está aumentando a exposição. Por exemplo, o ransomware NightSpire comprometeu a empresa chilena EmoTrans, uma empresa de logística que atende setores importantes no Chile, como mineração, agricultura e comércio internacional. O grupo apareceu pela primeira vez em março de 2025 e atacou instituições governamentais, fabricantes e outras empresas em várias partes do mundo. Como muitos outros grupos, o NightSpire usa a estratégia de extorsão dupla e tem seu próprio site de vazamento de dados (data leak site, DLS).

A Comunidade dos Estados Independentes (CEI) registra uma parcela menor de usuários que sofrem ataques de ransomware por invasores. No entanto, grupos hacktivistas como Head Mare, Twelve e outros ativos na região costumam usar ransomware como o LockBit 3.0 para causar danos às organizações alvo. Manufatura, governo e varejo são os setores mais visados, com diferentes níveis de maturidade em cibersegurança na região que afetam a segurança.

A Europa enfrenta ransomware, mas se beneficia de estruturas e regulamentações robustas de cibersegurança que impedem alguns invasores. Setores como manufatura, agricultura e educação são alvos, mas uma resposta madura aos incidentes, além de conscientização, limitam a escala dos ataques. As economias diversificadas e as defesas fortes da região fazem com que ela seja menos um ponto focal para grupos de ransomware do que regiões com crescimento digital rápido e menos seguro.

Por exemplo, a RansomHub assumiu a responsabilidade por um ataque aos escritórios europeus da Kawasaki em 2024 que interrompeu as operações em vários países. A violação comprometeu dados operacionais e de clientes, afetando as cadeias de suprimentos de motocicletas e produtos industriais da Kawasaki na Europa. O impacto regional foi significativo em países como Alemanha e Holanda, onde a Kawasaki tem forte presença de mercado, o que destacou as vulnerabilidades no setor de manufatura da Europa.

Alteração na proporção de usuários cujos computadores foram atacados por cripto-ransomware, por região, em 2024 em comparação com 2023. Dados da Kaspersky Security Network (download)

Ameaças emergentes e perspectivas futuras

Olhando para 2025, espera-se que o ransomware evolua e explore vulnerabilidades não convencionais, como foi demonstrado durante o uso de uma webcam pela gangue Akira para contornar sistemas de detecção e resposta de endpoint e se infiltrar em redes internas. É provável que os invasores ataquem cada vez mais pontos de entrada ignorados, como dispositivos de IoT, aparelhos inteligentes ou hardware mal configurado no local de trabalho para capitalizar a crescente superfície de ataque criada por sistemas interconectados. Conforme as organizações fortalecerem as defesas tradicionais, os criminosos virtuais refinarão suas táticas para direcionar os esforços ao reconhecimento furtivo e à movimentação lateral dentro das redes com o objetivo de implantar ransomware com maior precisão, dificultar a detecção e a pronta resposta pelos defensores.

Também é possível que os grupos de ransomware intensifiquem suas estratégias de extorsão, indo além da dupla extorsão para abordagens mais agressivas, como a ameaça de vazamento de dados confidenciais para reguladores, concorrentes ou ao público. O modelo Ransomware como Serviço continuará a prosperar para permitir que invasores menos qualificados lancem ataques sofisticados e comprem acesso a ferramentas pré-criadas e kits de exploração. As tensões geopolíticas podem impulsionar ainda mais o hacktivismo e as campanhas de ransomware patrocinadas pelo Estado que visam ativos críticos, como redes de energia ou sistemas de saúde, como parte da guerra híbrida. Organizações menores com orçamentos limitados para cibersegurança enfrentarão riscos maiores, pois os invasores explorarão suas defesas mais fracas. Para se adaptar, as empresas devem adotar modelos de segurança zero-trust, proteger ecossistemas de IoT e priorizar o treinamento de funcionários para mitigar as ameaças de phishing e engenharia social.

A proliferação de grandes modelos de linguagem (LLMs) adaptados para crimes cibernéticos ampliará ainda mais o alcance e o impacto do ransomware. Os LLMs comercializados na dark web diminuem a barreira técnica para a criação de códigos maliciosos, campanhas de phishing e ataques de engenharia social para permitir que até mesmo agentes menos qualificados criem iscas altamente convincentes ou automatizem a implementação de ransomware. Conforme os conceitos mais inovadores sejam rapidamente adotados por desenvolvedores de software, como RPA (Robotic Process Automation) e LowCode, com uma interface de arrastar e soltar, visual, intuitiva e assistida por IA para oferecer desenvolvimento rápido de software, poderemos esperar que os desenvolvedores de ransomware utilizem esses recursos para automatizar os ataques, assim como o desenvolver novos códigos para tornar a ameaça de ransomware ainda mais prevalente.

Recomendações

Para combater o ransomware de forma eficaz em 2025, organizações e indivíduos devem adotar uma estratégia de defesa em várias camadas que aborde as táticas em evolução de grupos como FunkSec, RansomHub e outros que utilizam IA, traga seu próprio driver com vulnerabilidade (BYOVD) e dupla extorsão.

Priorize a prevenção proativa por meio de patches e gerenciamento de vulnerabilidades. Muitos ataques de ransomware exploram sistemas sem patches, portanto, as organizações devem implementar ferramentas automatizadas de gerenciamento de patches para garantir as atualizações oportunas de sistemas operacionais, softwares e drivers. Para ambientes Windows, ativar a lista de bloqueio de drivers com vulnerabilidade da Microsoft é essencial para impedir os ataques do tipo BYOVD. Verifique regularmente as vulnerabilidades e priorize as falhas de alta gravidade, especialmente em softwares amplamente utilizados, como o Microsoft Exchange ou o VMware ESXi, que foram cada vez mais alvos de ransomware em 2024.

Fortaleça a segurança de endpoints e redes com detecção e segmentação avançadas. Implemente soluções robustas de detecção e resposta de endpoints, como o Kaspersky NEXT EDR, para monitorar atividades suspeitas, como carregamento de drivers ou encerramento de processos. A segmentação da rede é igualmente importante: limite o movimento lateral com o isolamento de sistemas críticos e com o uso de firewalls para restringir o tráfego. Implemente uma arquitetura zero trust que exija autenticação contínua para acesso.

Invista em backups, treinamento e planejamento de resposta a incidentes. Mantenha os backups off-line ou imutáveis, testados regularmente, para garantir a pronta recuperação sem a necessidade de recorrer a pagamentos de resgate. Os backups devem abranger dados e sistemas críticos e devem ser armazenados em ambientes isolados para resistir à criptografia ou exclusão. A educação do usuário é essencial para combater o phishing, que continua sendo um dos principais vetores de ataque. Realize exercícios simulados de phishing e treine os funcionários para reconhecer os e-mails criados por IA e usados pela FunkSec e outros agentes com motivações furtivas. O Kaspersky GERT pode ajudar a desenvolver e testar um plano de resposta a incidentes para minimizar possíveis tempos de inatividade e custos.

A recomendação de não pagar o resgate continua robusta, especialmente devido ao risco de chaves indisponíveis causadas pela desarticulação da infraestrutura, caos entre afiliados ou intenções maliciosas, como observado nas interrupções de 2024. Ao investir em backups, resposta a incidentes e medidas preventivas, como aplicação de patches e treinamento, as organizações podem evitar financiar criminosos e mitigar o impacto. A Kaspersky também oferece decodificadores gratuitos para determinadas famílias de ransomware. Caso seja atingido por um ransomware, verifique se há um decodificador disponível para a família de ransomware usada no seu caso. Observe que, mesmo que não haja um disponível agora, ele poderá ser adicionado mais tarde.