Estado do ransomware em 2026

Com o Dia Internacional de Combate ao Ransomware, comemorado em 12 de maio, a Kaspersky apresenta seu relatório anual sobre a evolução do cenário global e regional de ciberameaças de ransomware.

O ransomware continua sendo uma das ciberameaças mais persistentes e adaptáveis. Em 2026:

• novas famílias continuam surgindo, adotando cifras de criptografia pós-quântica;
• devido à queda dos pagamentos de resgate, alguns atacantes passaram a implementar ataques de extorsão sem criptografia;
• em um ecossistema de threat actors em constante evolução, os IABs (Initial Access Brokers, intermediários de acesso inicial) seguem relevantes nesse mercado e demonstram interesse crescente no acesso ao RDWeb como método preferencial de acesso remoto.

Os ataques de ransomware têm diminuído, mas ainda representam um grande perigo

De acordo com a Kaspersky Security Network, a parcela de organizações afetadas por ransomware diminuiu em 2025 em todas as regiões em comparação com 2024.

Porcentagem de organizações afetadas por ataques de ransomware por região, 2025 (download)

Apesar da redução formal, a probabilidade de ataques a organizações em todos os setores permanece muito alta, à medida que os operadores de ransomware aprimoram suas táticas e dimensionam suas operações com eficiência crescente. Com relação ao segmento de manufatura, a Kaspersky e a VDC Research descobriram que os ataques de ransomware podem ter gerado perdas de mais de US$ 18 bilhões nos três primeiros trimestres do ano.

O aumento contínuo dos “EDR-killers” e das ferramentas de evasão de defesa

Em 2026, os operadores de ransomware priorizaram cada vez mais a neutralização das defesas de endpoints antes da execução dos seus payloads. Ferramentas comumente chamadas de “EDR-killers” tornaram-se um componente padrão dos manuais de ataque. Isso reflete uma tendência contínua de invasões mais deliberadas e metódicas.

Os atacantes tentam encerrar processos de segurança e desativar agentes de monitoramento, geralmente por meio da exploração de componentes confiáveis, como drivers assinados. Essa técnica é chamada de Bring Your Own Vulnerable Driver (BYOVD) e permite que as atividades dos adversários se pareçam com atividades legítimas do sistema, enquanto degrada aos poucos a visibilidade defensiva.

Assim, a evasão não é mais uma etapa oportunista, mas uma fase planejada e contínua do ciclo de vida do ataque. Com isso, o desafio das organizações vai além da detecção de ransomware, sendo necessário também manter o controle em ambientes onde os próprios controles de segurança são atacados com frequência.

O surgimento de novas famílias que adotam a criptografia pós-quântica

Previmos, para 2025, o surgimento de ransomware resistente à computação quântica. Analisando o ano anterior, percebemos que, devido à evolução da computação quântica, grupos de ransomware avançados de fato começaram a usar a criptografia pós-quântica. As técnicas de criptografia usadas por ransomware “à prova de computação quântica” podem ser aprimoradas para resistir às tentativas de descriptografia por computadores clássicos e quânticos, tornando quase impossível para as vítimas descriptografarem seus dados, o que as obrigaria a pagar resgates.

Um exemplo disso é o aparecimento da família de ransomware PE32 (link em russo) que utiliza o padrão de última geração ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism) para proteger suas chaves AES. Esse framework criptográfico específico foi recentemente selecionado pelo NIST como o padrão principal para a defesa pós-quântica.

Dentro da arquitetura do ransomware PE32, isso ocorre por meio do algoritmo Kyber1024, um mecanismo robusto que fornece segurança de Nível 5, aproximando-se da força do AES-256. Sua função principal é a geração e transmissão seguras de segredos compartilhados entre as partes, sendo principalmente projetado para resistir a futuros ataques de computação quântica. Essa mudança em direção à prontidão pós-quântica faz parte de uma tendência mais ampla do setor; por exemplo, os protocolos TLS 1.3 e QUIC já adotaram o modelo híbrido X25519Kyber768, que combina criptografia clássica com segurança resistente à computação quântica.

A mudança para a extorsão sem criptografia

Em 2025, a porcentagem de resgates pagos caiu para 28%. Como resposta a isso, uma das tendências observadas para 2026 é a crescente prevalência de incidentes de extorsão, em que não ocorre nenhuma criptografia de arquivos. Em vez disso, os atacantes deixam de fora o “ware” no “ransomware” e se concentram na extração de dados confidenciais e na ameaça de divulgação pública como seu principal meio de extorsão. O ShinyHunters é um excelente exemplo de um grupo que age dessa forma: os membros usam um site de vazamento de dados para divulgar os dados das vítimas.

O objetivo dos atacantes ao evitar a criptografia é reduzir a probabilidade de detecção imediata, diminuir a duração do ataque e eliminar a dependência de rotinas de criptografia estáveis. Muitas vezes, esse método é usado em conjunto com táticas tradicionais nos chamados esquemas de extorsão dupla. Porém, um número crescente de campanhas depende exclusivamente do roubo de dados.

Para as vítimas, essa mudança altera a natureza do risco. Embora os backups permaneçam eficazes contra interrupções ocasionadas por criptografia, eles não fornecem proteção contra o vazamento de dados, consequências regulatórias e danos à reputação. Isso mostra que o ransomware deixou de ser apenas um problema de continuidade das operações do negócio e se tornou um desafio mais amplo de segurança e conformidade de dados.

Industrialização do acesso inicial (Access-as-a-Service)

O ecossistema de ransomware continua evoluindo para um modelo bastante industrializado e especializado, e o acesso inicial permanece um de seus componentes mais críticos. Em 2026, muitos operadores de ransomware, com o objetivo de não precisarem mais fazer invasões por conta própria, continuam se aproveitando dos IABs (intermediários de acesso inicial), uma rede de agentes que fornece acesso pré-comprometido a ambientes corporativos.

Esse modelo de “access-as-a-service” (acesso como serviço) é fomentado por operações de roubo de credenciais e pela alta disponibilidade de contas comprometidas devido a infostealers e campanhas de phishing.

RDP, VPN e RDWeb continuam sendo os principais vetores de acesso à venda. Como consequência, a infraestrutura de acesso remoto ainda é a principal superfície de ataque para as vendas de acesso inicial. Em resposta às medidas contra a exposição pública de pontos de acesso RDP à Internet, os atacantes agora têm como alvo os portais RDWeb, pois eles geralmente são vulneráveis e protegidos de forma inadequada.

O resultado é um cenário de ameaças em que o acesso não autorizado é cada vez mais comoditizado e as barreiras para o lançamento de ataques de ransomware diminuem. Isso significa que evitar o comprometimento inicial é apenas parte do desafio; a mesma ênfase deve ser dada à detecção do uso indevido de credenciais legítimas e à limitação do movimento lateral em ambientes já violados.

Desenvolvimento de ransonware na dark web

Os canais do Telegram e os fóruns clandestinos funcionam cada vez mais como plataformas para a distribuição e venda de conjuntos de dados e acessos comprometidos, incluindo aqueles obtidos como resultado de ataques de ransomware.

É comum que os anúncios publicados nesses locais citem a natureza do acesso, uma descrição dos dados exfiltrados ou comprometidos, preços e informações de contato de possíveis compradores. Além disso, alguns atores maliciosos mencionam sua colaboração com outros grupos de ransomware. Em alguns casos, a reputação de grupos famosos pode ser usada por gangues menos conhecidas para fins de promoção.

Vários threat actors não relacionados a grupos de ransomware baixam conjuntos de dados de blogs e os distribuem em fóruns clandestinos e no Telegram. Eles distribuem dados comprometidos ao republicar links de download e arquivos, além de divulgar informações sobre o ataque de ransomware.

O próprio ransomware também é vendido ou obtido por meio de assinatura nas plataformas da dark web. Os vendedores ressaltam a singularidade do seu malware e dos seus recursos de criptografia e evasão de defesa.

Operações da Polícia

Os órgãos de segurança pública trabalham com afinco para desativar plataformas da dark web e sites de vazamento de dados de ransomware. Um grande fórum clandestino, o RAMP, que também funcionava como uma plataforma na qual os threat actors anunciavam seus serviços de ransomware e publicavam atualizações relacionadas ao serviço, foi derrubado pelas autoridades em janeiro de 2026. Outro fórum clandestino, o LeakBase, usado por agentes maliciosos para a distribuição de dados exfiltrados e comprometidos, foi descontinuado em março de 2026. Em 2025, os órgãos de segurança pública desativaram fóruns conhecidos como Nulled, Cracked e XSS. Também em 2025, os blogs dos grupos de ransomware BlackSuit e 8Base foram derrubados. Essas ações causam inconveniência à coordenação do ransomware, especificamente para intermediários de acesso inicial e afiliados, embora seja esperado que fóruns semelhantes substituam os anteriores.

Principais grupos de ransomware em 2025

A inatividade repentina do RansomHub em 2025 mudou o cenário e o Qilin se tornou o principal atacante no segundo trimestre do ano. De acordo com uma pesquisa da Kaspersky, o Qilin foi o grupo que mais executou ataques direcionados em 2025.

Porcentagem de vítimas de cada grupo de acordo com seu site de vazamento de dados (DLS) em comparação com todas as vítimas relatadas de todos os grupos durante o período analisado (download)

O Qilin se destaca como uma das plataformas RaaS mais dominantes e de crescimento mais rápido. Ele é considerado o ator central no ecossistema atual devido à combinação de operações de alto volume e a um modelo estruturado de afiliados.

O Clop foi o segundo grupo mais ativo em 2025 e se distingue por seus ataques em grande escala às cadeias de suprimentos, explorando softwares populares de transferência de arquivos em ambientes corporativos, para fazer centenas de vítimas simultaneamente. Essa abordagem “um para muitos” diferencia esse grupo das campanhas mais tradicionais que focam em um único alvo.

O terceiro lugar é ocupado pelo Akira, que permanece notável por sua consistência e estabilidade operacional, mantendo um fluxo constante de vítimas sem grandes interrupções. A capacidade de manter sua atividade ao longo do tempo o torna um dos indicadores mais confiáveis dos níveis básicos de ameaças de ransomware.

Embora não esteja mais ativo, o RansomHub se destacou pela rápida ascensão e pelo desaparecimento igualmente rápido em 2025, o que demonstrou a volatilidade do mercado de RaaS. Seu encerramento reformulou a distribuição de afiliados em outros grupos de forma significativa.

O DragonForce também é notável, não apenas por suas próprias operações, mas por sua influência mais ampla no ecossistema de ransomware, incluindo relatos de envolvimento em conflitos de infraestrutura e uma possível conexão com a eliminação de grupos concorrentes. O DragonForce alega que o RansomHub “passou a fazer parte da sua infraestrutura”. Isso faz com que ele seja mais do que um operador, mas um ator potencial que compromete ecossistemas.

Novos grupos em 2026

Embora os grupos emergentes geralmente operem em uma escala menor, eles fornecem informações sobre a rotatividade contínua e a facilidade de ingresso de novos grupos no ecossistema de ransomware.

O grupo “The Gentlemen” chamou nossa atenção no início de 2026 ao conseguir atingir um número expressivo de vítimas em pouco tempo. Esse ator também merece destaque, pois reflete uma mudança mais ampla em direção à profissionalização e a operações controladas dentro do ecossistema de ransomware. Ao contrário de muitos grupos emergentes que executam ataques oportunistas e vazamentos inconsistentes, a abordagem do The Gentlemen é mais deliberada, com fluxos de trabalho de invasão estruturados, segmentação seletiva e comunicação calculada com as vítimas. Isso sinaliza uma mudança de campanhas caóticas e chamativas para modelos de execução previsíveis e profissionais, que são mais fáceis de dimensionar e mais difíceis de desarticular. Seus TTPs incluem a exploração em larga escala de dispositivos muito comuns em grandes corporações, como FortiOS/FortiProxy, dispositivos de VPN da SonicWall e dispositivos Cisco ASA. É possível que o grupo seja composto por cibercriminosos profissionais que vieram de outros grupos de destaque.

O grupo também é notável por sua ênfase em estratégias de extorsão centradas em dados, muitas vezes priorizando a exfiltração e o poder de barganha em detrimento da criptografia voltada apenas à interrupção das atividades. Isso se alinha com uma das tendências definidoras de 2026: a evolução do ransomware para uma forma de monetização da violação de dados, em vez de apenas negação do sistema. O grupo pressiona as organizações e foca no risco de danos à sua reputação em vez de danos operacionais imediatos, fazendo do The Gentlemen um exemplo de como os atacantes estão se adaptando à diminuição dos pagamentos de resgate e às práticas de backup aprimoradas das vítimas.
Outros grupos a serem observados em 2026:

• Devman parece ser um ator emergente com atividade limitada, mas crescente, que se aproveita de ferramentas existentes em vez de desenvolver recursos personalizados.
• MintEye ainda não está muito ativo, tendo feito apenas cinco vítimas conhecidas, o que evidencia uma concentração em campanhas oportunistas, sem um ritmo operacional consistente.
• DireWolf está associado a ataques direcionados de pequena escala, embora sua área de cobertura geral permaneça um tanto limitada em comparação com grupos RaaS maiores.
• NightSpire apresenta características de um grupo amador, como erros durante suas operações, canais de comunicação incomuns com as vítimas e, em alguns casos, tempo insuficiente concedido para o pagamento. Embora criptografem e vazem dados, eles priorizam a publicação e não a criptografia.
• Vect apresenta atividade de baixo volume. Ainda não está claro se sua codebase é completamente nova ou se o grupo é uma evolução de um outro grupo existente.
• Tengu é um ator menos proeminente e com aparições públicas limitadas, não apresentando nenhuma tática de extorsão diferente do que já foi visto.
• Kazu parece ter sido criado por operadores de ransomware que já participaram de outros grupos. Até este momento, ele não se destaca em escala ou técnica.

Embora ainda tenhamos poucas informações sobre esses grupos no momento da elaboração deste relatório, qualquer um deles pode desaparecer do cenário de ameaças ou vir a se tornar uma ameaça de destaque. É por isso que é importante ficar de olho neles desde o início. Além disso, esses grupos ilustram como o cenário de ransomware é dinâmico, com novos participantes surgindo a todo momento.

Conclusão e recomendações para a proteção

Apesar do crescente esforço dos órgãos de segurança pública em todo o mundo para detectar e desativar plataformas da dark web e infraestruturas de threat actors, as operações de ransomware permanecem estáveis, e novos grupos acabam por substituir aqueles que foram desmantelados. Em 2026, observamos uma mudança em direção à extorsão sem criptografia, com os vazamentos de dados se tornando cada vez mais a principal ameaça para as organizações visadas. Ao mesmo tempo, a criptografia de dados também está sendo aprimorada devido ao surgimento do ransomware pós-quântico.

Para resistir à ameaça em evolução, a Kaspersky recomenda que as organizações:

Priorizem a prevenção proativa por meio do gerenciamento de patches e de vulnerabilidades. Muitos ataques de ransomware exploram sistemas sem patches. Portanto, as organizações devem implementar ferramentas automatizadas de gerenciamento de patches para garantir atualizações oportunas de sistemas operacionais, softwares e drivers. Para ambientes Windows, é essencial ativar a Lista de bloqueio de drivers vulneráveis da Microsoft para impedir ataques do tipo BYOVD. Deve-se verificar se há vulnerabilidades e priorizar a remediação de falhas de gravidade alta, especialmente em softwares usados por muitas organizações.

Reforcem o acesso remoto: as conexões RDP e RDWeb nunca devem ser expostas diretamente à Internet, somente por meio de VPN ou ZTNA (Zero Trust Network Access). Recomenda-se adotar a autenticação multifator em tudo: a arquitetura do sistema pode exigir autenticação contínua para o acesso, já que uma credencial válida comprometida é suficiente para causar uma violação. É essencial monitorar ambientes clandestinos em busca de credenciais de funcionários roubadas. Portas abertas devem ser auditadas em toda a superfície de ataque. Recomenda-se também adotar o “Princípio do privilégio mínimo” (PoLP), em que os usuários, sistemas ou processos recebem apenas direitos de acesso mínimos necessários (como permissões de leitura, gravação ou execução) para executar suas funções de trabalho específicas.

Reforcem a segurança dos endpoints e da rede por meio de detecção e segmentação avançadas. Deve-se implementar soluções robustas de detecção e resposta de endpoint, como o Kaspersky NEXT EDR, para monitorar atividades suspeitas, como carregamento de drivers ou encerramento de processos. A segmentação da rede também é importante. Deve-se limitar o movimento lateral por meio do isolamento de sistemas críticos e do uso de firewalls para restringir o tráfego. É necessário fazer o desligamento completo e imediato dos funcionários, bem como revisões periódicas de permissões, além da revogação automática de acessos não utilizados. Também é importante ter sessões com login completo para contas privilegiadas. O monitoramento da divergência de tráfego para novos sites ou até para endpoints legítimos pode ajudar os defensores a detectar uma nova ameaça interna.

Invistam em backups, treinamento e planejamento de resposta a incidentes. Deve-se manter backups offline ou imutáveis que são testados com frequência para garantir uma recuperação rápida sem precisar pagar um resgate. Os backups devem abranger dados e sistemas críticos e devem ser armazenados em ambientes isolados para resistir à criptografia ou exclusão. A educação dos usuários é essencial para combater o phishing, que continua sendo um dos principais vetores de ataque. É importante realizar exercícios de phishing simulados e treinar os funcionários para reconhecerem e-mails criados por IA. A Equipe Global de Resposta a Emergências (GERT) da Kaspersky pode ajudar a desenvolver e testar um plano de resposta a incidentes para minimizar possíveis períodos de inatividade e custos.

A recomendação de não pagar resgates continua válida por causa do risco das chaves se tornarem indisponíveis devido à desarticulação da infraestrutura, ao caos entre afiliados ou a intenções maliciosas. Ao investir em backups, resposta a incidentes e medidas preventivas, como aplicação de patches e treinamento de usuários, as organizações conseguem mitigar o impacto negativo e evitam financiar criminosos.

A Kaspersky também oferece decodificadores gratuitos para determinadas famílias de ransomware. Caso seja atingido por um ransomware, verifique se há um decodificador disponível para a família de ransomware usada no seu caso.