No terceiro trimestre de 2025, pesquisadores da Check Point Research identificaram 85 grupos de ransomware e extorsão em atividade, o maior número já registrado. A pluralidade de operações mostra um cenário cada vez mais descentralizado, impulsionado pela formação de pequenas quadrilhas após o fechamento de grandes programas de ransomware-as-a-service (RaaS).
Fragmentação recorde
Entre julho e setembro, 1.592 vítimas foram publicadas em mais de 85 sites de vazamento, média de 535 divulgações por mês. Os dez principais grupos responderam por 56 % dos casos, contra 71 % no início do ano. Quatorze novas marcas de ransomware surgiram no período, elevando para 45 o total de estreias em 2025.
Operações policiais têm efeito limitado
A queda de plataformas como RansomHub e 8Base não reduziu o volume de ataques. Sem alcançar diretamente os afiliados, as ações de aplicação da lei dispersam operadores que rapidamente se reorganizam sob novos nomes. Com grupos menores e de curta duração, a previsibilidade diminui e a confiança das vítimas no pagamento do resgate segue em queda, hoje estimada entre 25 % e 40 %.
LockBit 5.0 marca possível reconcentração
Em setembro, o LockBit voltou a operar com a versão 5.0, após a derrubada sofrida em 2024 na Operação Cronos. O retorno inclui variantes para Windows, Linux e ESXi, criptografia mais rápida e portais de negociação exclusivos por vítima. Pelo menos doze organizações foram atingidas no primeiro mês, indicando retomada do interesse entre afiliados em busca de uma marca reconhecida.
Estrategistas de marca
O grupo DragonForce exemplifica outra tática de sobrevivência: investir em marketing. Em fóruns clandestinos, declarou alianças simbólicas com LockBit e Qilin, anunciou parcerias de afiliados e passou a oferecer auditorias de dados roubados para aumentar pressão sobre alvos.
Alvos por região e setor
Os Estados Unidos concentraram cerca de metade das vítimas no trimestre. A Coreia do Sul entrou pela primeira vez no grupo dos dez países mais afetados, impulsionada pela campanha da Qilin contra instituições financeiras. Na Europa, Alemanha e Reino Unido continuaram sob ataque de grupos como Safepay e INC Ransom.
Imagem: Internet
Na divisão por setores, manufatura e serviços empresariais responderam por cerca de 10 % dos casos cada. A saúde manteve 8 %, embora algumas quadrilhas, como a Play, evitem o segmento para reduzir visibilidade.
As cifras reforçam a resiliência estrutural do ransomware: cada operação derrubada gera ramificações que alimentam novas frentes de ataque, enquanto marcas estabelecidas tentam recentralizar o mercado.
Com informações de The Hacker News
