Ransomware 2025: Estatísticas, Tendências e Principais Incidentes | Gridinsoft
Gridinsoft Logo

Ransomware 2025: Estatísticas, Tendências e Principais Incidentes

By Brendan Smith, Analista de Cibersegurança na Gridinsoft (Mais de 15 anos em pesquisa de malware)
Last updated: December 03, 2025

Análise completa do cenário de ransomware em 2025, incluindo as últimas estatísticas (4.701 incidentes), tendências emergentes (ataques gerados por IA, tripla extorsão), táticas de ataque, cronograma de grandes incidentes e estratégias de proteção.

  • Saltar para:
» Ransomware
O que é Ransomware?

O que é Ransomware?

Provavelmente é o pior pesadelo descobrir que os arquivos do seu PC estão criptografados. Você estava verificando seu e-mail e clicando nos anexos para ver o que eles continham. O arquivo estranho, que não fazia nada além de oferecer a ativação de macros, não parecia suspeito. Mas, de repente, menos de 15 minutos depois de abrir aquele documento, você vê que todos os arquivos no seu PC têm extensões estranhas e pelo menos um arquivo readme.txt está dentro de cada pasta. Como isso aconteceu?

A definição curta de ransomware está escondida em seu nome, assim como em muitos outros vírus. O "software de resgate" é um programa que se injeta no seu computador, criptografa seus arquivos e, em seguida, pede que você pague o resgate para recuperar seus arquivos. Alguns exemplos de ransomware podem ameaçar suas vítimas de excluir seus arquivos ou publicar dados confidenciais se não pagarem o resgate. Embora o primeiro perigo seja uma mentira de 100%, a segunda tese pode ser real, pois o ransomware geralmente se espalha com spyware ou ladrões de informações.

Para cada vítima, o ransomware gera uma chave online exclusiva. Essa chave é armazenada no servidor mantido pelos cibercriminosos. Se o vírus não conseguir se conectar a esse servidor, ele criptografa os arquivos com a chave offline, que é armazenada localmente na máquina criptografada. O número de chaves offline é limitado. Portanto, você tem uma chave de descriptografia em comum com várias outras vítimas.

Infelizmente, não há garantia de 100% de recuperar seus arquivos. Se você tiver sorte e o ransomware usar a chave offline, poderá descriptografar seus dados muito mais rápido. No entanto, obter as chaves é bastante demorado e você pode ter que esperar várias semanas. O aplicativo de descriptografia, que deve ser usado para a descriptografia de arquivos, receberá a atualização com a chave que corresponde a você assim que os analistas a encontrarem.

As chaves online são muito mais difíceis de resolver. Como cada chave é única, você pode esperar meses. Os distribuidores de ransomware provavelmente serão pegos e forçados a descobrir todas as chaves que possuem nos servidores. Outro caso em que todas as chaves são liberadas ao público é quando os criadores de ransomware decidem encerrar sua atividade maliciosa. Tal situação ocorreu apenas uma vez - em 2018, quando os desenvolvedores do GandCrab alegaram que ganharam 2 bilhões de dólares e suspenderam sua atividade.

Ransomware em 2025: Estatísticas e Visão Geral

O cenário de ameaças de ransomware em 2025 atingiu níveis sem precedentes de sofisticação e impacto. Com base em uma análise abrangente de incidentos de janeiro a setembro de 2025, a comunidade de segurança cibernética está testemunhando uma escalada dramática na frequência e gravidade dos ataques de ransomware.

Estatísticas Chave (Janeiro–Setembro 2025)

  • 4.701 incidentes relatados globalmente (+46% em comparação com o mesmo período em 2024)
  • 2.332 ataques (50%) visaram infraestrutura crítica (+34% ano a ano)
  • Estados Unidos representam 21% de todos os casos globais, seguidos pelo Canadá (8%) e Reino Unido (6%)
  • $2 milhões demanda média de resgate (aumentou de $400.000 em 2023)
  • $1,53 milhão custo médio de recuperação excluindo o pagamento do resgate (–44% desde 2024)
  • Apenas 40% das vítimas envolveram a aplicação da lei (caiu de 52% em 2024)
  • 49% das vítimas com dados criptografados pagaram o resgate (caiu de 70% em 2024)
Vetores de Entrada de Ataques de Ransomware - 2025 Exploits de Vulnerabilidade (32%) Credenciais Roubadas (23%) E-mails de Phishing (18%) Outros Vetores (27%) Fonte: Estatísticas de Ransomware Bright Defense 2025

O ecossistema de ransomware evoluiu significativamente em 2025, com atores de ameaças adotando táticas cada vez mais agressivas e tecnologicamente avançadas. Aqui estão as tendências mais significativas que moldam o cenário atual de ameaças:

Tendência Detalhes
Ataques a Infraestrutura Crítica O setor de manufatura viu um aumento de +61% nos ataques, com saúde, energia, transporte e finanças também experimentando crescimento significativo. Esses setores são alvos preferenciais devido à urgência operacional e maior disposição para pagar.
Criptografia Acelerada O tempo médio desde a violação inicial até a implantação do ransomware caiu para apenas 5 dias (anteriormente 11 dias). Alguns grupos podem criptografar sistemas poucas horas após obter acesso.
Tripla Extorsão 87% dos ataques agora combinam criptografia de dados com ameaças de exfiltração, ataques DDoS e assédio direto a funcionários e suas famílias por meio de chamadas telefônicas e SMS.
Ataques Aprimorados por IA Grupos como Black Basta e FunkSec estão aproveitando Grandes Modelos de Linguagem (LLMs) para gerar e-mails de phishing sofisticados e automatizar o desenvolvimento de exploits, tornando os ataques mais convincentes e difíceis de detectar.
Exploração da Cadeia de Suprimentos O grupo de ransomware Clop explorou vulnerabilidades de dia zero no Oracle E-Business Suite, afetando grandes organizações, incluindo Cox Enterprises e Dartmouth College, por meio do comprometimento da cadeia de suprimentos.
Armamento de Ferramentas Legítimas Ferramentas de Gerenciamento e Monitoramento Remoto (RMM) como TeamViewer e AnyDesk estão sendo abusadas para roubo físico simultâneo de carga e implantação de ransomware, contornando os controles de segurança tradicionais.
Declínio nos Pagamentos de Resgate Apenas 49% das vítimas com dados criptografados optaram por pagar resgates em 2025, abaixo dos 70% em 2024, à medida que as organizações adotam melhores estratégias de backup e se recusam a financiar empreendimentos criminosos.
Tempo Médio de Permanência 5 Dias Tempo desde a violação inicial até a criptografia.
Dupla Extorsão 87% Ataques envolvendo roubo de dados e criptografia.
Tripla Extorsão 29% Adiciona ataques DDoS ou assédio ao cliente.
Demanda Média $2,73M Aumento significativo de $2M no início de 2025.
Janela de Resposta 4 Mins Atraso entre a criptografia e a nota de resgate.
Exfiltração de Dados 1,2 TB Dados sensíveis roubados em menos de 3 horas.

Táticas de Ataque e Vetores de Entrada

Entender como os operadores de ransomware obtêm acesso inicial e executam seus ataques é crucial para desenvolver defesas eficazes. Em 2025, os invasores estão empregando uma mistura sofisticada de exploits técnicos e engenharia social.

Vetores de Entrada Primários

  • 32% — Exploração de vulnerabilidades (dispositivos VPN sem patch, sistemas de gerenciamento de conteúdo desatualizados)
  • 23% — Credenciais roubadas (obtidas por meio de info-stealers e campanhas de phishing)
  • 18% — E-mails de phishing (aumentou de 11% em 2024, refletindo conteúdo aprimorado gerado por IA)
  • Técnicas Living-off-the-Land (LotL) — Abuso de utilitários integrados do Windows e BYOVD (Bring Your Own Vulnerable Driver) para desativar soluções de detecção e resposta de endpoint (EDR)
  • Ataques com ferramentas legítimas — Exploração de soluções RMM e serviços de armazenamento em nuvem (OneDrive, Dropbox) para implantação de ransomware sem binários de malware tradicionais

Táticas Avançadas Empregadas em 2025

Tática Descrição Grupos de Ameaça
Exploração de Dia Zero em ERP Empresarial Visando vulnerabilidades no Oracle E-Business Suite e outros sistemas de planejamento de recursos empresariais para comprometer redes corporativas inteiras e exfiltrar dados sensíveis. Clop
Phishing de Voz com Clonagem de Voz por IA Chamadas telefônicas falsificando a equipe de suporte de TI usando geração de voz sintética para convencer os funcionários a fornecer códigos de autenticação multifator (MFA) e credenciais. Scattered Spider
Campanhas de Phishing Aprimoradas por IA Geração de e-mails de phishing e anexos maliciosos altamente personalizados e contextualmente relevantes usando serviços semelhantes ao ChatGPT, melhorando drasticamente as taxas de sucesso. Black Basta, FunkSec
Extorsão DDoS Ataques distribuídos de negação de serviço simultâneos visando a infraestrutura da vítima para aumentar a pressão e acelerar o pagamento do resgate durante eventos de criptografia. LockBit 4.0
Assédio a Funcionários Ameaças diretas via SMS e chamadas telefônicas a funcionários e suas famílias, publicação de endereços residenciais e outras informações pessoais para coagir as organizações a pagar. Múltiplos grupos

Principais Incidentes de Ransomware em 2025

2025 viu vários ataques de ransomware de alto perfil afetando infraestrutura crítica, sistemas de saúde, instituições educacionais e grandes corporações em todo o mundo. O cronograma a seguir destaca os incidentes mais significativos:

Data Organização / País Grupo de Ameaça Impacto e Demanda de Resgate
24 de janeiro Big Cheese Studio (Polônia) 0mid16B Vazamento de código-fonte com demanda de resgate de $25.000
27 de jan – 6 de fev Episource LLC (EUA) Não divulgado 5,4 milhões de registros médicos expostos; violação de Informações de Saúde Protegidas (PHI)
Janeiro Sunflower Medical Group (EUA) Rhysida 220.968 arquivos médicos de pacientes comprometidos; resgate de $800.000
Janeiro Registro de Imóveis (Eslováquia) Não divulgado Transações imobiliárias paralisadas por 2 semanas
Janeiro DEphoto (Reino Unido) 0mid16B 555.000 clientes + 16.000 cartões de pagamento comprometidos; fotos de crianças expostas
23 de março Aeroporto Int. de Kuala Lumpur (Malásia) Qilin Sistemas de bagagem e embarque offline por mais de 10 horas; demanda de resgate de $10 milhões
Abril NASCAR (EUA) Medusa Números de Seguro Social de fãs vazados; resgate de $4 milhões
Abril DaVita Healthcare (EUA) Interlock 20 TB de dados roubados afetando 2,7 milhões de pacientes; $13,5 milhões em perdas
Julho Ingram Micro (Global) SafePay Vazamento de dados de clientes de 3,5 TB; perda de receita de $136 milhões por dia de inatividade
Agosto Administração de Trânsito de Maryland (EUA) Rhysida Informações pessoais de funcionários expostas; 30 BTC ($3,4 milhões) exigidos
26 de novembro OnSolve / CodeRED (EUA) Inc Sistema de alerta de emergência para mais de 12 estados comprometido; informações de contato vazadas
28 de novembro Asahi (Japão) Qilin 1,5 milhão de clientes afetados; operações da cervejaria interrompidas
28 de novembro Upbit (Coreia do Sul) Lazarus $30,4 milhões em criptomoedas roubados
Dezembro PowerSchool (EUA) Não divulgado 62 milhões de registros de estudantes comprometidos; tentativas de extorsão repetidas visando distritos escolares

Distribuição Geográfica e Industrial

Os ataques de ransomware em 2025 continuam a mostrar padrões geográficos e setoriais distintos, com certas regiões e indústrias suportando um risco desproporcional.

Distribuição Geográfica (Janeiro–Setembro 2025)

Região Participação nos Incidentes Globais Indústrias Mais Visadas
América do Norte 46% Manufatura, Saúde, Educação
Europa 24% Serviços Profissionais, Varejo, Governo
Ásia-Pacífico 10% Finanças, Logística
Oriente Médio e África 4% Energia, Governo
Distribuição Global de Ransomware por Região - 2025 América do Norte 46% Europa 24% Outras Regiões 16% Ásia-Pacífico 10% Oriente Médio e África 4% 0% 50% Fonte: Estatísticas de Ransomware Bright Defense 2025

Indústrias Mais Visadas

  • Manufatura — 660 ataques
  • Imobiliário — 553 ataques
  • Serviços Profissionais — 487 ataques
  • Saúde — Aumento significativo devido à natureza crítica das operações
  • Energia e Transporte — Alvos de infraestrutura crítica

Estágios do Ataque de Ransomware Moderno – 2025

O ciclo de vida do ataque de ransomware evoluiu significativamente. Os atores de ameaças modernos operam com precisão militar, seguindo um cronograma estruturado que as equipes de segurança podem caçar e interromper. Entender essas fases é crítico para implementar medidas defensivas eficazes.

Fase 0 – Aquisição de Alvos

Antes de qualquer ataque técnico começar, os atores de ameaças realizam reconhecimento extensivo e seleção de alvos:

  • Reconhecimento Impulsionado por IA: Ferramentas de varredura automatizadas classificam alvos potenciais por "pontuação de pagamento" — analisando receita da empresa, cobertura de seguro cibernético, operações críticas e probabilidade de pagamento com base em dados financeiros públicos e histórico de violações.
  • Aquisição de Acesso: Compra de credenciais VPN comprometidas, contas do Outlook Web Access (OWA), gateways Citrix ou exploits de dia zero de Corretores de Acesso Inicial (IABs) em mercados da darknet.

Fase 1 – Ponto de Apoio Inicial

Estabelecimento de presença persistente no ambiente alvo:

  • Vetores de Entrega: Campanhas de phishing, atualizações de software falsas envenenadas por SEO, unidades USB entregues por correio ou exploração direta de vulnerabilidades voltadas para a Internet.
  • Técnicas de Execução: Binários living-off-the-land (LOLBAS), ofuscação do PowerShell, ferramentas legítimas do sistema abusadas para fins maliciosos. Os implantes são carregadores leves para evitar a detecção.
  • Mecanismos de Persistência: Tarefas agendadas, Objetos de Política de Grupo (GPO), runbooks de automação em nuvem ou assinaturas de eventos WMI para sobreviver a reinicializações e manter o acesso.

Fase 2 – Expansão Interna

O tempo médio de permanência em 2025 é de apenas 5 dias desde o acesso inicial até a implantação da criptografia:

  • Comando e Controle (C2): Tráfego HTTPS com front CDN, domain fronting via serviços de nuvem legítimos (Azure, CloudFlare) ou recursos de computação de borda para se misturar com o tráfego normal.
  • Operações de Descoberta: Mapeamento do Active Directory, inventário de sistemas de backup (crítico para sabotagem), reconhecimento de IAM em nuvem e identificação de repositórios de dados de alto valor.
  • Escalada de Privilégios: Ataques Kerberoasting, exploração de Serviços de Certificados do Active Directory (ADCS), ataques de repetição de token ou exploits de escalada de privilégios de dia zero.
  • Movimento Lateral: Conexões RDP, PowerShell remoting (PS-Remoting) ou ferramentas de Gerenciamento e Monitoramento Remoto (RMM) armadas como TeamViewer, AnyDesk e ScreenConnect.

Fase 3 – Preparação Pré-Impacto

Fase de sabotagem crítica projetada para garantir o máximo dano e impedir a recuperação:

  • Exfiltração de Dados: Usando Rclone, Mega.nz, IPFS ou ferramentas personalizadas, os invasores exfiltram em média 1,2 TB de dados sensíveis em menos de 3 horas. Esses dados tornam-se alavanca para dupla extorsão.
  • Sabotagem Defensiva: Os invasores desmantelam sistematicamente as opções de recuperação excluindo Cópias de Sombra de Volume (VSS), limpando instantâneos do VMware ESXi e destruindo catálogos de backup. Eles também desativam ativamente os agentes de Detecção e Resposta de Endpoint (EDR) usando técnicas "Bring Your Own Vulnerable Driver" (BYOVD) para cegar as equipes de segurança antes do ataque final.

Fase 4 – Extorsão

A fase de impacto final onde as demandas de resgate são emitidas:

  • Criptografia Rápida: Chaves de criptografia pré-preparadas usando algoritmos ChaCha20 + RSA implantadas em toda a rede em menos de 60 segundos. O ransomware moderno pode criptografar 220.000 arquivos em 4,5 minutos.
  • Modelo de Tripla Extorsão (29% dos ataques em 2025): Além do resgate tradicional por chaves de descriptografia, os invasores agora adicionam pressão extra ameaçando publicar dados roubados em sites de vazamento (dupla extorsão) e lançando ataques de Negação de Serviço Distribuído (DDoS) contra a infraestrutura pública da vítima (tripla extorsão) para forçar o pagamento.
  • Táticas de Pressão Agressivas: Contagens regressivas ao vivo, spam para clientes e parceiros, ameaças de voz a executivos usando vozes clonadas por IA, contato direto com clientes das vítimas ameaçando exposição de dados.
  • Atraso Criptografia-Nota: Média de 4 minutos entre a conclusão da criptografia e a entrega da nota de resgate, deixando uma janela de resposta mínima.

Gatilhos de Caça Críticos para Equipes SOC

Os Centros de Operações de Segurança devem monitorar esses indicadores de alta fidelidade de atividade de ransomware:

  • Anomalias de Impressão Digital JA3 TLS: Conexões SSL/TLS para domínios recém-registrados (menos de 24 horas), especialmente com conjuntos de criptografia incomuns.
  • Consultas LDAP Suspeitas: Consultas LDAP para adminCount=1 (contas privilegiadas) originadas de estações de trabalho não administrativas — indica reconhecimento para alvos de escalada de privilégios.
  • Execução do Rclone.exe: A ferramenta legítima de sincronização em nuvem Rclone gerada pelo SYSTEM ou executada com argumentos de linha de comando suspeitos — ferramenta comum de exfiltração de dados.
  • Operações de Arquivo de Alta Entropia: Operações de gravação de arquivo com entropia superior a 0,96 (indicando criptografia) afetando mais de 100 compartilhamentos de rede em 5 minutos — atividade definitiva de criptografia de ransomware.
  • Comandos de Exclusão VSS: Execução de vssadmin delete shadows, wmic shadowcopy delete ou bcdedit /set {default} recoveryenabled no.
  • Abuso de Ferramentas RMM: Instalação ou execução inesperada de AnyDesk, TeamViewer, ScreenConnect de contas do Sistema ou fora do horário comercial.

Tipos de ransomware

O ransomware evoluiu para várias categorias distintas, cada uma com comportamentos e métodos de extorsão únicos. Entender esses tipos é crucial para identificar a ameaça:

1. Crypto Ransomware (Criptografadores)

Criptografadores são a variante mais prevalente e prejudicial no cenário de ameaças moderno. Este tipo se infiltra em um sistema e criptografa arquivos valiosos (documentos, fotos, bancos de dados) usando algoritmos de criptografia de nível militar (como AES-256 ou RSA-2048). O conteúdo torna-se completamente inacessível sem a chave de descriptografia exclusiva mantida pelos invasores. Exemplos incluem LockBit, Ryuk e WannaCry.

2. Lockers (Bloqueadores)

Bloqueadores não criptografam arquivos específicos, mas bloqueiam você completamente fora do seu sistema operacional ou interface de usuário. Uma nota de resgate em tela cheia é exibida, geralmente com um cronômetro de contagem regressiva para criar urgência. Embora seus arquivos permaneçam tecnicamente intactos, eles ficam inacessíveis até que o sistema seja desbloqueado. Este tipo era mais comum nas primeiras ondas de ransomware, mas ainda aparece em malware móvel.

3. Scareware

Scareware é um software enganoso que se apresenta como uma ferramenta de segurança legítima. Ele afirma ter detectado vírus inexistentes ou problemas críticos em seu computador e o bombardeia agressivamente com alertas pop-up. Ele exige pagamento por uma "versão completa" para corrigir esses problemas falsos. Alguns scareware agressivos podem bloquear o computador, enquanto outros apenas irritam o usuário para que ele pague.

4. Doxware ou Leakware

Leakware (também conhecido como Doxware) alavanca a ameaça de exposição de dados em vez da perda de dados. Os invasores exfiltram informações pessoais ou corporativas sensíveis e ameaçam publicá-las ou vendê-las na dark web, a menos que um resgate seja pago. Essa tática é particularmente eficaz contra empresas com requisitos de conformidade rigorosos (GDPR, HIPAA) ou indivíduos com dados privados sensíveis. Uma variação é o ransomware com tema policial, que se passa pela polícia para acusar a vítima de atividade ilegal e exige uma "multa" para evitar a prisão.

5. RaaS (Ransomware como Serviço)

Ransomware como Serviço (RaaS) não é um tipo de malware, mas um modelo de negócios que alimenta a economia moderna de ransomware. Desenvolvedores principais profissionais criam a cepa de ransomware e a infraestrutura de pagamento e, em seguida, a alugam para "afiliados" (hackers menos qualificados) que realizam os ataques reais. Os lucros são divididos, com os afiliados geralmente ficando com 70-80% e os desenvolvedores ficando com o restante. Esse modelo levou à explosão de ataques de ransomware ao reduzir a barreira de entrada para cibercriminosos.

Últimos ataques de ransomware

Famílias de Ransomware Ativas em 2025

Os seguintes grupos de ransomware permanecem altamente ativos em 2025, responsáveis pela maioria dos ataques contra organizações em todo o mundo:

  • LockBit 4.0 — Apesar das interrupções da aplicação da lei em 2024, o LockBit ressurgiu com a versão 4.0, incorporando táticas de extorsão DDoS e velocidades de criptografia mais rápidas. Continua sendo uma das operações de ransomware como serviço (RaaS) mais prolíficas, responsável por vários ataques a infraestrutura crítica em 2025.
  • Qilin (Agenda) — Grupo altamente sofisticado visando infraestrutura crítica, incluindo aeroportos e saúde. Responsável pelo ataque ao Aeroporto de Kuala Lumpur (março de 2025, demanda de $10M) e interrupção da Cervejaria Asahi (novembro de 2025). Usa criptografia baseada em Rust e foca em alvos corporativos de alto valor.
  • Rhysida — Operação RaaS ativa visando os setores de saúde, educação e governo. Ataques notáveis em 2025 incluem Sunflower Medical Group (220.968 registros de pacientes) e Maryland Transit Administration (resgate de 30 BTC/$3,4M). Conhecido por tripla extorsão e operações de site de vazamento de dados.
  • Black Basta — Surgiu da dissolução do Conti, empregando campanhas de phishing aprimoradas por IA usando Grandes Modelos de Linguagem (LLMs) para criar ataques de engenharia social convincentes. Foca em alvos corporativos com tempos de implantação rápidos e métodos de infiltração sofisticados.
  • Akira — Um dos grupos mais ativos em 2025, explorando vulnerabilidades de VPN e visando setores de manufatura, saúde e finanças. Usa táticas de dupla extorsão e mantém um site de vazamento ativo. Conhecido por visar vulnerabilidades Cisco VPN e Citrix.
  • Medusa — Responsável por grandes ataques em 2025, incluindo NASCAR (vazamento de dados SSN, resgate de $4M). Opera um modelo RaaS com parcerias de afiliados. Notável por extorsão agressiva em vários estágios, incluindo contato direto com clientes e parceiros das vítimas.
  • Play — Visa infraestrutura crítica e grandes empresas usando técnicas de criptografia intermitente para evitar a detecção. Ativo ao longo de 2025 com ataques a agências governamentais e instituições educacionais. Usa dupla extorsão com site de vazamento dedicado.
  • Cl0p (Clop) — Especialista em exploração de cadeia de suprimentos e dia zero, visando particularmente aplicativos de transferência de arquivos e sistemas ERP empresariais. Responsável pela campanha Oracle E-Business Suite afetando Cox Enterprises e Dartmouth College. Pioneiro em táticas de exploração em massa para contagem máxima de vítimas.
  • ALPHV/BlackCat — Ransomware baseado em Rust conhecido por sua flexibilidade e recursos multiplataforma (Windows, Linux, ESXi). Continua as operações apesar das tentativas de interrupção do FBI. Usa tripla extorsão, incluindo chamadas para clientes e parceiros das vítimas. Notável por seu sofisticado programa de afiliados.
  • Interlock — Responsável pelo ataque à DaVita Healthcare (abril de 2025, 2,7M pacientes, $13,5M perdas). Visa saúde e serviços críticos com criptografia rápida e exfiltração de dados abrangente antes da implantação da criptografia.
  • RansomHub — Operação RaaS de rápido crescimento que atraiu afiliados de operações fechadas. Conhecido por criptografia rápida e suporte multiplataforma. Visa organizações em todos os setores com ênfase na exfiltração de dados antes da criptografia.
  • Fog (Variante Akira) — Usa VPNs SonicWall exploradas para acesso inicial. Visa setores de educação e saúde. Emprega dupla extorsão com infraestrutura de vazamento dedicada. Ligado às operações do Akira, mas opera de forma independente.
  • Scattered Spider (0ktapus) — Grupo sofisticado usando phishing de voz com vozes deepfake geradas por IA para contornar o MFA. Visa provedores de identidade, telecomunicações e empresas de terceirização. Conhecido por sua experiência em engenharia social e campanhas de "vishing".
  • 8Base — Extremamente ativo ao longo de 2025 visando pequenas e médias empresas. Usa dupla extorsão com site de vazamento dedicado. Acredita-se ter conexões com a infraestrutura REvil. Foca em ataques rápidos contra organizações menos protegidas.
  • Cactus — Usa credenciais VPN roubadas e explora vulnerabilidades Fortinet para acesso inicial. Visa setores de manufatura, serviços financeiros e tecnologia. Emprega criptografia sofisticada com métodos exclusivos de exfiltração de dados via túneis SSH.

Operações Extintas: Conti (dissolvido em meados de 2022), Avaddon (fechamento em maio de 2021), Egregor (interrompido em 2021) e Hive (apreendido pelo FBI em 2023) não estão mais ativos, embora suas técnicas e membros tenham migrado para operações mais novas listadas acima.

Read also: PE32 Ransomware

Pagar o resgate é uma solução?

A maioria das receitas que os desenvolvedores de ransomware recebem são usadas para financiar várias atividades ilegais, como terrorismo, outras campanhas de distribuição de malware, tráfico de drogas, etc. Como todos os pagamentos de resgate são feitos em criptomoedas, não há como descobrir a identidade dos bandidos. No entanto, endereços de e-mail às vezes podem apontar para distribuidores de ransomware no Oriente Médio.

Como você já pode concluir, pagar o resgate é igual a participar de atividades ilegais. Claro, ninguém vai culpar você por financiar o terrorismo. Mas não é nada agradável entender que o dinheiro que você ganha com um trabalho honesto é gasto em terrorismo ou drogas. Frequentemente, até mesmo grandes corporações que são chantageadas com ameaças de publicar alguns dados internos não pagam um centavo a esses bandidos.

Como se proteger do ransomware em 2025?

O cenário de ameaças de ransomware em evolução exige uma estratégia de defesa em várias camadas. Com base na análise de ataques de 2025, organizações e indivíduos devem implementar as seguintes medidas de proteção abrangentes:

Controles de Segurança Essenciais

  • Arquitetura Zero-Trust e Segmentação de Rede: Implemente modelos de segurança zero-trust que verifiquem cada solicitação de acesso, independentemente da fonte. Segmente sistemas e dados críticos para limitar o movimento lateral se os invasores violarem o perímetro.
  • Autenticação Multifator (MFA) em Todo Acesso Remoto: Exija MFA para todas as conexões VPN, Remote Desktop Protocol (RDP) e ferramentas de Gerenciamento e Monitoramento Remoto (RMM). Isso evita ataques baseados em credenciais que representam 23% dos incidentes de ransomware.
  • Gerenciamento de Patch Oportuno: Priorize a correção de sistemas voltados para a Internet, incluindo dispositivos VPN, sistemas ERP empresariais (Oracle E-Business Suite, SAP) e plataformas de gerenciamento de conteúdo. 32% dos ataques exploram vulnerabilidades não corrigidas.
  • Testes Trimestrais de Backup: Realize testes regulares de procedimentos de restauração de backup em ambientes isolados. Garanta que os backups sejam armazenados offline ou em armazenamento imutável para evitar que o ransomware os criptografe. Verifique se os Objetivos de Tempo de Recuperação (RTO) atendem aos requisitos de negócios.
  • Detecção e Resposta de Endpoint (EDR): Implante soluções EDR avançadas capazes de detectar técnicas Living-off-the-Land (LotL) e ataques BYOVD (Bring Your Own Vulnerable Driver) que tentam desativar os controles de segurança.

Treinamento de Conscientização para Ameaças de 2025

  • Reconhecimento de Phishing Gerado por IA: Treine os funcionários para identificar tentativas de phishing sofisticadas criadas por Grandes Modelos de Linguagem (LLMs). Enfatize a verificação de solicitações inesperadas, mesmo quando os e-mails parecem escritos profissionalmente e são contextualmente relevantes.
  • Protocolos de Verificação de Chamada de Voz: Estabeleça procedimentos exigindo que os funcionários verifiquem chamadas de voz alegando ser do suporte de TI por meio de canais independentes. A clonagem de voz por IA torna a engenharia social baseada em telefone cada vez mais convincente.
  • Cuidado com Macros e Anexos: Continue a reforçar a conscientização sobre anexos de e-mail, particularmente arquivos do Microsoft Office solicitando a ativação de macros. Apesar de ser um vetor tradicional, o e-mail continua sendo um ponto de entrada de ataque principal (18% dos incidentes).

Medidas de Proteção Avançadas

  • Desativar Exposição RDP Desnecessária: Feche portas RDP externas e exija acesso VPN antes de permitir conexões de área de trabalho remota. Monitore e limite o uso de RDP apenas ao pessoal essencial.
  • Lista Branca de Aplicativos: Implemente políticas de controle de aplicativos que permitam apenas a execução de software aprovado, impedindo a execução de binários de ransomware não autorizados.
  • Gateways de Segurança de E-mail: Implante filtragem de e-mail avançada que pode detectar conteúdo de phishing gerado por IA e colocar em sandbox anexos suspeitos antes da entrega nas caixas de entrada dos usuários.
  • Planejamento de Resposta a Incidentes: Desenvolva e teste regularmente planos de resposta a incidentes especificamente para cenários de ransomware. Inclua procedimentos para isolar sistemas infectados, ativar backups e envolver a aplicação da lei e especialistas em segurança cibernética.

Proteção Anti-Malware

Normalmente, os programas antimalware atualizam seus bancos de dados de detecção todos os dias. O GridinSoft Anti-Malware pode oferecer atualizações de hora em hora, o que diminui a chance de uma amostra de ransomware totalmente nova se infiltrar no seu sistema. No entanto, fazer uso de software antimalware não é uma panaceia. Seria melhor se você fosse cuidadoso em todos os lugares arriscados. Esses são:

  • Mensagens de e-mail. A maioria dos casos de ransomware, independentemente da família, está relacionada a mensagens de e-mail maliciosas. As pessoas costumam confiar em todas as mensagens enviadas por e-mail e não pensam que algo malicioso possa estar dentro do arquivo anexo. Enquanto isso, os cibercriminosos usam essa fraqueza e atraem as pessoas para habilitar macros em arquivos do Microsoft Office. Macros são um aplicativo específico que permite aumentar a interação com o documento. Você pode construir qualquer coisa no Visual Basic e adicioná-la ao documento como macros. Os bandidos, sem pensar duas vezes, adicionam código de ransomware.
  • Utilitários duvidosos e programas não confiáveis. Você pode ver vários conselhos enquanto navega na Web. Fóruns online, redes sociais e redes de compartilhamento - esses lugares são conhecidos como fontes de várias ferramentas específicas. E não há nada de errado com tal software - às vezes as pessoas precisam das funções que não são exigidas (ou aceitas) para a produção corporativa. Tais ferramentas são os chamados keygens para vários aplicativos, ativadores de chave de licença (KMS Activator é um dos mais conhecidos) e utilitários para ajuste de elementos do sistema. A maioria dos mecanismos antimalware detecta esses aplicativos como maliciosos, então você provavelmente desativará o antivírus ou adicionará o aplicativo à lista branca. Enquanto isso, este utilitário pode estar limpo ou infectado com trojans ou ransomware.

Perguntas Frequentes

O que é ransomware e como ele funciona em 2025?
Ransomware é um software malicioso que criptografa arquivos nos dispositivos das vítimas e exige pagamento de resgate por chaves de descriptografia. Em 2025, o ransomware evoluiu para incluir táticas de tripla extorsão (criptografia + roubo de dados + ataques DDoS), phishing aprimorado por IA e tempos de implantação mais rápidos (mediana de 5 dias da intrusão à criptografia). O ransomware moderno usa criptografia AES-256 ou RSA-2048, gerando chaves online exclusivas para cada vítima que são praticamente impossíveis de quebrar sem a chave de descriptografia do invasor.
O ransomware pode se espalhar por Wi-Fi ou conexões de rede?
Sim, o ransomware pode se espalhar por conexões de rede, embora não por Wi-Fi em si. Em ambientes corporativos, os invasores obtêm privilégios de administrador e implantam ransomware em todos os computadores conectados à rede simultaneamente. O malware se espalha por diretórios de rede compartilhados e explora técnicas de movimento lateral. No entanto, usuários domésticos geralmente não podem ser infectados sem primeiro permitir que os invasores acessem seus dispositivos por meio de phishing, downloads maliciosos ou vulnerabilidades exploradas.
Devo pagar o resgate se meus arquivos estiverem criptografados?
Especialistas em segurança e autoridades policiais desaconselham fortemente o pagamento de resgates. Em 2025, apenas 49% das vítimas pagaram resgates (abaixo de 70% em 2024), reconhecendo que o pagamento não garante a recuperação de arquivos e financia operações criminosas, incluindo terrorismo e tráfico de drogas. Além disso, pagar marca você como um alvo lucrativo para ataques futuros. Em vez disso, relate o incidente às autoridades, consulte profissionais de segurança cibernética e tente a recuperação de backups. Organizações com estratégias de backup adequadas podem se recuperar sem pagar, com custos médios de recuperação de $1,53 milhão contra demandas médias de resgate de $2 milhões.
Quais são as formas mais comuns de o ransomware infectar sistemas em 2025?
Em 2025, os principais vetores de infecção são: (1) Exploração de vulnerabilidades (32% dos ataques) visando dispositivos VPN sem patch, CMS desatualizados e sistemas ERP como Oracle E-Business Suite; (2) Credenciais roubadas (23%) obtidas por meio de info-stealers e phishing; (3) E-mails de phishing (18%, acima de 11% em 2024) usando conteúdo gerado por IA que parece altamente legítimo; (4) Ataques à cadeia de suprimentos explorando fornecedores de software e provedores de serviços gerenciados; (5) Armamento de ferramentas RMM legítimas como TeamViewer e AnyDesk. Ataques modernos também empregam phishing de voz com clonagem de voz por IA para enganar funcionários a fornecer códigos MFA.
Como posso proteger meu computador contra ransomware em 2025?
As medidas de proteção essenciais incluem: (1) Implementar arquitetura de confiança zero com segmentação de rede para limitar o movimento lateral; (2) Habilitar autenticação multifator (MFA) em todos os pontos de acesso VPN, RDP e RMM; (3) Manter o gerenciamento de patches oportuno, especialmente para sistemas voltados para a Internet e plataformas ERP; (4) Realizar testes trimestrais de backup com armazenamento offline ou imutável; (5) Implantar soluções de detecção e resposta de endpoint (EDR) capazes de detectar técnicas living-off-the-land; (6) Treinar funcionários para reconhecer phishing gerado por IA e estabelecer protocolos de verificação de chamadas de voz para combater ataques deepfake; (7) Desativar a exposição RDP desnecessária e usar listas brancas de aplicativos; (8) Manter o software antimalware atualizado com atualizações de assinatura de hora em hora, se possível.
O ransomware é um crime e devo denunciá-lo às autoridades?
Sim, o ransomware é um crime cibernético grave punível por leis federais e estaduais. Criar, distribuir ransomware e coletar pagamentos de resgate constituem crimes. Você deve relatar ataques de ransomware às autoridades, embora apenas 40% das vítimas tenham feito isso em 2025 (abaixo de 52% em 2024). Nos Estados Unidos, denuncie ao Internet Crime Complaint Center (IC3) do FBI ou ao escritório local do FBI. Você também pode entrar em contato com a Cybersecurity and Infrastructure Security Agency (CISA). Vítimas internacionais devem entrar em contato com suas unidades nacionais de crimes cibernéticos. A denúncia ajuda as autoridades a rastrear atores de ameaças, recuperar potencialmente chaves de descriptografia e interromper operações criminosas.
Os sistemas Windows modernos são vulneráveis a ransomware?
Todas as versões do Windows permanecem vulneráveis a ataques de ransomware, embora o Windows 11 inclua recursos de segurança aprimorados, como Windows Defender reforçado, isolamento baseado em hardware e segurança aprimorada em componentes sensíveis do sistema. No entanto, os desenvolvedores de ransomware evoluem continuamente suas táticas. Em 2025, 47% dos usuários do Windows encontraram adware ou programas potencialmente indesejados, e os ataques de ransomware aumentaram 46% ano a ano. A vulnerabilidade geralmente decorre do comportamento do usuário (clicar em links de phishing, habilitar macros), sistemas sem patch (32% dos ataques exploram vulnerabilidades) e credenciais roubadas (23% dos ataques), em vez de fraquezas inerentes do Windows. Nenhum sistema operacional é imune – práticas de segurança adequadas e defesa em camadas são essenciais.
O que é ransomware de tripla extorsão?
O ransomware de tripla extorsão, prevalente em 87% dos ataques de 2025, combina três táticas de pressão: (1) Criptografia de arquivos tradicional exigindo resgate para descriptografia; (2) Exfiltração de dados com ameaças de publicar informações confidenciais roubadas em sites de vazamento; (3) Ataques adicionais, como inundação DDoS da infraestrutura da empresa, assédio telefônico a funcionários e suas famílias ou ameaças por SMS. Alguns grupos também exigem 'compensação por interrupção de negócios' pelo tempo de inatividade operacional causado. Essa abordagem multifacetada aumenta a pressão sobre as vítimas para pagar e provou ser muito eficaz para atores de ameaças, embora não tenha aumentado as taxas de pagamento à medida que as organizações melhoram as estratégias de backup e a resiliência.
Arquivos criptografados por ransomware podem ser descriptografados gratuitamente?
Às vezes, mas não há garantia. A descriptografia gratuita é possível se: (1) O ransomware usou uma chave de criptografia offline (compartilhada entre várias vítimas), que os pesquisadores de segurança podem eventualmente quebrar; (2) As autoridades prendem os operadores e apreendem as chaves de descriptografia de seus servidores; (3) A gangue de ransomware libera voluntariamente as chaves (raro, como GandCrab em 2018); (4) Pesquisadores de segurança descobrem falhas na implementação da criptografia. No entanto, o ransomware moderno usando chaves online exclusivas com criptografia AES-256 ou RSA-2048 é praticamente inquebrável sem a chave do invasor. Verifique recursos como o Projeto No More Ransom para descriptografadores disponíveis. O tempo de espera pelas chaves de descriptografia pode variar de semanas a meses ou nunca, tornando as estratégias de prevenção e backup muito mais confiáveis do que esperar pela descriptografia gratuita.
Quais foram os maiores ataques de ransomware em 2025?
Os principais incidentes de 2025 incluem: PowerSchool (dezembro) afetando 62 milhões de registros de estudantes com tentativas repetidas de extorsão; Upbit (novembro) com roubo de criptomoeda de $30,4 milhões pelo grupo Lazarus; Cervejaria Asahi (novembro) impactando 1,5 milhão de clientes e interrompendo as operações; OnSolve/CodeRED (novembre) comprometendo sistemas de alerta de emergência para mais de 12 estados dos EUA; Administração de Trânsito de Maryland (agosto) exigindo 30 BTC ($3,4 milhões); Ingram Micro (julho) perdendo $136 milhões de receita por dia com violação de dados de 3,5 TB; DaVita Healthcare (abril) afetando 2,7 milhões de pacientes com perdas de $13,5 milhões; NASCAR (abril) vazando números de Seguro Social de fãs por resgate de $4 milhões; Aeroporto de Kuala Lumpur (março) com interrupção de mais de 10 horas e demanda de $10 milhões. Esses incidentes demonstram a evolução do ransomware em direção a infraestrutura crítica e alvos de alto valor.

References