O ecossistema global de ransomware passou por transformações expressivas no segundo trimestre de 2025. Segundo relatório da Check Point Research (CPR), divisão de inteligência em ameaças da Check Point Software, cibercriminosos estão adotando inteligência artificial na prática, reestruturando suas operações em modelos semelhantes a cartéis e investindo em táticas de extorsão que vão além da tradicional criptografia de dados.
“No segundo trimestre de 2025, observamos uma mudança clara no cenário de ransomware, menos grupos dominantes de RaaS, queda no número de vítimas expostas publicamente e táticas de extorsão mais sofisticadas. À medida que o ransomware se adapta a um ecossistema fragmentado, é possível que vejamos estratégias de negociação ainda mais agressivas e uma dependência crescente da inteligência artificial (IA) para automatizar e aprimorar todas as etapas do processo de ataque”, afirma Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Software.
Inteligência artificial aplicada: de teoria à prática
A IA generativa deixou de ser apenas um conceito e passou a ser empregada de forma concreta por grupos de ransomware. O relatório aponta campanhas em que ferramentas baseadas em IA foram usadas para criar e-mails de phishing mais convincentes, esconder códigos maliciosos e até imitar o comportamento de vítimas.
O grupo Global Group, também conhecido como El Dorado ou Blacklock, oferece “suporte à negociação com IA” em seus pacotes de Ransomware-como-Serviço (RaaS). Os criminosos utilizam bots para adaptar mensagens com base nas respostas das vítimas, gerar comunicações mais persuasivas e até criar perfis psicológicos para pressionar os tomadores de decisão.
Qilin e a profissionalização da extorsão
Entre os grupos mais ativos do trimestre está o Qilin, que inovou ao incorporar serviços jurídicos no processo de extorsão. A estratégia inclui análise de dados roubados para identificar potenciais violações legais e a preparação de documentos que podem ser enviados a autoridades como Receita Federal, órgãos reguladores e forças policiais.
Cartéis de ransomware ganham força
O modelo de cartel começa a se consolidar no cibercrime. O grupo DragonForce adotou uma estrutura em que afiliados operam de maneira semi-independente, utilizando ferramentas da organização central e mantendo o nome como uma marca registrada. A aliança com o fórum Ramp, um dos principais espaços clandestinos de ransomware, fortaleceu ainda mais sua reputação e visibilidade.
Queda no pagamento de resgates não representa alívio
As taxas de pagamento de resgates caíram entre 25% e 27%, segundo dados da Coveware. Essa redução está associada à maior resiliência das empresas, descrença nas promessas dos criminosos e políticas públicas que desencorajam o pagamento.
Apesar disso, as ameaças se tornam cada vez mais sofisticadas. Entre as novas práticas, destacam-se:
- Extorsão tripla, com criptografia, vazamento de dados e ataques a terceiros;
- Leilões de dados roubados;
- Ataques de negação de serviço (DDoS) direcionados à reputação das empresas.
Ransomware mais fragmentado e difícil de rastrear
O cenário, que antes era dominado por grandes grupos como LockBit e RansomHub, está mais disperso. Muitos desses grupos colapsaram ou encerraram atividades, e outros, como o Cactus, se dividiram. Essa fragmentação deu origem a novos grupos ou rebrands que utilizam códigos vazados com técnicas mais furtivas, dificultando a identificação e a resposta por parte das equipes de cibersegurança.
Brasil entra na mira dos cibercriminosos
O relatório também revela o foco regional das ações de ransomware. O grupo Satanlock, por exemplo, direcionou 14% de suas vítimas a organizações brasileiras, indicando que o país está no radar estratégico dos cibercriminosos.
Outros grupos mantêm atuações regionais intensas. O Safepay concentrou quase 40% de seus ataques na Alemanha, enquanto o Akira teve 10% de suas vítimas localizadas na Itália, significativamente acima da média global de 3%.
No ranking global de ataques, os Estados Unidos lideram com 49% das vítimas, seguidos por Alemanha, Canadá e Reino Unido, com 5% cada. A Itália representa 3% dos casos, e o Brasil aparece com 2%, um percentual modesto, mas que confirma sua relevância no cenário regional.
