A Check Point Software divulgou um relatório que aponta uma mudança relevante no cenário global de ransomware no primeiro trimestre de 2026. Segundo o estudo da Check Point Research, dez grupos criminosos passaram a concentrar 71% de todos os ataques registrados no período, consolidando um mercado mais organizado, especializado e com maior capacidade operacional.
O levantamento mostra que 2.122 organizações tiveram dados publicados em sites de vazamento operados por grupos de ransomware nos três primeiros meses do ano, representando o segundo maior volume já registrado para um primeiro trimestre.
Grupos criminosos ampliam capacidade operacional
De acordo com os pesquisadores, o ransomware deixou de operar apenas por ondas pontuais de ataques e passou a funcionar em um modelo contínuo, com campanhas mais previsíveis, repetitivas e sustentadas por acessos previamente comprometidos.
O grupo Qilin liderou a atividade global pelo terceiro trimestre consecutivo, com 338 vítimas reivindicadas publicamente. Já o grupo The Gentlemen apresentou o crescimento mais acelerado, passando de 40 vítimas no quarto trimestre de 2025 para 166 no início de 2026.
O relatório também aponta o retorno do grupo LockBit entre as operações mais ativas após a retomada parcial de sua infraestrutura, afetada por ações internacionais realizadas em 2024.
Segundo a análise, muitos grupos passaram a priorizar ambientes já comprometidos, vulneráveis ou com credenciais expostas, ampliando o risco para empresas fora dos setores tradicionalmente mais visados.
Brasil aparece entre os países mais afetados
O Brasil entrou na lista dos dez países mais atingidos por ransomware no primeiro trimestre de 2026, concentrando 2% dos casos publicados em sites de vazamento de dados.
Segundo a Check Point Software, o grupo LockBit ampliou sua atuação fora dos Estados Unidos e passou a direcionar ataques para países como Brasil, Itália e Turquia.
Os pesquisadores alertam que os ataques atuais combinam roubo de credenciais, exploração de vulnerabilidades e extorsão baseada em vazamento de dados, elevando os impactos financeiros e reputacionais para as organizações brasileiras.
Ataques ficam mais rápidos e difíceis de interromper
De acordo com o relatório, o cenário atual é marcado pela concentração operacional de grupos mais sofisticados, capazes de acelerar etapas como invasão, movimentação lateral e interrupção de operações críticas.
“Os ataques de ransomware estão mais concentrados em grupos com elevada capacidade operacional, o que amplia significativamente o impacto financeiro e a interrupção das operações para as empresas afetadas. Ao mesmo tempo, o uso crescente de inteligência artificial acelera etapas como acesso inicial, exploração de vulnerabilidades e movimentação dentro das redes corporativas, reduzindo o tempo de reação das organizações diante dos incidentes”, afirma Sergey Shykevich, gerente do grupo de inteligência de ameaças da Check Point Software.
Segundo os pesquisadores, estratégias focadas apenas em resposta a incidentes deixaram de ser suficientes. O relatório recomenda reforço em controles de acesso, segmentação de rede, proteção de identidade e gerenciamento contínuo de exposição.
Zero Trust e IA ganham espaço na defesa corporativa
A análise destaca que boa parte das operações de ransomware começa por ambientes expostos na internet, serviços em nuvem e acessos remotos vulneráveis.
Nesse contexto, a Check Point Software aponta a adoção de arquiteturas integradas de segurança, com uso de Inteligência Artificial e modelos Zero Trust, como parte das principais estratégias para reduzir riscos.
O relatório também reforça a necessidade de ampliar mecanismos de proteção para e-mail, navegadores, aplicações SaaS e endpoints, além de fortalecer a prevenção contra phishing, roubo de credenciais e atividades de comando e controle utilizadas por grupos criminosos.
