A WatchGuard Technologies, líder global em cibersegurança unificada, identificou uma nova evolução nas táticas utilizadas pelo grupo de ransomware DeadLock. Segundo análise realizada pelo WatchGuard Attestation Team, os criminosos passaram a incorporar o próprio portal de vazamento de dados diretamente na nota de resgate em HTML, fortalecendo sua estratégia de dupla extorsão e aumentando a pressão sobre as organizações afetadas.
O grupo DeadLock está ativo desde meados de 2025. Os primeiros registros públicos surgiram em julho daquele ano e, em setembro, pesquisadores identificaram indícios de que a quadrilha havia adotado o modelo de dupla extorsão. Nessa abordagem, além de criptografar os arquivos das vítimas, os criminosos também roubam informações sensíveis e ameaçam divulgá-las caso o resgate não seja pago.
A nova análise da WatchGuard, baseada em uma amostra compilada no início de junho de 2026, revela como essa estratégia passou a ser operacionalizada de forma mais agressiva.
Nota de resgate ganha novas funcionalidades
A investigação confirma comportamentos anteriormente documentados por pesquisadores da Cisco Talos, Group-IB e ThreatScene, incluindo o uso de contratos inteligentes na blockchain Polygon para armazenar endereços proxy e a adoção de um algoritmo proprietário de criptografia de arquivos.
A principal novidade está na evolução da interface utilizada pelos criminosos para interagir com as vítimas.
As primeiras versões da nota de resgate mencionavam apenas a criptografia dos dados. Em seguida, passaram a informar que informações também haviam sido exfiltradas. Posteriormente, os operadores passaram a prometer relatórios de segurança detalhando como o ataque ocorreu, uma prática cada vez mais comum entre grupos de ransomware para conferir credibilidade às ameaças.
Na versão mais recente analisada pela WatchGuard, a nota de resgate em HTML reúne três seções integradas:
About, com informações gerais sobre o incidente e as exigências dos criminosos;
Chat, que oferece um canal autenticado de comunicação entre os operadores e a vítima;
Blog, que reproduz integralmente o portal de vazamento de dados utilizado pelo grupo.
Segundo os pesquisadores, essa funcionalidade permite que as vítimas visualizem imediatamente as publicações realizadas pelos criminosos sem a necessidade de acessar um site externo, tornando a ameaça mais visível durante as negociações.
“A evolução observada no DeadLock mostra como os grupos de ransomware estão refinando continuamente suas estratégias para aumentar a pressão sobre as vítimas e acelerar as negociações. Ao incorporar o portal de vazamento de dados diretamente na nota de resgate, os criminosos eliminam barreiras de acesso às informações roubadas e tornam a ameaça mais imediata e visível. Essa abordagem reforça a importância de as organizações adotarem uma postura proativa de segurança, com monitoramento contínuo, proteção em camadas, gestão de vulnerabilidades e planos de resposta a incidentes bem definidos para reduzir os riscos associados a ataques de dupla extorsão.”, diz Renato Marchi, Sales Engineer Manager LATAM da WatchGuard.
Europa lidera lista de vítimas expostas
A análise identificou que o portal de vazamento do DeadLock possui atualmente 23 páginas de publicações. A maior parte das vítimas divulgadas está localizada na Europa, especialmente na Espanha, Itália, Polônia e Turquia.
Os setores mais afetados são engenharia e manufatura, embora organizações de diferentes segmentos também apareçam entre os alvos divulgados pelo grupo.
Entre as supostas vítimas listadas estão um conglomerado de Angola, uma instituição financeira do Gabão, uma agência governamental de Papua-Nova Guiné, um fabricante de eletrônicos de Taiwan e uma empresa farmacêutica veterinária com atuação internacional.
Outro ponto destacado pela WatchGuard é que o grupo hospeda seu portal de vazamento na internet convencional, sem depender da dark web. A versão atual da nota de resgate em formato TXT contém um link direto para esse portal público.
Vetores de invasão ainda são desconhecidos
Apesar dos avanços na compreensão da operação do DeadLock, ainda existem poucas informações sobre os métodos utilizados para o acesso inicial às redes comprometidas.
Pesquisas anteriores da Cisco Talos apontam o uso de técnicas BYOVD (Bring Your Own Vulnerable Driver) para desabilitar mecanismos de proteção. Já a ThreatScene identificou ferramentas empregadas para movimentação lateral dentro dos ambientes invadidos.
No entanto, os vetores de invasão que dão origem aos ataques continuam desconhecidos.
Crescente sofisticação amplia desafios de defesa
Para a WatchGuard, a evolução observada demonstra como grupos de ransomware seguem aprimorando suas operações para maximizar o impacto dos ataques e aumentar as chances de recebimento dos resgates.
A incorporação do portal de vazamento diretamente na nota de resgate representa mais um exemplo da crescente sofisticação das campanhas de dupla extorsão e reforça a necessidade de estratégias de segurança em múltiplas camadas para proteger organizações contra ameaças avançadas.
