O ano de 2026 inicia com números que confirmam uma realidade alarmante no cenário de segurança cibernética: ransomware não apenas persiste como ameaça crítica, mas evolui em sofisticação e alcance de maneira sem precedentes. Apenas em dezembro de 2025, foram registradas 839 vítimas reclamadas por grupos de ransomware, culminando um ano que testemunhou aumento de 58% ano a ano no número total de vítimas. Neste artigo do blog Dolutech, exploramos como dupla extorsão tornou-se padrão operacional, o retorno surpreendente do LockBit e por que identidade emergiu como principal vetor de comprometimento.
Dados compilados por pesquisadores de segurança revelam que 2025 encerrou com impressionantes 7.515 vítimas confirmadas adicionadas a sites de vazamento na dark web, com média semanal de 145 novas organizações comprometidas. O quarto trimestre de 2025 sozinho registrou 2.287 vítimas de ransomware, estabelecendo novo recorde histórico desde que monitoramento sistemático dessas ameaças começou. A análise de múltiplas fontes indica crescimento entre 50% e 58% comparado a 2024, dependendo da metodologia utilizada, mas todos os indicadores convergem para mesma conclusão: estamos enfrentando escalada dramática dessa categoria de ciberataques.
A Evolução da Dupla Extorsão para Estratégia Multivetorial
A tática de dupla extorsão, que combina criptografia de dados com roubo e ameaça de publicação de informações sensíveis, consolidou-se como metodologia padrão em operações de ransomware modernas. Diferentemente de gerações anteriores que simplesmente bloqueavam acesso a arquivos mediante resgate, criminosos contemporâneos implementam estratégia de pressão multifacetada que maximiza probabilidade de pagamento.
O processo típico inicia com exfiltração silenciosa de dados críticos antes da fase de criptografia. Atacantes dedicam tempo significativo identificando informações mais valiosas e sensíveis, incluindo propriedade intelectual, dados financeiros, informações pessoais protegidas por legislações como LGPD e documentos estratégicos confidenciais. Somente após garantir posse dessas informações, grupos executam criptografia em massa que paralisa operações da organização-alvo.
A dupla extorsão cria dilema estratégico para vítimas: mesmo organizações com backups robustos capazes de restaurar sistemas criptografados ainda enfrentam ameaça de exposição pública de dados roubados. Criminosos frequentemente estabelecem prazos agressivos, com contadores regressivos publicados em sites de vazamento, intensificando pressão psicológica e aumentando probabilidade de negociação.
A Dolutech observa evolução para tripla e quádrupla extorsão, onde atacantes adicionam camadas adicionais de coação. Tripla extorsão envolve contato direto com clientes, parceiros ou reguladores da vítima, informando sobre comprometimento e potencial exposição de seus dados. Alguns grupos avançaram para quádrupla extorsão, utilizando ataques DDoS simultâneos para intensificar disrupção operacional e forçar pagamento mais rápido.
LockBit Retorna ao Top 10: Resiliência Criminal em Ação
O ressurgimento do grupo LockBit representa um dos desenvolvimentos mais significativos no cenário de ransomware recente. Após cinco meses de relativa inatividade seguindo operação internacional coordenada de aplicação da lei que visava desmantelar sua infraestrutura, o grupo retornou ao ranking dos dez grupos de ransomware mais ativos em dezembro de 2025, reclamando impressionantes 112 vítimas apenas naquele mês.
A resiliência demonstrada pelo LockBit evidencia limitações de abordagens tradicionais de combate a operações de ransomware. Mesmo após apreensão de servidores, prisões de afiliados e exposição de infraestrutura, o grupo reconstituiu-se rapidamente, lançando versão LockBit 5.0 que incorpora técnicas de evasão mais sofisticadas e funcionalidades aprimoradas para evitar detecção.
A estratégia de retorno incluiu campanha agressiva de recrutamento de novos afiliados através de fóruns clandestinos, oferecendo condições competitivas de participação nos lucros e suporte técnico dedicado. O grupo também implementou programa inédito de bug bounty, incentivando pesquisadores de segurança a identificar vulnerabilidades em sua própria infraestrutura criminosa, demonstrando nível surpreendente de profissionalização.
Análise técnica da versão LockBit 5.0 revela evolução significativa em capacidades de ofuscação, técnicas anti-análise e mecanismos de persistência. O malware demonstra consciência de ambientes virtualizados, adaptando comportamento para maximizar impacto em infraestruturas ESXi e outras plataformas de virtualização corporativas. Essa especialização reflete tendência mais ampla de grupos direcionando camada de infraestrutura onde podem causar disrupção máxima com criptografia de múltiplas máquinas virtuais simultaneamente.
Identidade Supera Vulnerabilidades como Vetor de Acesso Inicial
Uma das mudanças mais significativas no panorama de ransomware é transição de exploração de vulnerabilidades técnicas para comprometimento baseado em identidade como principal vetor de acesso inicial. Dados de 2025 indicam que ataques baseados em identidade representam 60% dos incidentes cibernéticos, superando definitivamente exploração de falhas de software como método preferencial de intrusão.
Essa mudança fundamental reflete várias tendências convergentes. Organizações melhoraram significativamente gestão de patches e redução de superfície de ataque tradicional, tornando exploração de vulnerabilidades mais desafiadora. Simultaneamente, proliferação de ferramentas de roubo de credenciais (infostealers) e marketplace próspero de acessos comprometidos tornaram vetores baseados em identidade mais acessíveis e confiáveis para criminosos.
Ataques contemporâneos frequentemente iniciam com phishing sofisticado impulsionado por inteligência artificial, campanhas de engenharia social altamente personalizadas ou infecção por malware especializado em captura de credenciais. Uma vez obtidas credenciais válidas, atacantes exploram configurações permissivas de acesso, movimentando-se lateralmente através de redes corporativas enquanto mantêm aparência de atividade legítima que evade sistemas de detecção tradicionais.
A eficácia desse vetor é amplificada por reutilização generalizada de senhas entre sistemas corporativos e pessoais. Credenciais roubadas de violações de serviços de consumo frequentemente fornecem acesso inicial a ambientes corporativos, especialmente quando organizações não implementam rigorosamente autenticação multifator em todos os pontos de acesso.
A Ascensão dos Corretores de Acesso Inicial (IABs)
O ecossistema de ransomware profissionalizou-se dramaticamente com emergência de papel especializado: Initial Access Brokers (IABs), ou corretores de acesso inicial. Esses atores dedicam-se exclusivamente a obter acesso não autorizado a redes corporativas, vendendo posteriormente esse acesso a operadores de ransomware e outros criminosos em marketplaces clandestinos.
O modelo de negócio IAB funciona como intermediário eficiente que reduz barreiras de entrada para grupos de ransomware. Em vez de investir recursos significativos em reconhecimento e comprometimento inicial, operadores simplesmente adquirem acesso pronto através de corretores especializados, permitindo focar em expertise principal: implantação rápida de ransomware e extorsão efetiva.
Marketplaces na dark web especializados em vendas de acesso inicial prosperaram em 2025, com listagens detalhadas especificando tipo de acesso disponível (VPN, RDP, webshell), nível de privilégios (usuário padrão, administrador, acesso de domínio), setor da organização-alvo, receita anual estimada e geolocalização. Preços variam dramaticamente baseado em valor percebido do alvo, oscilando de centenas a dezenas de milhares de dólares.
Nós identificamos três métodos primários utilizados por IABs para obtenção de acesso inicial. O primeiro envolve exploração sistemática de credenciais expostas ou fracas em serviços voltados para internet, incluindo portais VPN, servidores RDP e interfaces de administração. O segundo método utiliza infostealers distribuídos através de campanhas maliciosas que coletam credenciais armazenadas em navegadores e aplicações. O terceiro, mais sofisticado, envolve insider threats onde funcionários descontentes ou incentivados financeiramente fornecem acessos legítimos a corretores.
Máquinas Virtuais e Hypervisors: O Novo Campo de Batalha
A infraestrutura de virtualização emergiu como alvo prioritário para grupos de ransomware sofisticados, representando ponto único de falha onde atacantes conseguem maximizar impacto operacional com esforço relativamente contido. Ataques direcionados a ambientes VMware ESXi, Hyper-V e outras plataformas de virtualização cresceram exponencialmente em 2025, refletindo compreensão profunda de arquiteturas corporativas modernas por parte de criminosos.
A lógica estratégica é convincente: em vez de criptografar individualmente centenas ou milhares de servidores físicos, atacantes comprometem hypervisor e criptografam simultaneamente todas máquinas virtuais hospedadas. Uma única execução de ransomware pode paralisar dezenas de aplicações críticas, servidores de banco de dados, sistemas de e-mail e outros componentes essenciais da infraestrutura corporativa.
Grupos como BERT Ransomware desenvolveram funcionalidades específicas para ambientes virtualizados, incluindo comandos para desligar forçadamente máquinas virtuais em execução antes de criptografia, eliminar snapshots que poderiam facilitar recuperação e destruir configurações de backup integradas. Essas capacidades demonstram reconhecimento técnico profundo de tecnologias de virtualização e suas implicações para recuperação de desastres.
Vulnerabilidades em plataformas de virtualização tornaram-se ativos extremamente valiosos no ecossistema criminoso. Microsoft documentou em 2024 exploração ativa de falha em ESXi por múltiplos grupos de ransomware para obter controle administrativo completo sobre hypervisors. Pesquisadores identificaram em janeiro de 2026 possível zero-day sendo explorado por atacantes sofisticados para executar “VM escape” – técnica que permite quebrar isolamento de máquina virtual guest e acessar diretamente hypervisor host.
Exemplo de impacto em ataque a infraestrutura virtualizada:
Organização com 200 servidores físicos hospedando aproximadamente 2.000 máquinas virtuais sofreu comprometimento de cinco hosts ESXi. O ataque resultou em criptografia simultânea de 400 VMs, incluindo controladores de domínio, servidores de aplicação crítica, sistemas de ERP e infraestrutura de comunicação. O tempo estimado de recuperação excedeu três semanas, com custos diretos e indiretos ultrapassando US$ 12 milhões, mesmo sem pagamento de resgate.
Estratégias de Defesa em Profundidade Contra Ransomware Moderno
Proteger organizações contra sofisticação crescente de ataques de ransomware requer abordagem holística que transcende soluções pontuais, abraçando filosofia de defesa em profundidade com múltiplas camadas complementares de proteção. A fundação dessa estratégia reconhece que comprometimento eventual é inevitável, priorizando resiliência e capacidade de recuperação além de prevenção pura.
A primeira camada crítica envolve fortalecimento rigoroso de gestão de identidade e acesso. Implementação obrigatória de autenticação multifator resistente a phishing em todos os pontos de acesso, especialmente serviços voltados para internet como VPN, RDP, webmail e portais administrativos, elimina efetividade de credenciais roubadas como vetor de comprometimento. Soluções baseadas em tokens de hardware ou autenticação biométrica oferecem resistência significativamente superior a métodos baseados em SMS ou aplicativos que podem ser contornados por técnicas adversary-in-the-middle.
Segmentação de rede rigorosa limita capacidade de movimento lateral após comprometimento inicial. Microsegmentação baseada em identidade e contexto, implementada através de arquiteturas Zero Trust, restringe acesso apenas ao mínimo necessário para funções específicas, dificultando dramaticamente progressão de atacantes através de ambientes corporativos. Firewalls internos e listas de controle de acesso granulares previnem comunicação lateral desnecessária entre segmentos de rede.
Monitoramento comportamental contínuo utilizando soluções EDR (Endpoint Detection and Response), NDR (Network Detection and Response) e SIEM (Security Information and Event Management) permite detecção precoce de atividades anômalas características de operações de ransomware. Indicadores incluem enumeração de recursos de rede, acesso a ferramentas administrativas fora de padrões estabelecidos, transferências volumosas incomuns de dados e tentativas de desabilitar soluções de segurança.
Backup Imutável e Air Gap: Última Linha de Defesa
A estratégia de backup evoluiu de função operacional de TI para componente crítico de postura de segurança cibernética. Ransomware moderno rotineiramente identifica e compromete sistemas de backup antes de executar criptografia em massa, eliminando capacidade de recuperação e maximizando pressão para pagamento de resgate. Proteção efetiva de backups requer implementação de imutabilidade e isolamento adequado.
Backups imutáveis utilizam tecnologias que impedem modificação ou deleção de dados após escrita inicial, mesmo por administradores com privilégios elevados. Implementações baseadas em object storage com funcionalidade de Object Lock em modo Compliance oferecem garantias mais fortes contra manipulação, resistindo até a comprometimento de credenciais administrativas. Essa imutabilidade deve estender-se por período suficiente para detecção e resposta a incidentes, tipicamente 30 a 90 dias.
O conceito de air gap refere-se a isolamento físico ou lógico de backups do ambiente de produção, prevenindo que ransomware alcance e comprometa cópias de segurança. Air gap físico envolve desconexão literal de mídia de backup da rede após conclusão de operações, como fitas magnéticas armazenadas offline. Air gap lógico utiliza segmentação de rede extrema, autenticação separada e controles de acesso rigorosos para isolar virtualmente sistemas de backup.
A estratégia 3-2-1 permanece fundacional: manter pelo menos três cópias de dados críticos, em pelo menos dois tipos diferentes de mídia, com pelo menos uma cópia armazenada offsite. Para proteção contra ransomware, essa estratégia deve ser expandida para 3-2-1-1-0: três cópias, dois tipos de mídia, uma offsite, uma imutável ou air-gapped, e zero erros de verificação em testes regulares de restauração.
Checklist de proteção de backup:
Implemente backups imutáveis com períodos de retenção forçados que resistam a modificação administrativa. Configure air gap através de isolamento de rede com autenticação separada e princípio de menor privilégio rigorosamente aplicado. Estabeleça cópias offline rotacionadas regularmente para garantir recuperação mesmo em cenários de comprometimento total de infraestrutura digital. Execute testes de restauração mensais validando integridade de backups e familiarizando equipes com procedimentos de recuperação. Monitore acessos a sistemas de backup identificando atividades anômala que possam indicar tentativas de comprometimento.
Preparação e Resposta a Incidentes: Quando Prevenção Falha
Mesmo as defesas mais robustas podem eventualmente ser superadas por atacantes determinados e bem-financiados. Preparação abrangente para resposta a incidentes de ransomware determina diferença entre recuperação rápida e impacto organizacional devastador. Planos de resposta devem ser documentados, testados regularmente através de exercícios simulados e imediatamente acessíveis durante crises reais.
O playbook de resposta a ransomware deve definir claramente papéis e responsabilidades, incluindo composição de equipe de resposta a incidentes, autoridades de tomada de decisão, contatos de especialistas externos (forenses, legais, comunicação de crise) e critérios para escalação. Procedimentos técnicos devem detalhar isolamento de sistemas comprometidos, preservação de evidências forenses, ativação de backups e coordenação com autoridades policiais.
Exercícios tabletop regulares simulando cenários de ransomware permitem identificar lacunas em planos, familiarizar equipes com procedimentos sob pressão e estabelecer fluxos de comunicação efetivos. Esses exercícios devem envolver não apenas equipes técnicas, mas também liderança executiva, departamentos jurídicos, comunicação corporativa e outras partes interessadas que desempenharão papéis críticos durante incidentes reais.
A decisão sobre pagamento de resgate permanece controversa e complexa. Autoridades de aplicação da lei, incluindo FBI, desencorajam pagamentos argumentando que incentivam criminosos e financiam operações futuras. Entretanto, organizações enfrentando impactos operacionais críticos ou exposição de dados sensíveis podem considerar pagamento como mal menor. Essa decisão deve ser tomada consultando especialistas legais, considerando implicações regulatórias e avaliando realismo de alternativas de recuperação.
O Futuro do Ransomware: Tendências para 2026 e Além
O panorama de ransomware continuará evoluindo em sofisticação e diversificação ao longo de 2026, impulsionado por fatores tecnológicos, econômicos e geopolíticos convergentes. A integração crescente de inteligência artificial em todas as fases de operações criminosas – desde reconhecimento e comprometimento inicial até negociação automatizada de resgates – tornará ataques mais rápidos, escaláveis e difíceis de defender.
Nós antecipamos proliferação de modelos híbridos combinando ransomware tradicional com extorsão pura, onde atacantes focam primariamente em roubo e ameaça de exposição de dados, evitando completamente criptografia disruptiva. Essa abordagem reduz chances de detecção precoce, permite operações mais sigilosas e mantém efetividade de extorsão ao ameaçar danos reputacionais e regulatórios.
A fragmentação contínua do ecossistema de ransomware, com surgimento acelerado de novos grupos seguindo desmantelamento de operações estabelecidas, criará ambiente mais caótico e imprevisível. Cyble documentou 10 novos grupos significativos de ransomware emergindo apenas em 2025, cada um experimentando com táticas, técnicas e modelos de negócio diferenciados. Essa diversificação complica defesa ao eliminar possibilidade de focar recursos em ameaças conhecidas e bem compreendidas.
Conclusão
O ano de 2026 inaugura-se sob realidade inescapável: ransomware evoluiu de ameaça técnica para crise existencial que desafia resiliência operacional, postura financeira e continuidade de negócios de organizações globalmente. Com 839 vítimas somente em dezembro de 2025, crescimento anual de 58% e dupla extorsão consolidada como metodologia padrão, nenhuma organização pode considerar-se imune.
A transição de exploração de vulnerabilidades para comprometimento baseado em identidade como principal vetor de acesso, proliferação de Initial Access Brokers especializados e direcionamento crescente de infraestruturas de virtualização evidenciam sofisticação e profissionalização sem precedentes do ecossistema criminoso. O ressurgimento resiliente do LockBit após operações internacionais de aplicação da lei sublinha limitações de abordagens reativas e necessidade de estratégias defensivas fundamentalmente mais robustas.
Na Dolutech, compreendemos que defesa efetiva contra ransomware moderno transcende soluções tecnológicas pontuais, exigindo transformação cultural, investimento sustentado em capacidades de segurança e reconhecimento de que resiliência – não prevenção absoluta – constitui objetivo realista. Organizações que abraçarem filosofia de defesa em profundidade, priorizarem proteção de identidades, implementarem backups verdadeiramente imutáveis e prepararem-se metodicamente para resposta a incidentes posicionar-se-ão para sobreviver e recuperar-se de ataques inevitáveis que caracterizarão panorama de ameaças nos anos vindouros.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
