Grupos de RaaS reduziram ou encerraram publicações em sites de vazamento, enquanto Qilin, DragonForce e operações focadas em extorsão por dados absorveram afiliados e mudaram a pressão sobre vítimas.
| Componente | Ecossistema de ransomware-as-a-service, sites de vazamento de dados, afiliados de RaaS e plataformas associadas a Qilin, DragonForce, Hunters International, World Leaks, Play, Medusa, Akira, INC Ransom, Lynx e Safepay. |
| Vetor | Comprometimento corporativo seguido de exfiltração de dados, negociação de resgate, publicação em DLS, pressão por canais corporativos e, em alguns casos, uso de criptografia por afiliados ou grupos que ainda mantêm encryptors operacionais. |
| Impacto | Foram observadas 1.607 vítimas novas listadas em mais de 75 plataformas de vazamento no segundo trimestre de 2025, queda em relação às 2.289 do primeiro trimestre de 2025, mas acima das 1.270 registradas no segundo trimestre de 2024. |
| Prioridade | Reforçar detecção de exfiltração, inventariar exposição de dados sensíveis, validar restauração de backups, revisar acessos iniciais e monitorar menções a domínios, marcas e subsidiárias em sites de vazamento e fóruns criminosos. |
| Artefatos | Sites de vazamento de dados, painéis administrativos de RaaS, ferramentas de negociação, recursos de DDoS, spam contra e-mails e telefones corporativos, serviços de OSINT e plataformas de extorsão sem criptografia. |
| Limite de atribuição | A saída ou migração de afiliados entre grupos como RansomHub, Qilin e DragonForce foi inferida por mudanças em volume de vítimas, publicações públicas dos grupos e continuidade operacional, sem confirmação técnica completa para todos os casos. |
O segundo trimestre de 2025 mostrou uma mudança estrutural no mercado criminoso de ransomware. Vários grupos relevantes de ransomware-as-a-service deixaram de publicar novas vítimas ou reduziram visibilidade operacional, incluindo RansomHub, Babuk-Bjorka, FunkSec, BianLian, 8Base, Cactus, Hunters International e LockBit. O efeito técnico não foi o encerramento do risco, mas a redistribuição de afiliados, infraestrutura e modelos de extorsão. A atividade deixou de se concentrar em poucos operadores dominantes e passou a depender de grupos menores, iniciativas de curta duração e plataformas que disputam afiliados sem vínculo fixo.
A métrica de vítimas publicadas em sites de vazamento caiu no período, com 1.607 novas vítimas observadas em mais de 75 plataformas de DLS durante o trimestre. O volume ficou abaixo das 2.289 vítimas do primeiro trimestre de 2025 e incluiu maio e junho como os primeiros meses desde setembro de 2024 com menos de 500 vítimas listadas. A redução não elimina o risco operacional: ela indica que parte dos operadores está evitando exposição pública, migrando para extorsão baseada apenas em dados, alterando regras de seleção de alvos ou operando por canais mais discretos de negociação.
A pressão contra pagamentos de resgate, a redução da confiança em descriptografia, operações policiais internacionais, vazamentos internos de grupos criminosos e melhores estratégias de backup alteraram a economia do ransomware. A taxa global estimada de pagamento ficou em torno de 25% a 27%, o que reduz retorno financeiro para campanhas que exigem grande esforço de intrusão, movimentação lateral, implantação de encryptor e atendimento a vítimas. Esse cenário favorece extorsão por vazamento, porque a ameaça de exposição de dados roubados pode ser acionada sem bloquear todos os sistemas da organização e com menor ruído técnico em endpoints.
A cadeia operacional mais comum continua começando por acesso inicial, elevação de privilégio, descoberta interna e coleta de dados, mas o objetivo final vem mudando. Em campanhas orientadas por criptografia, o operador precisa atingir massa crítica de servidores, estáções e compartilhamentos, desabilitar controles, propagar binários e manter capacidade de negociação. Em operações focadas em exposição de dados, o atacante concentra esforço na identificação de repositórios com valor extorsivo, como documentos jurídicos, arquivos financeiros, dados pessoais, informações de clientes, bases de saúde, caixas postais e compartilhamentos de engenharia. A exfiltração passa a ser o evento central, e não apenas uma etapa auxiliar antes da criptografia.
Qilin se destacou no trimestre ao quase dobrar sua média mensal de vítimas listadas, passando de cerca de 35 para quase 70 após o desaparecimento operacional do RansomHub no início de abril de 2025. O grupo mantém modelo de RaaS com painel administrativo, encryptor, infraestrutura de negociação e suporte a afiliados. A plataforma também passou a promover recursos para elevar pressão sobre vítimas, incluindo capacidades integradas de DDoS, consultoria de negociação, spam contra canais corporativos e preparação de reclamações regulatórias a partir dos dados roubados. Esses recursos transformam incidentes de ransomware em campanhas de exposição pública, pressão jurídica e interrupção reputacional.
DragonForce apresentou outro caminho de consolidação. O grupo já listava mais de 250 vítimas desde o fim de 2023 e evoluiu de operação fechada para modelo de recrutamento de afiliados. Em 2025, promoveu um formato de cartel com operação white label, permitindo que afiliados usem infraestrutura do grupo sob nomes e marcas próprios. Essa arquitetura dificulta correlação defensiva baseada apenas em nome de grupo, porque a mesma base operacional pode sustentar múltiplas identidades públicas. Após o desaparecimento do RansomHub, DragonForce afirmou ter absorvido parte de sua operação, mas o crescimento observado em abril e junho deve ser tratado como indicador de migração possível, não como prova completa de continuidade técnica.
Hunters International seguiu a tendência de reduzir criptografia e lançou World Leaks como plataforma para extorsão baseada exclusivamente em dados. O grupo havia testado mecanismos de pressão como envio de e-mails em massa para contatos da vítima e serviços de OSINT terceirizados. Depois, passou a limitar visibilidade interna do incidente, evitando notas de resgate em todos os endpoints e comunicações amplas dentro da vítima. O modelo procura reduzir alarme operacional, limitar resposta coordenada e concentrar negociação com executivos ou lideranças, enquanto mantém ameaça de publicação de dados como principal alavanca financeira.
A distribuição geográfica manteve concentração em economias ocidentais e organizações percebidas como capazes de pagar resgates. Os Estados Unidos responderam por aproximadamente metade das vítimas publicadas no trimestre. A Alemanha continuou com atividade expressiva, incluindo 76 vítimas no período, com Safepay reivindicando quase 40% desse subconjunto. A Itália apareceu como foco proporcionalmente maior para Akira, com 10% das vítimas do grupo no país, acima da participação italiana no ecossistema geral. No Brasil, Satanlock apresentou concentração incomum: 9 de suas 36 vítimas listadas no trimestre eram brasileiras, equivalentes a 14% do total do grupo.
Por setor, não houve uma vertical única dominando toda a amostra, mas saúde e organizações médicas permaneceram atraentes por armazenarem grande volume de dados pessoais sensíveis. Entidades de saúde representaram quase 8% das vítimas publicadas no trimestre. INC Ransom teve peso específico nessa área: quase um terço de suas vítimas listadas eram do setor médico ou de saúde, e o grupo respondeu por quase 17% das divulgações relacionadas a saúde no trimestre. Esse padrão indica que ambientes com prontuários, dados de pacientes, contratos de fornecedores, informações de seguros e sistemas legados seguem expostos tanto a criptografia quanto a extorsão por dados.
A exposição não se limita a servidores de arquivos. Ambientes de Microsoft 365, Google Workspace, VPNs, sistemas de backup, repositórios Git, ferramentas de help desk, ERPs, bases de CRM, storage S3 compatível, appliances de acesso remoto e plataformas de transferência de arquivos devem ser tratados como superfícies de ransomware. A mudança para vazamento de dados amplia a criticidade de logs de download, permissões excessivas, tokens persistentes, contas de serviço e integrações de terceiros. Mesmo sem criptografia, a retirada silenciosa de dados pode gerar obrigação regulatória, perda contratual e pressão pública.
- Organizações listadas em DLS e entidades com marcas semelhantes devem monitorar variações de nome, subsidiárias, domínios antigos e nomes comerciais em publicações criminosas.
- Setores com dados pessoais sensíveis, especialmente saúde, jurídico, educação privada, serviços financeiros e fornecedores corporativos, exigem controles de exfiltração e revisão de permissões em compartilhamentos.
- Ambientes com backup imutável não devem reduzir prioridade de prevenção de vazamento, porque extorsão por exposição de dados não depende da indisponibilidade dos sistemas.
- Operações white label e migração de afiliados reduzem a confiança em atribuição baseada apenas no nome exibido no site de vazamento.
A telemetria defensiva deve priorizar sinais de preparação para exfiltração e negociação, não apenas execução de encryptor. Em endpoints e servidores, procure compressão anormal de diretórios grandes, uso incomum de ferramentas nativas para arquivamento, varredura de compartilhamentos administrativos, enumeração de domínio, consultas massivas a diretórios e leitura sequencial de arquivos fora do perfil normal do usuário. Em identidade, revise autenticações impossíveis, criação de contas temporárias, adição a grupos privilegiados, consentimentos OAuth incomuns, uso de contas antigas reativadas e alteração de MFA perto de janelas de movimentação lateral.
Em rede e cloud, indicadores úteis incluem picos de upload para serviços de armazenamento, conexões persistentes para VPSs recém-criados, uso de ferramentas de sincronização fora do padrão corporativo, tráfego TLS volumoso a partir de servidores que não realizam transferência externa e transferências de dados fora do horário operacional. Logs de proxy, EDR, CASB, DLP e provedores de identidade devem ser correlacionados com alterações em permissões de arquivos. Em ambientes híbridos, uma conta comprometida pode extrair dados de SaaS sem tocar endpoints monitorados por EDR tradicional.
Para organizações citadas ou parecidas com vítimas em DLS, a validação precisa ir além de buscas por nome exato. Grupos de ransomware frequentemente publicam nomes truncados, marcas comerciais, screenshots, amostras de diretórios e referências a domínios. A resposta deve verificar se os artefatos publicados correspondem a dados internos, se há timestamps compatíveis com acessos recentes e se os nomes de arquivos revelam sistemas de origem. Quando a publicação for falsa ou inflada, a organização ainda deve preservar evidências e documentar a análise, porque falsas reivindicações podem ser usadas para pressão contra clientes, parceiros e mídia.
- Uploads volumosos ou fora de perfil a partir de servidores de arquivos, controladores de domínio, hosts de backup, gateways VPN e estáções administrativas.
- Execução de ferramentas de compactação, sincronização ou transferência em contas de usuário que normalmente não operam grandes volumes de dados.
- Consultas extensas a compartilhamentos SMB, repositórios documentais, caixas postais, diretórios financeiros e bases de dados de clientes antes de contato de extorsão.
- Acesso a painéis de administração, desativação de alertas, alteração de políticas de retenção, exclusão de snapshots ou falhas sucessivas em MFA associadas a contas privilegiadas.
- Menções a nomes corporativos, domínios, subsidiárias, executivos e clientes em DLS, fóruns criminosos e canais de negociação.
A resposta defensiva deve começar pela redução de impacto de exfiltração. Classifique dados sensíveis, limite permissões por necessidade real, remova acessos herdados em compartilhamentos antigos e aplique autenticação forte a VPN, SaaS, painéis administrativos e contas de serviço interativas. Backups continuam essenciais contra criptografia, mas não resolvem vazamento. Para ransomware moderno, a organização precisa combinar restauração validada, segmentação, EDR, proteção de identidade, DLP, registro de auditoria em SaaS e capacidade de preservar evidências sem depender da cooperação do invasor.
Planos de incidente devem considerar cenários em que não há encryptor implantado. Um ataque pode se manifestar apenas como contato com diretoria, ameaça de denúncia regulatória, envio de mensagens a funcionários, pressão contra clientes ou publicação parcial de arquivos. O fluxo de resposta precisa incluir jurídico, privacidade, comunicação, segurança, continuidade de negócios e responsáveis por fornecedores. A análise técnica deve determinar quais identidades foram usadas, quais repositórios foram acessados, qual volume saiu do ambiente e se ainda existe persistência. A negociação, quando existir, não substitui investigação forense nem rotação de credenciais.
Para organizações com exposição confirmada, contenção exige revogação de sessões, troca de segredos, invalidação de tokens, revisão de chaves de API, reset de contas privilegiadas e verificação de persistência em tarefas agendadas, serviços, regras de encaminhamento de e-mail, aplicativos OAuth e appliances de borda. Em cloud, valide buckets, snapshots, logs de auditoria, políticas IAM e contas externas. Em endpoints, procure ferramentas de acesso remoto não autorizadas, binários compactadores, scripts de descoberta e artefatos de staging. Após contenção, execute lições aprendidas voltadas a caminhos reais de acesso, não apenas a assinatura do grupo que reivindicou o ataque.
- Ativar e revisar logs de auditoria para identidade, SaaS, EDR, proxy, VPN, storage, buckets e ferramentas de transferência de arquivos.
- Testar restauração de backups críticos e aplicar imutabilidade, segregação de credenciais e alertas para exclusão de snapshots ou alteração de retenção.
- Aplicar menor privilégio em compartilhamentos, repositórios, caixas postais, consoles administrativos e contas de serviço com acesso a dados sensíveis.
- Criar processo de monitoramento de DLS para nomes corporativos, subsidiárias, domínios e marcas, com validação técnica de amostras publicadas.
- Rotacionar credenciais, tokens e chaves expostos ou acessíveis por contas comprometidas, incluindo segredos em pipelines, repositórios e ferramentas de automação.
- Preparar playbooks específicos para extorsão sem criptografia, incluindo preservação de evidências, comunicação com partes afetadas e avaliação de obrigação regulatória.
0 Comentários