Mais de 85 sites de vazamento registraram 1.592 vítimas no trimestre, enquanto afiliados migraram para operações menores, Qilin ampliou atividade e LockBit 5.0 voltou com variantes para Windows, Linux e ESXi.
| Componente | Ecossistema de ransomware com dupla extorsão, sites de vazamento de dados, programas RaaS e operadores como Qilin, LockBit 5.0, Akira, INC Ransom, Play, Safepay, DragonForce, Warlock e The Gentlemen. |
| Vetor | Intrusões conduzidas por afiliados com exfiltração de dados, implantação de criptografia e pressão por publicação em sites de vazamento; a fragmentação ocorre após interrupções ou dormência de grandes marcas RaaS. |
| Impacto | 1.592 novas vítimas publicadas em sites de vazamento no terceiro trimestre de 2025, volume próximo ao trimestre anterior e 25% acima do terceiro trimestre de 2024, com exposição recorrente de dados corporativos e interrupção operacional. |
| Prioridade | Priorizar redução de exposição inicial, monitoramento de exfiltração, preparação de resposta a ransomware, proteção de ESXi e validação de restauração sem depender de promessa de descriptografia dos operadores. |
| Artefatos | Sites de vazamento de dados, notas de resgate do LockBit 5.0 com identificador individual, portais privados de negociação, fóruns RAMP e XSS, painéis de afiliados e extensões aleatórias de 16 caracteres em arquivos cifrados. |
| Mitigação | Revisar controles de identidade e acesso remoto, segmentar infraestrutura de virtualização, bloquear caminhos de exfiltração, testar backups offline, acionar retenção de logs e preparar hunting por atividade de staging e negociação. |
A atividade de ransomware no terceiro trimestre de 2025 permaneceu em patamar elevado, com 1.592 novas vítimas listadas em mais de 85 sites de vazamento de dados acompanhados no período. O número ficou muito próximo das 1.607 vítimas do segundo trimestre de 2025, mas superou de forma relevante as 1.270 vítimas do terceiro trimestre de 2024. Na prática, o ritmo observado ficou entre aproximadamente 520 e 540 organizações publicadas por mês, indicando estabilidade operacional em um nível historicamente alto, não uma retração efetiva da ameaça.
O dado mais importante para defesa não é apenas o volume total, mas a mudança estrutural do mercado criminoso. A concentração em grandes programas de ransomware como serviço diminuiu, enquanto operadores menores passaram a publicar vítimas de forma independente ou por marcas recém-criadas. Dos 85 sites de vazamento acompanhados, 47 grupos publicaram menos de dez vítimas no trimestre. Esse padrão sugere uma dispersão de afiliados que antes dependeriam de plataformas maiores e agora conseguem operar com infraestrutura própria de vazamento, negociação e pressão pública.
A fragmentação também aparece na participação dos grupos mais ativos. No primeiro trimestre de 2025, os dez principais operadores concentravam 71% das publicações em sites de vazamento. No segundo trimestre, essa fatia caiu para 63%. No terceiro trimestre, chegou a 56%. Ao mesmo tempo, 14 novos grupos começaram a publicar vítimas apenas no terceiro trimestre, elevando para 45 o total de novos atores observados ao longo de 2025. Para equipes de defesa, isso reduz a utilidade de acompanhar somente marcas tradicionais, porque afiliados, ferramentas e procedimentos podem reaparecer sob nomes diferentes sem que o fluxo de intrusão mude de forma proporcional.
A pressão policial sobre grandes plataformas afetou marcas, painéis e administradores, mas não eliminou a capacidade de execução dos afiliados. Quando uma operação RaaS é encerrada, fica inativa ou perde reputação, os operadores que realizam acesso inicial, movimentação lateral, exfiltração e implantação de criptografia tendem a migrar para outro programa ou lançar um site de vazamento próprio. Esse comportamento ajuda a explicar por que a média mensal subiu de cerca de 420 vítimas no segundo e terceiro trimestres de 2024 para aproximadamente 535 no mesmo intervalo de 2025.
O fluxo dominante continua sendo a dupla extorsão. A intrusão inicial não é detalhada para todos os casos, mas o modelo operacional inferido pelas publicações envolve acesso ao ambiente da vítima, coleta e exfiltração de dados, preparação de pressão pública e, quando viável, criptografia de servidores, estáções ou infraestrutura virtualizada. O site de vazamento atua como mecanismo de coerção: a vítima recebe acesso a um portal de negociação e enfrenta ameaça de publicação caso não pague no prazo definido pelo operador. A eficácia desse modelo depende menos de uma vulnerabilidade única e mais da combinação de credenciais comprometidas, contas com privilégios excessivos, ausência de segmentação e baixa visibilidade sobre transferência de dados.
Qilin foi o operador mais ativo no trimestre, com média aproximada de 75 vítimas por mês, acima das 36 registradas no primeiro trimestre de 2025. O aumento coincide com a saída de afiliados de programas como RansomHub e BianLian, atraídos por uma divisão financeira descrita como elevada, entre 80% e 85% para o afiliado. O modelo separa responsabilidades: o afiliado conduz intrusão e exfiltração, enquanto a marca fornece infraestrutura, site de vazamento, negociação e coordenação. Essa divisão cria escala, porque operadores com diferentes níveis técnicos podem reutilizar a camada de extorsão de uma marca conhecida sem construir toda a operação.
LockBit voltou a aparecer como vetor relevante com o lançamento do LockBit 5.0 em setembro de 2025. A versão nova substituiu compilações 4.0 ainda vistas até abril de 2025 e passou a ser oferecida a novos afiliados mediante depósito em Bitcoin de cerca de US$ 500 para acesso ao criptografador e a um painel atualizado. Mais de 15 vítimas distintas foram identificadas após o anúncio. Diferentemente de operações que publicam rapidamente seus alvos, a atividade inicial do LockBit 5.0 manteve controles operacionais mais fechados: interfaces de afiliado exigem credenciais individualizadas e as vítimas não foram imediatamente listadas no site público de vazamento.
A nota de resgate do LockBit 5.0 passou a se identificar explicitamente como LockBit 5.0 e inclui um identificador pessoal usado para acesso a um portal privado de negociação. O prazo relatado para publicação de dados roubados é de 30 dias. A família apresenta variantes para Windows, Linux e ESXi, com infecções confirmadas majoritariamente em Windows e cerca de 20% voltadas a infraestrutura ESXi. A nova geração também introduz mecanismos reforçados de evasão e anti-análise, rotinas de criptografia mais rápidas e extensão de arquivo aleatória de 16 caracteres, recurso que dificulta detecções baseadas apenas em extensões fixas ou indicadores simples.
A superfície afetada é ampla porque o trimestre não aponta uma única tecnologia vulnerável, mas um ecossistema de extorsão que seleciona vítimas por capacidade de pagamento, sensibilidade de dados e custo de indisponibilidade. Organizações nos Estados Unidos responderam por aproximadamente metade dos casos publicados, mantendo a concentração em economias com maior probabilidade percebida de pagamento. O LockBit 5.0 teve cerca de 65% dos ataques identificados contra organizações norte-americanas, com o restante distribuído entre México, Indonésia e países europeus.
A distribuição setorial também manteve padrões conhecidos. Manufatura industrial e serviços empresariais representaram cerca de 10% cada um das tentativas de extorsão, combinando alta dependência operacional com dados comerciais, financeiros ou regulados. Saúde e organizações médicas permaneceram em torno de 8% das vítimas listadas publicamente, o que confirma exposição contínua, embora esses alvos também gerem maior pressão policial e reputacional contra os operadores. O risco para esses ambientes não se limita à cifragem: a publicação de prontuários, contratos, dados de funcionários e documentos financeiros pode criar obrigações legais e custos prolongados de resposta.
A Coreia do Sul teve aumento incomum no período, chegando à sétima posição entre os países mais afetados. O pico foi associado quase integralmente a Qilin, que listou 30 vítimas sul-coreanas, 28 delas entre agosto e setembro de 2025. Entre esses casos, 23 estavam no setor financeiro. A concentração foi atribuída publicamente a um servidor de nuvem comprometido operado por uma contratada de TI que atendia múltiplos fundos de private equity de médio porte, o que demonstra como fornecedores e ambientes compartilhados podem amplificar uma campanha sem exigir intrusões separadas em cada organização final.
DragonForce ampliou presença por meio de propaganda, recrutamento e serviços complementares de extorsão. O grupo declarou uma suposta coalizão com Qilin e LockBit em fórum criminoso, mas não houve evidência verificada de infraestrutura compartilhada ou operação conjunta. Mesmo assim, a marca publicou 56 vítimas no terceiro trimestre e promoveu um serviço de análise de dados roubados para afiliados que obtivessem mais de 300 GB de informações de empresas com receita anual superior a US$ 15 milhões. O objetivo técnico desse serviço é selecionar documentos comerciais, financeiros e estratégicos com maior poder de coerção durante a negociação.
- Sites de vazamento de dados usados por mais de 85 grupos ou marcas ativas no trimestre.
- Ambientes Windows, Linux e ESXi expostos à nova geração
LockBit 5.0. - Setores com alto custo de indisponibilidade, incluindo manufatura, serviços empresariais, saúde e serviços financeiros.
- Organizações dependentes de contratadas de TI, infraestrutura de nuvem compartilhada e acessos administrativos de terceiros.
- Países com maior concentração observada: Estados Unidos em aproximadamente metade dos casos, além de campanhas relevantes em Coreia do Sul, Alemanha, Reino Unido, Canadá e outros mercados desenvolvidos.
A caça deve partir do princípio de que a publicação no site de vazamento é uma etapa tardia. Antes disso, a organização precisa procurar sinais de acesso inicial, reconhecimento, coleta de dados, compactação, transferência externa e preparação de criptografia. Logs de identidade devem ser correlacionados com VPN, acesso remoto, provedores de identidade, criação de tokens, alterações de MFA, logons fora de padrão e uso de contas de serviço em horários incomuns. Em ambientes com fornecedores, a análise deve separar ações esperadas da contratada de eventos que indicam movimentação para clientes, cofres de segredos, buckets, compartilhamentos de arquivos e consoles administrativos.
Em endpoints e servidores, a telemetria deve priorizar execução de ferramentas de enumeração, descoberta de domínio, varredura de compartilhamentos, cópia em massa, compressão de diretórios sensíveis e uso anômalo de utilitários administrativos. A ausência de um IoC único para todos os grupos torna importante detectar comportamentos, não apenas nomes de famílias. Para LockBit 5.0, a presença de notas identificadas como LockBit 5.0, extensões aleatórias de 16 caracteres aplicadas em massa e acesso a portal de negociação por identificador individual são artefatos relevantes depois da execução, mas não substituem a detecção prévia de staging e exfiltração.
Em infraestrutura ESXi, o hunting precisa cobrir acessos ao plano de gerenciamento, sessões SSH não usuais, alterações em snapshots, desligamento de máquinas virtuais, execução de binários não autorizados no host e manipulação de datastores. Como cerca de 20% das infecções confirmadas do LockBit 5.0 envolveram ESXi, a visibilidade em hipervisores deve ser tratada como requisito de resposta a ransomware, não como exceção. Logs de vCenter, autenticação administrativa e transferências de arquivos entre hosts podem indicar preparação de cifragem em escala.
A telemetria de rede deve buscar egress incomum para destinos não usuais, transferência volumosa antes de janelas de manutenção, uso de ferramentas de sincronização fora do inventário e conexões persistentes para infraestrutura controlada por terceiros. Em repositórios, CI/CD e armazenamento de documentos, a atenção deve se concentrar em downloads de massa, criação de arquivos compactados, leitura de segredos, exportação de bancos de dados e uso de contas com escopo acima do necessário. Publicações em sites de vazamento também devem alimentar processos de inteligência, mas a resposta não pode depender apenas de monitoramento externo.
- Aumento súbito de leitura, cópia ou compactação de diretórios financeiros, jurídicos, RH, P&D e dados de clientes.
- Logons administrativos fora de padrão em VPN, IdP, RDP, VDI, vCenter, consoles de nuvem e ferramentas de suporte remoto.
- Execução de descoberta de domínio, enumeração de compartilhamentos e varredura de hosts a partir de contas que normalmente não realizam administração ampla.
- Transferência de grandes volumes para destinos externos, especialmente antes de criptografia ou indisponibilidade percebida.
- Notas de resgate com referência a
LockBit 5.0, identificadores individuais de negociação e arquivos renomeados com extensões aleatórias de 16 caracteres. - Novas entradas de vítimas em sites de vazamento relacionadas a fornecedores, contratadas de TI ou parceiros com acesso ao ambiente da organização.
A resposta defensiva deve considerar que a fragmentação de RaaS aumenta a incerteza sobre reputação, suporte de descriptografia e previsibilidade de negociação. Estimativas de pagamento entre 25% e 40% dos ataques indicam redução de confiança no cumprimento das promessas dos operadores, especialmente em grupos menores e temporários. Portanto, a mitigação primária continua sendo capacidade própria de recuperação: backups imutáveis ou offline, testes frequentes de restauração, inventário de sistemas críticos e procedimentos de reconstrução de identidade, virtualização e serviços de diretório.
A primeira linha de redução de risco envolve identidade e acesso. Contas privilegiadas devem usar MFA resistente a phishing quando disponível, senhas únicas, escopo mínimo, separação entre administração de estáções, servidores, nuvem e virtualização, além de revisão de acessos de fornecedores. Contas de serviço precisam de rotação controlada, inventário de dependências e bloqueio contra uso interativo quando possível. Em ambientes com contratadas de TI, cada organização deve exigir segregação de tenants, trilhas de auditoria exportáveis, notificação de incidentes, revisão de chaves e comprovação de controles de acesso.
Para infraestrutura virtualizada, hosts ESXi e vCenter devem receber endurecimento específico: limitar acesso administrativo por rede, bloquear SSH permanente quando não houver necessidade, monitorar alterações críticas, manter correções aplicadas e impedir que uma credencial única permita desligar ou cifrar todo o ambiente. Backups de máquinas virtuais devem ser isolados das credenciais do domínio principal. A restauração também precisa ser testada contra cenários de perda de vCenter, corrupção de datastores e indisponibilidade simultânea de servidores de identidade.
A contenção durante um incidente deve preservar evidências antes de ações irreversíveis. Desconectar sistemas com exfiltração ativa, revogar sessões, suspender contas comprometidas e bloquear rotas de saída são medidas prioritárias, mas devem ser acompanhadas de captura de logs de identidade, EDR, firewall, proxy, DNS, VPN, vCenter, armazenamento e nuvem. Depois da contenção, a organização deve determinar escopo de dados acessados, sistemas cifrados, caminhos de movimentação lateral e possíveis fornecedores afetados. A comunicação regulatória e com clientes deve se basear em dados confirmados, não em declarações dos extorsionários.
A validação final precisa fechar o ciclo operacional. Isso inclui busca por persistência, contas criadas durante a intrusão, chaves de API expostas, tokens de nuvem, regras de encaminhamento de e-mail, tarefas agendadas, agentes remotos e túneis. Regras de detecção devem ser atualizadas para comportamento observado, não apenas para a marca do ransomware. Como afiliados podem migrar entre Qilin, LockBit, DragonForce, INC Ransom, Play ou operações menores, a defesa deve mapear técnicas de intrusão e exfiltração reutilizáveis, mantendo inteligência de marca como camada complementar.
- Testar restauração de sistemas críticos a partir de backups isolados e registrar tempo real de recuperação por serviço.
- Revisar MFA, contas privilegiadas, contas de serviço e acessos de fornecedores com foco em abuso de identidade.
- Segmentar redes administrativas, servidores de arquivos, ambientes ESXi, backups e consoles de nuvem.
- Monitorar e bloquear exfiltração volumosa por proxy, firewall, CASB, armazenamento em nuvem e ferramentas de sincronização não aprovadas.
- Manter retenção suficiente de logs de IdP, EDR, VPN, DNS, proxy, vCenter, nuvem e armazenamento para reconstrução da cadeia de intrusão.
- Preparar playbooks para sites de vazamento, incluindo verificação de dados expostos, preservação de evidências, comunicação jurídica e decisões de contenção.
0 Comentários