Grupos dominantes concentraram 71,1% das vítimas publicadas em sites de vazamento, enquanto Qilin, Akira, The Gentlemen e LockBit responderam por 41% das ocorrências listadas.
| Componente | Ecossistema de ransomware monitorado por mais de 70 sites de vazamento de dados, com foco em operações RaaS e grupos como Qilin, Akira, The Gentlemen, LockBit, DragonForce, Cl0p e Anubis. |
| Vetor | Comprometimento inicial por acesso pré-posicionado, exploração em massa, credenciais de VPN, dispositivos FortiGate explorados e campanhas associadas a softwares corporativos implantados em múltiplos setores. |
| Impacto | Foram 2.122 vítimas publicadas em DLS no primeiro trimestre de 2026, com concentração de 71,1% nas dez maiores operações e mudança na distribuição geográfica e setorial de vítimas. |
| Prioridade | Revisar exposição externa, corrigir dispositivos de borda, investigar acessos VPN, monitorar publicação de dados em DLS, validar backups e preparar resposta a extorsão com base em grupos dominantes. |
| Versões | A operação The Gentlemen aparece associada a dispositivos FortiGate explorados principalmente via CVE-2024-55591, falha crítica de desvio de autenticação em FortiOS e FortiProxy. |
| Artefatos | The Gentlemen mantém inventário estimado de 14.700 dispositivos FortiGate pré-explorados e 969 credenciais VPN validadas por força bruta; LockBit 5.0 usa extensões aleatórias de 16 caracteres e suporte a Windows, Linux e ESXi. |
O primeiro trimestre de 2026 mostrou uma mudança estrutural no mercado de ransomware: o volume segue elevado, mas a fragmentação observada em 2025 perdeu força. Em janeiro, fevereiro e março foram registradas 732, 684 e 706 vítimas publicadas em sites de vazamento de dados, totalizando 2.122 organizações expostas no trimestre. O número ficou 12,2% abaixo do recorde de 2.416 vítimas do quarto trimestre de 2025, mas ainda representa o segundo maior primeiro trimestre já observado e permanece 117% acima das 977 vítimas registradas no primeiro trimestre de 2024. A média mensal de 707 vítimas indica um patamar operacional sustentado, não um único evento isolado.
A comparação anual bruta indica queda de 7,1% em relação às 2.285 vítimas do primeiro trimestre de 2025, porém esse recorte é distorcido pela campanha de exploração em massa da Cl0p contra ambientes Cleo, que adicionou aproximadamente 390 vítimas em um curto intervalo. Removendo Cl0p dos dois períodos, o primeiro trimestre de 2025 cai para 1.894 vítimas e o primeiro trimestre de 2026 fica em 1.995 vítimas, o que aponta crescimento real de 5,3% na atividade subjacente. O dado operacional mais relevante, portanto, não é uma retração do ransomware, mas a estabilização em escala alta com concentração crescente em operadores mais capazes.
A consolidação aparece na distribuição das vítimas por grupos. As dez maiores operações responderam por 71,1% das vítimas publicadas em DLS, maior concentração desde o primeiro trimestre de 2024. O número de grupos ativos caiu de 85 para 71, enquanto 14 nomes presentes no quarto trimestre de 2025 desapareceram e 21 novos nomes surgiram. A maior parte dos novos operadores publicou menos de 10 vítimas, sinal de que não conseguiu absorver a capacidade operacional deixada por grupos intermediários. Qilin, Akira, The Gentlemen e LockBit concentraram 41% de todas as vítimas, com Qilin sozinho superando a soma dos 50 menores grupos.
Esse fluxo é compatível com um ciclo já conhecido em ransomware: ações policiais, vazamentos internos e rupturas de infraestrutura deslocam afiliados; operadores que preservam marca, painel, capacidade de pagamento e cadeia de negociação absorvem parte dessa mão de obra. Em operações RaaS maiores, há incentivo para manter ferramentas de criptografia e descriptografia funcionais, porque a reputação de recuperação após pagamento sustenta o modelo econômico. Em operadores transitórios, esse incentivo é menor; o caso de Obscura ilustra o risco, pois um erro de criptografia torna arquivos acima de 1 GB irrecuperáveis mesmo com pagamento. Para resposta a incidentes, isso altera a análise de impacto: grupos consolidados podem ter TTPs mais repetíveis, mas também maior maturidade operacional.
The Gentlemen foi o caso de crescimento mais acelerado. A operação saiu de zero vítimas em agosto de 2025 para 166 no primeiro trimestre de 2026, chegando ao terceiro lugar global. O grupo foi criado por um ator conhecido como Hastalamuerte, ex-afiliado da Qilin, após disputa por uma comissão não paga estimada em aproximadamente US$ 48.000. A progressão rápida sugere uso de experiência prévia, ferramentas já conhecidas e estoque de acesso comprometido antes do lançamento público. O ativo mais importante do grupo é um inventário aproximado de 14.700 dispositivos FortiGate pré-explorados, majoritariamente por CVE-2024-55591, além de 969 credenciais VPN validadas por força bruta.
LockBit também voltou a aparecer com força. A operação publicou 163 vítimas no trimestre, crescimento de 106% em relação ao quarto trimestre de 2025, e retornou ao quarto lugar global. O padrão mensal mostra 85 vítimas em janeiro, 33 em fevereiro e 45 em março. Essa queda seguida de recuperação é consistente com reconstrução de base de afiliados, embora a validação de cada alegação publicada em site de vazamento permaneça necessária. O LockBit 5.0, lançado em setembro de 2025 em fórum clandestino, trouxe suporte a Windows, Linux e ESXi, mecanismos de evasão e anti-análise, rotinas de criptografia mais rápidas e extensões de arquivo aleatórias com 16 caracteres para dificultar detecção baseada apenas em assinatura.
A distribuição geográfica reforça que métricas nacionais podem ser dominadas por inventário de acesso, e não apenas por escolha estratégica ampla. Os Estados Unidos ainda concentraram 49,6% das vítimas listadas no ecossistema, mantendo o padrão histórico de maior exposição em economias ocidentais. Mesmo assim, alguns operadores reduziram de forma mensurável a proporção de vítimas norte-americanas. No LockBit, os Estados Unidos passaram a representar 21,2% das vítimas no primeiro trimestre de 2026, enquanto Itália e Brasil chegaram a 8,6% cada, e Turquia a 5,1%. Essa mudança ocorreu ao mesmo tempo em que o volume total do grupo aumentou, sugerindo redirecionamento geográfico ou composição diferente da base de afiliados.
The Gentlemen apresentou perfil ainda mais atípico: apenas 13,3% das vítimas estavam nos Estados Unidos, contra 10,8% na Tailândia, 6,0% no Brasil e 4,2% na Índia. A hipótese técnica mais forte é que a distribuição reflete onde os dispositivos FortiGate já comprometidos estavam disponíveis. Nesse modelo, a seleção de vítima é orientada por acesso pronto, não por preferência setorial ou país previamente escolhido. A entrada da Tailândia no grupo dos dez países mais afetados foi impulsionada quase totalmente por The Gentlemen; sem esse operador, o país provavelmente não apareceria nesse recorte.
A superfície setorial também varia por TTP e por vetor. Cl0p apresentou concentração de 53,5% em serviços empresariais durante campanha relacionada a Oracle EBS, o que indica reflexo do parque instalado do software explorado, não preferência intrínseca por consultorias ou prestadores profissionais. Akira, por outro lado, apareceu mais concentrado em bens de consumo e manufatura industrial, com 23,9% e 17,8%, respectivamente. Esses setores combinam custo alto de paralisação, dependências de cadeia produtiva e ambientes mistos de TI e OT, aumentando pressão para restauração rápida. Anubis se destacou pela participação proporcionalmente maior em saúde e infraestrutura crítica, com 13,0% e 8,7%.
- Organizações com dispositivos
FortiGate,FortiOS,FortiProxyou acessoVPNexposto devem tratar exploração anterior e credenciais válidas como hipóteses de investigação, não apenas como risco futuro. - Ambientes Windows, Linux e ESXi precisam ser incluídos no escopo de ransomware, pois LockBit 5.0 declara suporte multiplataforma e foco em criptografia rápida.
- Empresas brasileiras aparecem em distribuições relevantes de The Gentlemen e LockBit, especialmente quando há infraestrutura de borda exposta ou credenciais remotas reutilizáveis.
O hunting deve partir da premissa de que parte dos acessos usados em 2026 não foi obtida no momento do ataque, mas mantida em estoque por semanas ou meses. Em dispositivos de borda, investigue eventos antigos de autenticação administrativa, criação de contas, alteração de políticas, novos túneis, mudanças de grupos de permissão e autenticações VPN fora do padrão de horário, ASN, país ou perfil de usuário. Para FortiGate, a presença de histórico compatível com exploração de CVE-2024-55591 deve acionar revisão de integridade de configuração, rotação de credenciais e busca por sessões persistentes.
Em endpoints e servidores, a telemetria deve priorizar execução remota, enumeração de domínio, cópia de arquivos sensíveis, compactação, movimentação lateral, desativação de serviços de segurança e alterações massivas de extensão. No caso de LockBit 5.0, extensões aleatórias de 16 caracteres reduzem a utilidade de regras estáticas baseadas em sufixos conhecidos; o sinal mais confiável passa a ser comportamento de I/O, renomeação em volume, acesso concorrente a compartilhamentos, execução em hipervisores ESXi e alteração simultânea de arquivos em múltiplos diretórios.
A camada de inteligência externa também é necessária. Publicações em DLS devem ser acompanhadas por nome jurídico, domínios, subsidiárias, marcas e variações de escrita. Como a contagem de vítimas depende de publicações feitas por criminosos, há risco de duplicidade, reciclagem de alegações e uso de dados antigos para pressão. Mesmo assim, a correlação entre publicação, telemetria interna e contatos de extorsão permite priorizar incidentes reais e diferenciar vazamento confirmado de reivindicação não verificada.
- Autenticações
VPNbem-sucedidas com origem geográfica incomum, usuário legítimo e ausência de MFA efetivo. - Alterações administrativas em dispositivos
FortiGate, regras de firewall, perfis de acesso remoto, contas locais e objetos de política próximos a datas de exposição. - Picos de leitura, compactação e transferência de dados antes de criptografia, principalmente em servidores de arquivos, bancos documentais e repositórios de documentos corporativos.
- Criação de processos em massa, renomeação com extensões aleatórias, parada de serviços de backup e acesso direto a datastores de ESXi.
- Menções da organização, subsidiárias ou domínios em
DLS, canais de negociação ou páginas de pressão associadas a Qilin, Akira, The Gentlemen, LockBit, DragonForce, Cl0p ou Anubis.
A resposta defensiva deve começar por ativos de borda e identidade. Dispositivos FortiGate, FortiOS e FortiProxy expostos precisam ser inventariados, corrigidos, auditados e comparados contra configurações esperadas. Corrigir a falha não remove automaticamente acesso obtido antes da atualização; por isso, rotação de credenciais, invalidação de sessões, revisão de administradores locais, checagem de contas não reconhecidas e validação de logs históricos são etapas obrigatórias. Onde houver VPN, MFA resistente a phishing, restrição por postura de dispositivo e alertas por origem anômala reduzem a utilidade de credenciais já validadas por operadores.
Para ambientes internos, a prioridade é limitar o raio de movimentação lateral e reduzir o valor operacional de um afiliado que já entrou. Segmentação entre estáções, servidores, ambientes de produção, backup e virtualização deve ser testada por caminho de ataque real. Backups precisam ser imutáveis ou isolados, com restauração validada em exercícios, porque a presença de operadores com ferramentas de descriptografia funcionais não garante recuperação e operadores menores podem destruir dados de forma irreversível por falha de implementação. A análise de risco deve incluir extorsão por vazamento, não apenas criptografia.
A governança de resposta deve tratar ransomware como evento de dados, identidade e continuidade ao mesmo tempo. Equipes jurídicas, privacidade, infraestrutura, segurança e comunicação precisam de procedimento definido para evidência, preservação de logs, contato com seguradora, avaliação regulatória e decisão sobre publicação de dados. No plano técnico, execute busca retroativa por indicadores comportamentais, bloqueie credenciais suspeitas, isole sistemas com sinais de preparação de criptografia, preserve imagens de máquinas críticas e monitore reaparecimento de acesso após contenção inicial.
- Aplicar correções em
FortiOSeFortiProxyquando aplicável, revisar exposição de administração remota e investigar sinais compatíveis comCVE-2024-55591. - Rotacionar credenciais
VPN, remover contas não usadas, exigir MFA forte e bloquear autenticações de países ou redes incompatíveis com o perfil operacional. - Validar backups por restauração, proteger repositórios contra exclusão administrativa e separar credenciais de backup das credenciais do domínio.
- Criar detecções comportamentais para enumeração, exfiltração, compactação, renomeação massiva, parada de serviços e acesso anômalo a ESXi.
- Monitorar
DLSpara nomes corporativos e subsidiárias, correlacionando publicações com logs internos antes de classificar a alegação como incidente confirmado.
0 Comentários