Ransomware ganha espaço mas grupos perdem coesão

O ecossistema de ransomware entrou em uma nova fase no último trimestre, alterando significativamente o equilíbrio de poder tradicional. Anteriormente, o mercado dependia de grandes empresas com infraestruturas robustas, mas agora se fragmentou em dezenas de grupos menores que surgem, desaparecem e reaparecem sob nomes diferentes. Em meio a essa desunião, uma das marcas mais conhecidas, a LockBit , ressurgiu.

Leia também
Ataque do Lockbit paralisa governo da Indonésia
Nova variante do LockBit integra recursos de autopropagação

Segundo a Check Point Research, foram observados 85 grupos ativos no terceiro trimestre de 2025, o maior número já registrado. Em vez de alguns poucos serviços dominantes, surgiu uma rede de grupos menores, após as falhas de projetos como RansomHub, 8Base e BianLian. Quase 1.600 vítimas foram identificadas em vazamentos ao longo de três meses, com os dez grupos mais ativos responsáveis ​​por pouco mais da metade de todos os casos. Essa tendência sugere que muitos ataques são realizados por operadores independentes, sem vínculo com marcas conhecidas.

A fragmentação reduz a previsibilidade. Quando grandes serviços controlavam o mercado, especialistas podiam analisar métodos repetitivos, infraestrutura e comportamento dos operadores. Agora, sites de vazamento temporários são comuns, tornando a atribuição pouco confiável. Essa situação é agravada pelo fraco impacto das operações policiais : o fechamento de domínios e a apreensão de equipamentos raramente afetam os autores dos ataques. Aqueles que escapam desses ataques migram rapidamente para outras plataformas ou criam as suas próprias.

A confiança em ataques de ransomware também está diminuindo. Pequenas equipes não têm interesse em manter sua reputação e frequentemente falham em cumprir as promessas de recuperação de dados. As taxas de resgate continuam caindo, pois as vítimas duvidam cada vez mais que a descriptografia realmente ocorrerá após a transferência dos fundos.

Em meio ao cenário fragmentado, o retorno do LockBit foi um evento notável . A versão 5.0 foi lançada em setembro e sua chegada impulsionou o aumento da atividade. O administrador do projeto havia prometido um relançamento após a Operação Cronos , e a nova versão inclui atualizações para Windows, Linux e ESXi, criptografia acelerada e canais de comunicação personalizados.

Pelo menos uma dúzia de ataques foram confirmados no primeiro mês, indicando que algumas operadoras decidiram retornar a uma marca já conhecida. Isso levanta a possibilidade de uma recentralização, visto que a familiaridade continua sendo um fator crucial para quem busca estrutura e regras claras.