O ransomware continua a ser um flagelo que mostra alguns sinais de cedência, mas os responsáveis pela resposta a incidentes e os caçadores de ameaças estão mais ocupados do que nunca, à medida que mais atacantes com motivação financeira recorrem exclusivamente ao roubo de dados para extorsão.
Os ataques que envolvem apenas roubo de dados para extorsão podem não ser mais prevalentes do que o ransomware tradicional quando os invasores criptografam sistemas, mas o impulso está se movendo nessa direção, disse Genevieve Stark, chefe de inteligência de crimes cibernéticos do Google Threat Intelligence Group, ao CyberScoop.
“Quando você olha para os atores do underground de língua inglesa, esses atores estão quase todos focados apenas na extorsão de roubo de dados no momento”, acrescentou Stark. Isso inclui grupos como Scattered Spider, ShinyHunters, Clop e outros grupos que foram responsáveis por alguns dos maiores e mais abrangentes ataques dos últimos anos.
O relatório de pesquisa do Google Threat Intelligence Group sobre ransomware, que foi compartilhado exclusivamente e discutido com a CyberScoop antes do lançamento, ressalta como a evolução e a disseminação do crime cibernético podem obscurecer a compreensão coletiva do ransomware ou de ataques que usam malware para criptografar ou bloquear sistemas.
Os ataques de ransomware também costumam incluir o roubo de dados como um ponto de pressão adicional para extorsão – ocorrendo em 77% das invasões de ransomware que o Google observou no ano passado, acima dos 57% em 2024 – mas não é tecnicamente ransomware, a menos que haja criptografia envolvida.
“Nas invasões investigadas pela Mandiant, observamos um declínio na implantação de ransomware tradicional, coincidindo com um aumento na extorsão por roubo de dados”, disseram os pesquisadores no relatório. “Além disso, alguns programas de ransomware como serviço estão fornecendo opções somente para roubo de dados e extorsão, além do ransomware, o que pode refletir a demanda de sua base de clientes.”
A empresa recusou-se a dizer a quantos ataques de ransomware respondeu em 2025. “Hesitamos em partilhar o número de casos em que trabalhamos, em termos de um número quantitativo, porque é muito difícil para todos concordarem sobre o que constitui um incidente versus dois”, disse Chris Linklater, líder prático da Mandiant. “Curiosamente, estamos muito ocupados.”
Stark reconheceu que desafios significativos impedem a indústria de desenvolver uma imagem clara e abrangente da verdadeira escala e impacto do ransomware. O insight é em grande parte limitado ao que as empresas de resposta a incidentes individuais veem em seus próprios casos, e as informações compartilhadas são normalmente fornecidas caso a caso, de forma centralizada.
“Como indústria, não estamos fazendo um bom trabalho ao analisar o volume. Acho que dependemos demais de coisas como o volume de sites de vazamento de dados, que apresentam muitos problemas”, disse ela.
O aumento da extorsão de dados provavelmente está provocando um aumento nessas postagens. Ao mesmo tempo, alguns grupos de ameaças estão fazendo afirmações não confiáveis ou reciclando violações anteriores e alegando que são obra de sua própria autoria. “Os sites de vazamento de dados como medida são realmente muito ruins, e acho que, como indústria, confiamos demais nisso”, disse Stark.
No entanto, os dados ainda são úteis para avaliar certas tendências, tais como mudanças nos alvos ou um aumento de alegados ataques a sectores ou regiões específicas, disseram os investigadores.
Para constar, o Google disse que a quantidade de postagens em sites de vazamento de dados aumentou 48% em relação ao ano anterior, para 7.784 postagens em 2025. Enquanto isso, o número de sites únicos de vazamento de dados aumentou quase 35% no mesmo período, para 128 sites com pelo menos uma postagem.
O relatório do Google também se concentra nas táticas e mudanças observadas durante sua resposta aos ataques de ransomware no ano passado, incluindo as formas mais comuns pelas quais os invasores invadiram sistemas, as famílias de ransomware mais proeminentes e o aumento do direcionamento da infraestrutura de virtualização.
As vulnerabilidades exploradas foram o principal vetor de acesso inicial em ataques de ransomware no ano passado, respondendo por um terço de todos os incidentes, seguidas por várias formas de comprometimento da web e credenciais roubadas. Os invasores exploraram mais comumente vulnerabilidades em redes privadas virtuais amplamente utilizadas e firewalls da Fortinet, SonicWall, Palo Alto Networks e Citrix, disseram os pesquisadores.
Zach Riddle, principal analista de inteligência de ameaças da GTIG, disse que isso não reflete tanto uma tendência crescente quanto um ciclo recorrente de diferentes vetores de acesso inicial, que aumentam e diminuem ano após ano por vários motivos.
O Google destacou especificamente 13 vulnerabilidades, muitas divulgadas anos atrás, classificando esses defeitos entre as vulnerabilidades mais exploradas para ataques de ransomware no ano passado. Três dessas vulnerabilidades afetam os produtos Fortinet, seguidas por duas da Microsoft, duas da Veritas e uma da SonicWall, Citrix, SAP, Palo Alto Networks, CrushFTP e Zoho.
As credenciais roubadas foram o ponto de acesso inicial em 21% das invasões de ransomware no ano passado, e os invasores frequentemente usavam essas credenciais para se autenticar na VPN ou no login do Remote Desktop Protocol da vítima, disse o Google no relatório.
Os invasores também enfrentam mais desafios na implantação de ransomware quando invadem as redes das vítimas. “Na verdade, estamos vendo uma diminuição na implantação bem-sucedida de ransomware”, disse Bavi Sadayappan, analista sênior de inteligência de ameaças da GTIG. O Google observou um declínio ano após ano de 54% em 2024 para 36% no ano passado.
Outra mudança marcante refletida na atividade de ransomware em 2025 envolve o aumento do direcionamento da infraestrutura de virtualização, como os hipervisores VMware ESXi. Os invasores atacaram esses ambientes em 43% das invasões de ransomware no ano passado, acima dos 29% em 2024.
“Isso permite que o invasor atinja um grande número de sistemas com um esforço muito pequeno”, disse Linklater, acrescentando que “torna a investigação significativamente mais difícil de realizar, porque muito mais evidências forenses são perdidas quando esses hipervisores são atacados”.
As famílias de ransomware mais proeminentes em 2025 incluíam Agenda, Redbike, Clop, Playcrypt, Safepay, Inc, RansomHub e Fireflame, de acordo com o Google. As marcas de ransomware mais ativas no ano passado incluíram Qilin, Akira, Clop, Play, Safepay, Inc, Lynx, RansomHub, DragonForce e Sinobi.
Deseja saber mais sobre Segurança Clique Aqui!
crime cibernético,roubo de dados,extorsão,google,grupo de inteligência de ameaças do Google,mandiant,ransomware