Ransomware

O Brasil enfrenta uma nova ameaça cibernética com o surgimento do ransomware Vect, que começou a operar em janeiro de 2026. Este malware, desenvolvido em C++ e sem reaproveitamento de códigos antigos, é parte do modelo Ransomware-as-a-Service (RaaS), permitindo que hackers aluguem suas capacidades por R$ 1.300 em criptomoeda Monero. O Vect se destaca por sua sofisticação técnica, utilizando o algoritmo de encriptação AEAD ChaCha20-Poly1305, que é significativamente mais rápido que o AES-256-GCM. Ele é capaz de afetar sistemas operacionais como Windows e Linux, além de ambientes de virtualização VMware ESXi.

A Universidade La Sapienza, em Roma, foi alvo de um ciberataque que afetou seus sistemas de TI, resultando em interrupções operacionais significativas. A instituição, que é a maior da Europa em número de alunos, com mais de 112.500 matriculados, anunciou o incidente em uma postagem nas redes sociais, informando que sua infraestrutura de TI foi comprometida. Como medida de precaução, a universidade decidiu desligar imediatamente seus sistemas de rede para garantir a integridade dos dados. Embora detalhes sobre o tipo de ataque e os responsáveis não tenham sido amplamente divulgados, informações da imprensa italiana sugerem que se trata de um ataque de ransomware, possivelmente realizado por um grupo pro-Rússia chamado Femwar02, que resultou na criptografia de dados. A universidade está colaborando com o CSIRT italiano e especialistas da Agenzia per la Cybersicurezza Nazionale para restaurar os sistemas a partir de backups que, segundo relatos, não foram afetados. Enquanto isso, pontos de informação temporários foram estabelecidos para ajudar alunos e funcionários durante a recuperação. A situação alerta para a necessidade de vigilância contra ataques de phishing, uma vez que dados roubados podem ser vendidos ou divulgados na internet.

Pesquisadores da Sophos identificaram uma nova tática utilizada por operadores de ransomware, que consiste em abusar de máquinas virtuais (VMs) fornecidas pela ISPsystem, uma empresa legítima de gerenciamento de infraestrutura virtual. Durante a investigação de incidentes recentes relacionados ao ransomware ‘WantToCry’, foi observado que os atacantes utilizavam VMs Windows com nomes de host idênticos, indicando o uso de templates padrão do VMmanager da ISPsystem. Essa prática foi encontrada em várias infraestruturas de grupos de ransomware conhecidos, como LockBit e Conti. A ISPsystem, que oferece uma plataforma de gerenciamento de virtualização, não parece estar ciente do uso indevido de seus templates, que reutilizam nomes de host e identificadores de sistema, facilitando a operação de cibercriminosos. A maioria das VMs maliciosas foi hospedada por provedores com má reputação, o que complica a atribuição de responsabilidades e torna a remoção rápida dessas infraestruturas improvável. A Sophos destaca que quatro nomes de host da ISPsystem representam mais de 95% das VMs expostas à internet associadas a atividades cibercriminosas.

A Conpet, operadora nacional de oleodutos da Romênia, sofreu um ciberataque que afetou seus sistemas corporativos e derrubou seu site na terça-feira. A empresa, que gerencia quase 4.000 quilômetros de rede de oleodutos, informou que, apesar da interrupção em sua infraestrutura de TI, suas operações de transporte de petróleo e derivados não foram comprometidas. A Conpet está investigando o incidente com a ajuda das autoridades de cibersegurança do país e notificou a Diretoria de Investigação do Crime Organizado e do Terrorismo (DIICOT), apresentando uma queixa criminal. O grupo de ransomware Qilin reivindicou a responsabilidade pelo ataque, alegando ter roubado cerca de 1TB de documentos e vazado informações internas, incluindo dados financeiros e cópias de passaportes. Este ataque segue uma série de incidentes cibernéticos que afetaram outras entidades romenas, como a Autoridade de Águas da Romênia e o Complexo Energético Oltenia, evidenciando um aumento nas ameaças cibernéticas no país.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) confirmou que grupos de ransomware começaram a explorar uma vulnerabilidade crítica no VMware ESXi, identificada como CVE-2025-22225. Esta falha, que permite a escrita arbitrária no kernel e a fuga do ambiente de sandbox, foi corrigida pela Broadcom em março de 2025, juntamente com outras vulnerabilidades. A exploração dessa falha é particularmente preocupante, pois pode ser encadeada com outras vulnerabilidades para comprometer sistemas virtuais. A CISA já havia classificado essa vulnerabilidade como um zero-day e alertou agências federais para que tomassem medidas de segurança até 25 de março de 2025. Relatórios indicam que atores de ameaças que falam chinês estão utilizando essas falhas em ataques sofisticados desde fevereiro de 2024. A CISA também destacou que a exploração de vulnerabilidades do VMware é comum entre grupos de ransomware, devido à ampla utilização desses produtos em sistemas empresariais que armazenam dados sensíveis. O alerta é um chamado à ação para que as organizações revisem suas defesas e apliquem as correções necessárias para evitar possíveis ataques.

O grupo de ransomware Lynx reivindicou um ataque cibernético à Lakelands Public Health, em Ontário, Canadá, que ocorreu em 29 de janeiro de 2026. O incidente afetou sistemas internos, incluindo linhas telefônicas, e a organização confirmou a descoberta de um problema de cibersegurança em 3 de fevereiro. Lynx alegou ter acessado e roubado dados confidenciais da instituição, publicando amostras de documentos em seu site de vazamento de dados. No entanto, a Lakelands Public Health não confirmou a autenticidade das alegações e não forneceu detalhes sobre a natureza dos dados comprometidos, se um resgate foi pago ou como a rede foi invadida. A organização está colaborando com autoridades e especialistas em cibersegurança para mitigar o impacto do ataque. Este incidente é parte de um aumento de 31% nos ataques de ransomware em organizações canadenses em 2025, com Lynx sendo responsável por 49 ataques confirmados desde sua formação em julho de 2024. O ataque à Lakelands Public Health é o primeiro incidente confirmado em 2026, destacando a crescente ameaça de ransomware, especialmente em setores críticos como a saúde pública.

Recentemente, mais de 200.000 servidores MongoDB foram identificados como mal configurados, com cerca de 3.000 deles expostos sem senhas. Esses servidores estão sendo alvo de ataques de extorsão, onde hackers apagaram dados e deixaram notas de resgate exigindo pagamentos em bitcoin. A pesquisa da Flare revelou que aproximadamente metade dos servidores expostos contém informações operacionais sensíveis. Além disso, muitos desses servidores estão rodando versões desatualizadas do MongoDB, que são vulneráveis a falhas conhecidas e desconhecidas, aumentando o risco de acesso persistente e negação de serviço (DoS). Os administradores de sistemas são aconselhados a verificar suas configurações e garantir que suas instâncias não estejam expostas à internet sem as devidas proteções, como senhas fortes e regras de firewall rigorosas. O cenário é alarmante, pois a maioria dos servidores vulneráveis pode ser facilmente acessada, e a falta de segurança pode resultar em perdas significativas de dados e financeiros.

Um ator de ameaças está atacando instâncias expostas do MongoDB em uma série de extorsões automatizadas, exigindo resgates baixos para restaurar os dados. O foco do atacante são bancos de dados inseguros, resultantes de configurações inadequadas que permitem acesso sem restrições. Até o momento, cerca de 1.400 servidores expostos foram comprometidos, com notas de resgate solicitando aproximadamente $500 em Bitcoin. Pesquisadores da empresa de cibersegurança Flare identificaram mais de 208.500 servidores MongoDB publicamente expostos, dos quais 3.100 podiam ser acessados sem autenticação. Quase metade (45,6%) desses servidores já havia sido comprometida, com dados apagados e notas de resgate deixadas. A análise das notas revelou que a maioria exigia um pagamento de 0.005 BTC em até 48 horas, sem garantias de que os atacantes realmente possuíam os dados ou forneceriam uma chave de descriptografia funcional. Flare recomenda que administradores do MongoDB evitem expor instâncias publicamente, utilizem autenticação forte e atualizem para as versões mais recentes do software. A situação é preocupante, pois muitos servidores expostos ainda estão vulneráveis a falhas conhecidas, o que pode levar a ataques adicionais.

O grupo de ransomware Rhysida reivindicou a responsabilidade por uma violação de dados ocorrida em novembro de 2025 no MACT Health Board, que atende a comunidades indígenas na Califórnia. A violação comprometeu informações pessoais de pacientes, incluindo números de Seguro Social, dados médicos, informações de seguro e resultados de testes. O ataque, que começou em 20 de novembro, causou interrupções significativas nos serviços das clínicas, afetando agendamentos e pedidos de prescrições. Embora os serviços telefônicos tenham sido restaurados em 1º de dezembro, alguns serviços de imagem ainda estavam indisponíveis até janeiro de 2026. Rhysida publicou uma demanda de resgate de oito bitcoins, equivalente a aproximadamente $662,000, e apresentou amostras de documentos que alegam ter sido roubados. O MACT não confirmou a autenticidade dos dados vazados e não divulgou quantos pacientes foram notificados. O grupo Rhysida, ativo desde maio de 2023, já foi responsável por 102 ataques confirmados, incluindo 24 em instituições de saúde, comprometendo mais de 3,83 milhões de registros. Este incidente destaca a crescente ameaça de ransomware no setor de saúde dos EUA, que pode colocar em risco a privacidade e a segurança dos pacientes.

Os fluxos ilegais de criptomoedas alcançaram um recorde de US$ 158 bilhões em 2025, marcando um aumento de 145% em relação aos US$ 64 bilhões de 2024. Segundo a TRM Labs, essa elevação ocorre apesar da participação de atividades ilícitas no volume total de transações em blockchain ter caído de 1,3% para 1,2%. O aumento é atribuído a uma intensificação das atividades relacionadas a sanções, especialmente por redes associadas à Rússia, e ao uso crescente de criptomoedas por estados-nação como Rússia, Irã e Venezuela. Além disso, a TRM Labs registrou perdas de US$ 2,87 bilhões em 150 incidentes de hacking, com o maior deles, um ataque à Bybit, resultando em perdas de US$ 1,46 bilhão. As fraudes também se mantiveram altas, com cerca de US$ 35 bilhões enviados a esquemas fraudulentos, sendo 62% desses relacionados a fraudes de investimento. O cenário de ransomware, embora elevado, mostra uma resistência crescente dos alvos em pagar resgates. A fragmentação do ecossistema de ransomware também aumentou, com 161 cepas ativas identificadas em 2025.

A Marquis Software Solutions, provedora de serviços financeiros do Texas, atribuiu um ataque de ransomware que afetou seus sistemas e impactou dezenas de bancos e cooperativas de crédito nos EUA em agosto de 2025 a uma violação de segurança relatada pela SonicWall um mês depois. A empresa, que fornece ferramentas de análise de dados e marketing digital para mais de 700 instituições financeiras, esclareceu que os atacantes não exploraram uma falha em seu firewall, como se acreditava inicialmente. Em vez disso, eles usaram informações obtidas de arquivos de backup de configuração do firewall, que foram roubados após o acesso não autorizado ao portal online MySonicWall da SonicWall. A Marquis está avaliando suas opções em relação ao provedor de firewall, incluindo a possibilidade de buscar reembolso por despesas relacionadas ao incidente. A SonicWall, que revelou a violação em 17 de setembro, inicialmente informou que apenas 5% de seus clientes de firewall foram afetados, mas posteriormente confirmou que todos os clientes usando seu serviço de backup em nuvem estavam em risco. Investigações indicam que o ataque pode estar ligado a hackers patrocinados pelo estado.

O grupo de cibercriminosos conhecido como TA584 tem intensificado suas operações, utilizando o malware Tsundere Bot em conjunto com o trojan de acesso remoto XWorm para obter acesso a redes, potencialmente levando a ataques de ransomware. Desde 2020, pesquisadores da Proofpoint monitoram as atividades do TA584, que recentemente triplicou o volume de suas campanhas, expandindo seu foco além da América do Norte e Reino Unido para incluir países europeus e Austrália. O Tsundere Bot, documentado pela Kaspersky, é uma plataforma de malware como serviço que permite coleta de informações, exfiltração de dados e movimentação lateral na rede. O ataque começa com e-mails enviados de contas comprometidas, que direcionam os alvos a páginas CAPTCHA e ClickFix, onde são instruídos a executar um comando PowerShell que carrega o malware. O Tsundere Bot se comunica com servidores de comando e controle via WebSockets e possui mecanismos para evitar execução em sistemas de países da CEI. A expectativa é que o TA584 continue a diversificar seus alvos e métodos, aumentando a preocupação com a segurança cibernética em diversas regiões.

O FBI anunciou a apreensão do fórum de cibercrime RAMP, uma plataforma que promovia uma variedade de serviços de hacking e malware, incluindo operações de ransomware. O fórum, que operava tanto na rede Tor quanto na clearnet, exibia um aviso de apreensão que afirmava: ‘O Federal Bureau of Investigation apreendeu o RAMP’. Essa ação foi realizada em colaboração com o Escritório do Procurador dos Estados Unidos para o Sul da Flórida e a Seção de Crimes de Computador e Propriedade Intelectual do Departamento de Justiça. Com a apreensão, as autoridades agora têm acesso a dados significativos dos usuários do fórum, como endereços de e-mail, IPs e mensagens privadas, o que pode levar à identificação e prisão de cibercriminosos que não seguiram práticas adequadas de segurança operacional. O RAMP foi lançado em julho de 2021, após a proibição da promoção de ransomware em outros fóruns de hacking, e rapidamente se tornou um espaço para gangues de ransomware promoverem suas operações. O criador do fórum, conhecido como Orange, já havia sido identificado como Mikhail Matveev, um nacional russo que enfrenta acusações nos Estados Unidos por sua participação em várias operações de ransomware. A apreensão do RAMP representa um golpe significativo para o ecossistema de cibercrime, especialmente em um momento em que as autoridades estão intensificando a luta contra o ransomware.

Em 2025, o setor de saúde enfrentou 445 ataques de ransomware a hospitais e clínicas, mantendo-se estável em relação a 2024. No entanto, os ataques a empresas do setor aumentaram em 25%, totalizando 191 incidentes. Embora os ataques a provedores de saúde tenham diminuído no início do ano, houve um aumento significativo de 50% no quarto trimestre. Os dados indicam que mais de 16,5 milhões de registros foram comprometidos, com uma média de demanda de resgate de $615.000, uma queda de 84% em relação ao ano anterior. Os Estados Unidos lideraram o número de ataques, seguidos por países como Austrália e Reino Unido. Os principais grupos de ransomware identificados foram Qilin, INC e Medusa. O impacto desses ataques é alarmante, especialmente considerando que muitos provedores de saúde dependem de terceiros para serviços essenciais, aumentando a vulnerabilidade. O ataque ao hospital belga AZ Monica em janeiro de 2026 destaca a continuidade dessa ameaça. A situação exige atenção redobrada das equipes de segurança da informação, especialmente no Brasil, onde a conformidade com a LGPD pode ser afetada.

O cenário do ransomware em 2025 passou por uma transformação significativa, deixando de ser um problema puramente tecnológico para se tornar uma campanha de extorsão sistemática. As operações de ransomware evoluíram para táticas que vão além da simples criptografia de arquivos, utilizando dados roubados, responsabilidade legal e pressão psicológica em larga escala. Após a desarticulação de grupos como LockBit e BlackSuit em 2024, o ecossistema de ransomware se fragmentou, tornando a atribuição e a interrupção mais difíceis. As campanhas atuais empregam uma variedade de táticas, incluindo extorsão dupla, onde os atacantes não apenas criptografam dados, mas também ameaçam divulgar informações sensíveis publicamente. Pequenas e médias empresas (PMEs) se tornaram alvos preferenciais, especialmente em regiões com alta regulamentação, onde as consequências legais de vazamentos de dados são severas. A pesquisa revela que mais de 90% das vítimas do ransomware SafePay eram PMEs, indicando uma estratégia deliberada de ataque. Além disso, os atacantes utilizam táticas psicológicas para manipular suas vítimas, como pressão temporal e medo de repercussões legais, tornando a extorsão mais eficaz. As organizações precisam repensar suas estratégias de defesa e resposta a incidentes para lidar com essa nova realidade.

Pesquisadores do FortiGuard Labs, da Fortinet, identificaram uma nova campanha de phishing que distribui ransomwares e o trojan de acesso remoto Amnesia RAT, com foco principal na Rússia. Os cibercriminosos utilizam técnicas de engenharia social, disfarçando seus ataques como documentos rotineiros. O que torna essa ameaça particularmente avançada é o uso de serviços de nuvem, como GitHub e Dropbox, para entregar diferentes payloads maliciosos, o que complica a detecção e mitigação. Além disso, os hackers exploram uma ferramenta legítima chamada defendnot para desabilitar o Microsoft Defender, o antivírus padrão do Windows. O ataque envolve o envio de arquivos comprimidos que contêm documentos falsos e um atalho malicioso, que, ao ser executado, baixa o malware via PowerShell. O Amnesia RAT é capaz de roubar informações sensíveis, como dados de navegadores e carteiras de criptomoeda, enquanto o ransomware Hakuna Matata criptografa arquivos e exige resgate. Os pesquisadores alertam que essa campanha demonstra uma nova abordagem, onde os malwares não exploram vulnerabilidades de software, mas abusam de características nativas do Windows, o que torna a defesa ainda mais desafiadora.

O grupo de ransomware Rhysida reivindicou a responsabilidade por uma violação de dados ocorrida em novembro de 2025 na Cytek Biosciences, uma fabricante de produtos médicos localizada em Fremont, Califórnia. A violação afetou 331 pessoas, comprometendo informações pessoais sensíveis, incluindo números de Seguro Social, dados de saúde, informações financeiras, e credenciais de contas de funcionários. A Cytek não confirmou se pagou um resgate, e detalhes sobre como a rede foi invadida ainda não foram divulgados. Rhysida, que opera como um serviço de ransomware, já realizou 258 ataques desde sua fundação em 2023, com um histórico de demandas de resgate que podem ultrapassar US$ 3 milhões. Em 2025, ataques a empresas de saúde nos EUA resultaram no comprometimento de mais de 5,86 milhões de registros. A Cytek está oferecendo 24 meses de proteção contra roubo de identidade para as vítimas afetadas. Este incidente destaca a crescente ameaça de ransomware no setor de saúde, que pode comprometer a segurança e a privacidade dos pacientes.

Pesquisadores de segurança das equipes Carbon Black e Symantec relataram detalhes sobre o novo ransomware Osiris, que vem afetando países da Ásia desde novembro de 2025. Este ransomware, que é vendido como ransomware-as-a-service, utiliza um driver malicioso chamado POORTRY, projetado para desativar aplicativos de segurança nas máquinas das vítimas. Diferente de variantes anteriores, o Osiris não possui relação com o ransomware Locky, que surgiu em 2016. Os ataques são classificados como ’living-off-the-land’, extraindo dados através de buckets Wasabi e utilizando ferramentas como Mimikatz, Netscan, Netexec, MeshAgent e Rustdesk. O uso do driver POORTRY é um diferencial, pois ele é especificamente desenhado para elevar privilégios e fechar ferramentas de segurança, em vez de simplesmente entregar programas vulneráveis. No Brasil, o grupo Makop também tem realizado atividades semelhantes, visando sistemas remotos e utilizando drivers maliciosos. Para se proteger, especialistas recomendam monitorar ferramentas de uso duplo, restringir acessos a sistemas remotos, reforçar a autenticação em duas etapas e proibir aplicativos suspeitos.

Uma nova campanha de phishing multifásica foi identificada, visando usuários na Rússia com ransomware e um trojan de acesso remoto chamado Amnesia RAT. O ataque começa com documentos de aparência rotineira que utilizam engenharia social para enganar as vítimas. Esses documentos contêm scripts maliciosos que operam em segundo plano, enquanto distraem o usuário com tarefas falsas. A campanha se destaca pelo uso de serviços de nuvem públicos, como GitHub e Dropbox, para distribuir diferentes tipos de cargas úteis, dificultando a remoção. Além disso, um recurso chamado defendnot é utilizado para desativar o Microsoft Defender, permitindo que o malware opere sem ser detectado. O ataque utiliza arquivos de atalho maliciosos que, ao serem executados, baixam scripts adicionais que estabelecem um ponto de controle no sistema. O Amnesia RAT, uma das cargas finais, é capaz de roubar dados sensíveis e controlar remotamente o sistema, enquanto um ransomware derivado da família Hakuna Matata criptografa arquivos e altera endereços de carteiras de criptomoedas. A campanha evidencia como ataques modernos podem comprometer sistemas sem explorar vulnerabilidades de software, utilizando recursos nativos do Windows para desativar defesas e implantar ferramentas de vigilância e cargas destrutivas.

Uma falha na segurança operacional possibilitou que pesquisadores recuperassem dados que o grupo de ransomware INC havia roubado de uma dúzia de organizações nos Estados Unidos. A investigação, conduzida pela empresa Cyber Centaurs, começou após um cliente detectar atividade de criptografia de ransomware em um servidor SQL. O ransomware, uma variante do RainINC, foi executado a partir do diretório PerfLogs, que normalmente é utilizado pelo Windows, mas que os atacantes começaram a usar para armazenar suas ferramentas. Durante a análise, os pesquisadores encontraram vestígios de uma ferramenta de backup legítima chamada Restic, embora esta não tenha sido utilizada na exfiltração de dados. A análise revelou que o grupo de ransomware poderia estar reutilizando a infraestrutura de backup em várias campanhas, o que levantou a hipótese de que dados roubados de outras organizações poderiam ainda estar disponíveis em forma criptografada. Para validar essa teoria, a equipe desenvolveu um processo de enumeração controlada que confirmou a presença de dados criptografados de 12 organizações diferentes em setores como saúde, manufatura e tecnologia. Após a recuperação, os dados foram descriptografados e as cópias preservadas, enquanto a Cyber Centaurs contatou as autoridades para validar a propriedade e orientar sobre os procedimentos adequados.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova família de ransomware chamada Osiris, que atacou um grande operador de franquias de serviços alimentícios no Sudeste Asiático em novembro de 2025. O ataque utilizou um driver malicioso denominado POORTRY, parte de uma técnica conhecida como ‘bring your own vulnerable driver’ (BYOVD), para desativar softwares de segurança. O Osiris é considerado uma nova cepa de ransomware, sem relação com uma variante anterior do mesmo nome. Os especialistas da Broadcom identificaram indícios que sugerem que os atacantes podem ter vínculos com o ransomware INC. O Osiris utiliza um esquema de criptografia híbrido e chaves únicas para cada arquivo, sendo capaz de interromper serviços e especificar quais pastas e extensões devem ser criptografadas. O ataque também envolveu a exfiltração de dados sensíveis para um bucket de armazenamento em nuvem Wasabi, utilizando ferramentas como Rclone e uma versão personalizada do software de desktop remoto Rustdesk. O uso do driver POORTRY, projetado para elevar privilégios e encerrar ferramentas de segurança, destaca a evolução das táticas de ransomware, que continuam a representar uma ameaça significativa para as empresas. Em 2025, foram registrados 4.737 ataques de ransomware, um aumento em relação ao ano anterior, evidenciando a persistência e a adaptação dos grupos de cibercrime.

O grupo de ransomware NightSpire atacou o hotel Hyatt Place Chelsea, em Nova York, e roubou 48,5 GB de dados sensíveis, que incluem recibos, registros de gastos e informações pessoais de funcionários e parceiros. Os hackers disponibilizaram esses dados em um site da dark web, onde oferecem amostras para potenciais compradores. Especialistas da Cybernews analisaram os arquivos e identificaram que as informações podem ser utilizadas para ataques de phishing, aumentando o risco de novos vazamentos de dados. A Hyatt Hotels Corporation, que opera mais de 1.350 hotéis globalmente, ainda não se pronunciou oficialmente sobre o incidente. A indústria hoteleira é frequentemente alvo de ciberataques, e a falta de informações claras sobre a extensão do ataque levanta preocupações sobre a segurança dos dados de clientes e parceiros. O impacto potencial desse vazamento pode ser significativo, considerando a natureza sensível das informações envolvidas e a possibilidade de acesso a sistemas internos da empresa.

Oleg Evgenievich Nefedov, suposto líder do grupo de ransomware Black Basta, foi incluído no alerta vermelho da Interpol durante uma operação conjunta entre autoridades policiais da Ucrânia e da Alemanha. Nefedov, um cidadão russo de 35 anos, é acusado de liderar um grupo que arrecadou ilegalmente centenas de milhões de dólares em criptomoedas, atacando mais de 500 empresas na América do Norte, Europa e Austrália desde 2022. Os membros do grupo são especializados em invasões técnicas e na extração de senhas, utilizando softwares específicos para realizar ciberataques e extorquir dinheiro das vítimas. Durante a operação, dois ucranianos foram identificados como suspeitos e tiveram suas residências vasculhadas, resultando na apreensão de dispositivos digitais e ativos em criptomoedas. Nefedov já havia sido preso em 2024 na Armênia, mas conseguiu escapar. Atualmente, seu paradeiro é desconhecido, embora se acredite que ele esteja na Rússia. O caso destaca a crescente ameaça de grupos de ransomware e a necessidade de uma resposta internacional coordenada para combater esses crimes cibernéticos.

Recentemente, um ataque de ransomware direcionado a uma empresa do setor financeiro da Fortune 100 utilizou uma nova variante de malware chamada PDFSider. Os atacantes empregaram engenharia social para se passar por trabalhadores de suporte técnico, induzindo funcionários a instalar a ferramenta Quick Assist da Microsoft. A Resecurity, empresa de cibersegurança, identificou o PDFSider como uma backdoor furtiva que permite acesso a longo prazo, com características associadas a técnicas de APT (Advanced Persistent Threat). O malware é distribuído por e-mails de spearphishing que contêm um arquivo ZIP com um executável legítimo e uma versão maliciosa de uma DLL necessária para o funcionamento do software. Ao ser executado, o malware carrega a DLL maliciosa, permitindo a execução de comandos no sistema. O PDFSider opera de forma discreta, utilizando criptografia avançada para proteger suas comunicações e mecanismos de anti-análise para evitar detecções. A Resecurity alerta que o PDFSider é mais próximo de um malware de espionagem do que de um ataque motivado financeiramente, destacando a crescente facilidade com que cibercriminosos exploram vulnerabilidades em softwares devido ao uso de IA na programação.

A gigante de tecnologia Ingram Micro revelou que um ataque de ransomware em julho de 2025 resultou em uma violação de dados que afetou mais de 42.000 indivíduos. A empresa, que é uma das maiores fornecedoras de serviços B2B e distribuidora de tecnologia do mundo, confirmou que documentos contendo informações pessoais, como números de Seguro Social, foram roubados. O incidente foi detectado em 3 de julho de 2025, quando a Ingram Micro iniciou uma investigação após a detecção de atividades não autorizadas em seus sistemas internos. Os arquivos afetados incluíam registros de emprego e de candidatos, contendo dados como nome, informações de contato, data de nascimento e números de identificação emitidos pelo governo. Além da violação de dados, o ataque causou uma grande interrupção nos sistemas internos e no site da empresa, obrigando os funcionários a trabalharem de casa. Embora a Ingram Micro ainda não tenha vinculado o ataque a um grupo específico, a gangue de ransomware SafePay reivindicou a responsabilidade pelo ataque, alegando ter roubado 3,5 TB de documentos. O grupo é conhecido por suas táticas de dupla extorsão, que envolvem roubo de documentos sensíveis antes de criptografar os sistemas das vítimas e ameaçar a divulgação dos arquivos se o resgate não for pago.

Autoridades de segurança da Ucrânia e da Alemanha identificaram dois ucranianos suspeitos de atuar no grupo de ransomware Black Basta, vinculado à Rússia. O líder do grupo, Oleg Evgenievich Nefedov, foi incluído na lista dos mais procurados da União Europeia e no Aviso Vermelho da INTERPOL. Os suspeitos eram especializados em hacking técnico e na extração de senhas, permitindo que o grupo invadisse redes corporativas e extorquisse dinheiro por meio de ransomware. As investigações resultaram em buscas nas residências dos acusados, onde foram apreendidos dispositivos digitais e ativos em criptomoedas. O Black Basta, que surgiu em abril de 2022, é responsável por ataques a mais de 500 empresas em várias regiões, acumulando centenas de milhões de dólares em pagamentos ilícitos. Apesar de uma aparente queda após vazamentos de informações internas, a possibilidade de rebranding e reemergência do grupo é alta, com suspeitas de que ex-membros possam ter migrado para outras operações de ransomware, como a CACTUS.

As autoridades da Ucrânia e da Alemanha confirmaram a identidade do líder do grupo de ransomware Black Basta, Oleg Evgenievich Nefedov, um cidadão russo de 35 anos, que agora figura na lista de procurados da Europol e da Interpol. A operação conjunta resultou na identificação de dois outros suspeitos que atuavam na fase inicial dos ataques, especializados em acessar redes-alvo e preparar o terreno para os ataques de ransomware. Os investigadores relataram que esses indivíduos eram responsáveis por quebrar senhas e obter credenciais de acesso de funcionários de empresas, o que lhes permitia invadir sistemas corporativos internos. Durante as investigações, foram apreendidos dispositivos de armazenamento digital e ativos em criptomoeda. O grupo Black Basta, que surgiu em abril de 2022, é responsável por pelo menos 600 incidentes de ransomware, afetando grandes organizações globalmente, incluindo a Rheinmetall, Hyundai e Ascension. A conexão de Nefedov com o grupo Conti, um sindicato de ransomware que se desfez em 2022, também foi destacada, indicando sua experiência e influência no cenário de cibercrime. As autoridades continuam a investigar e monitorar as atividades do grupo, que representa uma ameaça significativa para a segurança cibernética mundial.

O grupo de ransomware Genesis assumiu a responsabilidade por uma violação de dados ocorrida em dezembro de 2025 em Upper Township, Nova Jersey. Em seu site de vazamento de dados, o grupo ameaçou divulgar 100 GB de informações pessoais e financeiras, caso a prefeitura não pagasse um resgate em três dias. A administração da cidade, liderada por James W. Van Zilke, confirmou que a investigação sobre a violação está em andamento, mas não verificou a reivindicação do Genesis. No entanto, documentos da reunião do conselho municipal indicam que foram autorizados até US$ 110.000 para serviços de consultoria em segurança cibernética e remediação. Genesis, que começou a operar em outubro de 2025, já reivindicou 28 ataques, sendo três deles confirmados por organizações, incluindo a prefeitura de Upper Township. Em 2025, foram registrados 81 ataques de ransomware a entidades governamentais nos EUA, destacando a crescente ameaça a sistemas públicos. A situação em Upper Township ressalta a necessidade de vigilância contínua e resposta rápida a incidentes de segurança cibernética, especialmente em um cenário onde a proteção de dados sensíveis é crucial.

O Spindletop Center, uma clínica de saúde comportamental no Texas, notificou vítimas de uma violação de dados ocorrida em setembro de 2025, conforme informações enviadas ao procurador-geral do estado. A violação comprometeu dados pessoais sensíveis, incluindo números de Seguro Social, identificações emitidas pelo governo e números de casos. Um grupo de ransomware chamado Rhysida reivindicou a responsabilidade pelo ataque, exigindo um resgate de 15 bitcoins, equivalente a aproximadamente 1,65 milhão de dólares na época. A clínica relatou uma interrupção em seus sistemas em 29 de setembro de 2025, e uma investigação interna revelou que informações sensíveis podem ter sido acessadas em 23 de setembro. Até o momento, não há confirmação se o Spindletop pagou o resgate ou como os atacantes conseguiram invadir seus sistemas. A Rhysida, que opera um modelo de ransomware como serviço, já reivindicou mais de 100 ataques confirmados desde sua criação em 2023, afetando milhões de registros. Este incidente destaca a crescente ameaça de ataques cibernéticos no setor de saúde, que podem comprometer a privacidade e a segurança dos pacientes.

A Appalachian Community Federal Credit Union (ACFCU) notificou 30.797 pessoas sobre uma violação de dados ocorrida em outubro de 2025, conforme divulgado pelo procurador-geral do estado de Indiana. A violação comprometeu nomes, números de Seguro Social e informações de contas financeiras. O grupo de ransomware Qilin reivindicou a responsabilidade pelo ataque, alegando ter roubado 75 GB de dados. Embora a ACFCU tenha confirmado a violação em 10 de outubro, não está claro se a instituição pagou um resgate ou como os atacantes conseguiram acessar sua rede. Para mitigar os danos, a ACFCU está oferecendo monitoramento de crédito gratuito aos afetados, com um prazo de 90 dias para inscrição. O grupo Qilin, baseado na Rússia, é conhecido por suas táticas de phishing e por operar um modelo de ransomware como serviço, sendo responsável por mais de 1.000 ataques em 2025. A violação da ACFCU não é um caso isolado, já que o grupo também atacou outras instituições financeiras nos EUA, levantando preocupações sobre a segurança cibernética no setor financeiro.

Um relatório da Emsisoft, intitulado “O Estado do Ransomware nos Estados Unidos”, revela que, apesar das prisões de grupos hackers e do fechamento de servidores, o número de ataques de ransomware aumentou significativamente entre 2023 e 2025. O estudo, que analisou dados de plataformas como RansomLook.io e Ransomware.live, aponta que o número de vítimas subiu de 5.400 em 2023 para mais de 8.000 em 2025. O aumento é atribuído à proliferação de novos grupos de ataque, que passaram de cerca de 70 em 2023 para entre 126 e 141 em 2025. Os principais grupos ativos incluem Qilin, Akira, Cl0p, Play, Safepay e INC Ransom. Embora as ações legais tenham impactado algumas gangues, a competição entre os atacantes parece ter contribuído para o aumento dos incidentes. A Emsisoft sugere que, apesar do cenário atual, a aplicação de leis internacionais pode eventualmente ajudar a reduzir o número de vítimas.

Em 2025, o mundo registrou 7.419 ataques de ransomware, um aumento de 32% em relação ao ano anterior. Desses, 1.173 foram confirmados por organizações-alvo, enquanto muitos outros não foram reconhecidos publicamente. A pesquisa da Sophos revela que quase metade das empresas pagam resgates para recuperar dados, o que pode contribuir para a subnotificação de incidentes. O setor de manufatura foi o mais afetado, com um aumento de 56% nos ataques e um pedido médio de resgate que mais que dobrou, alcançando quase 1,2 milhão de dólares. Embora os ataques a setores como saúde e educação tenham se estabilizado, o aumento geral de ataques a empresas e entidades governamentais é alarmante. Os Estados Unidos foram o país mais visado, com 3.810 ataques. O relatório destaca a evolução das táticas de ransomware e a necessidade urgente de medidas de segurança mais robustas, especialmente em setores críticos. A média de resgates caiu 26%, mas o número de registros comprometidos continua a crescer, exigindo atenção contínua das equipes de segurança.

O Colégio Comunitário de Clackamas, localizado em Oregon, confirmou que notificou 33.381 pessoas sobre uma violação de dados ocorrida em outubro de 2025. A violação comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, registros de estudantes, números de identificação do governo, informações médicas e financeiras. Este é o segundo ataque de ransomware que a instituição enfrenta em dois anos, sendo que o grupo criminoso Medusa reivindicou a responsabilidade pelo ataque mais recente, exigindo um resgate de $300.000 por 1,2 terabytes de dados. A escola não confirmou se pagou o resgate e está oferecendo um ano de monitoramento de crédito gratuito para as vítimas. A investigação forense revelou que um terceiro não autorizado acessou um número limitado de sistemas e adquiriu arquivos em 24 de outubro de 2025. O grupo Medusa, ativo desde 2019, já foi responsável por 154 ataques de ransomware em 2025, afetando mais de 1,7 milhão de registros. O ataque ao Colégio Comunitário de Clackamas é parte de uma tendência crescente de ataques a instituições educacionais nos EUA, que registraram 49 ataques confirmados em 2025, comprometendo mais de 3,8 milhões de registros.

Um grupo de atores de ameaças que fala chinês é suspeito de ter utilizado um dispositivo VPN SonicWall comprometido como vetor de acesso inicial para implantar um exploit do VMware ESXi. Essa atividade foi observada pela empresa de cibersegurança Huntress em dezembro de 2025, que conseguiu interrompê-la antes que avançasse para um ataque de ransomware. O ataque explorou três vulnerabilidades do VMware, divulgadas como zero-days pela Broadcom em março de 2025, com pontuações CVSS variando de 7.1 a 9.3. A exploração permitiu que um ator malicioso com privilégios de administrador vazasse memória do processo VMX ou executasse código como o processo VMX. O toolkit utilizado no ataque inclui componentes sofisticados, como um driver de kernel não assinado e um backdoor que oferece acesso remoto persistente ao host ESXi. A comunicação entre o cliente e o backdoor é feita através do protocolo VSOCK, que permite interações diretas entre máquinas virtuais e o hipervisor, dificultando a detecção. A análise sugere que o desenvolvimento do exploit pode ter ocorrido mais de um ano antes da divulgação pública, indicando um desenvolvedor bem financiado operando em uma região de língua chinesa.

Recentes ataques cibernéticos, como os que afetaram a Marks & Spencer e a Jaguar Land Rover, revelaram que os suspeitos envolvidos são predominantemente jovens, com idades entre 17 e 20 anos. Essa tendência crescente de cibercrime juvenil pode ser atribuída à maior acessibilidade de ferramentas de ransomware, oferecidas por grupos de Ransomware-as-a-Service (RaaS), que permitem que indivíduos sem habilidades avançadas em hacking realizem ataques. Além disso, fatores como fama, frustração, finanças e a influência de comunidades de jogos online têm atraído jovens para o mundo do crime cibernético. A percepção negativa das carreiras em cibersegurança, consideradas monótonas em comparação com o glamour do hacking ilegal, também contribui para essa situação. Para combater essa tendência, é essencial que a indústria de cibersegurança mude sua imagem e busque atrair novos talentos, especialmente aqueles que não seguem os caminhos tradicionais de educação. Isso inclui a valorização de habilidades autodidatas e neurodiversas, que frequentemente são ignoradas nas contratações tradicionais. A indústria deve agir rapidamente para mostrar que existem oportunidades legítimas e recompensadoras para esses jovens talentos, antes que eles se tornem parte do problema.

À medida que as organizações se preparam para 2026, as previsões de cibersegurança estão em alta, mas muitas estratégias ainda são moldadas por especulações. Um webinar da Bitdefender busca esclarecer essas previsões, focando em dados reais e riscos emergentes. O evento abordará três tendências principais: a evolução do ransomware, que está se tornando mais direcionado e impactante; a adoção descontrolada de inteligência artificial (IA), que gera uma crise interna de segurança; e a possibilidade de ataques orquestrados por IA. Os especialistas da Bitdefender discutirão a necessidade de ceticismo em relação à capacidade de ataques adaptativos baseados em IA no curto prazo. O webinar visa ajudar líderes de segurança a diferenciar previsões sensacionalistas de aquelas que realmente devem influenciar suas estratégias de segurança. Os participantes aprenderão a justificar investimentos em segurança com base em riscos reais e a atualizar suas defesas antes que novas técnicas de ataque se tornem comuns.

O sistema escolar de Pell City, no Alabama, notificou os pais sobre uma violação de dados resultante de um ataque de ransomware ocorrido no final do ano passado. O superintendente Justin Burns afirmou que o sistema de informações dos alunos não foi afetado, mas dados foram roubados por um terceiro em um ‘incidente de segurança’. A gangue de cibercriminosos SafePay reivindicou a responsabilidade pela violação em dezembro de 2025, embora o distrito não tenha confirmado a alegação. Não foram divulgados detalhes sobre os dados comprometidos ou o valor do resgate exigido. O sistema escolar decidiu não pagar o resgate, conforme relatado pela WBRC. SafePay, que utiliza um esquema de dupla extorsão, já realizou 57 ataques confirmados, afetando diversas instituições educacionais. Em 2025, foram registrados 48 ataques de ransomware em escolas dos EUA, comprometendo mais de 3,8 milhões de registros. Os ataques a escolas podem não apenas roubar dados, mas também interromper operações diárias, colocando alunos e funcionários em risco de fraudes. O sistema escolar de Pell City é um distrito público que abrange várias instituições educacionais na região.

O grupo de ransomware Meduza Locker reivindicou um ataque cibernético à Kelsey School Division, em Manitoba, Canadá, ocorrido em novembro de 2025. Em um comunicado, o superintendente da divisão escolar, Trevor Lane, informou que uma violação não autorizada afetou a rede de TI da instituição, interrompendo sistemas escolares. Meduza Locker listou a Kelsey School Division em seu site de vazamento de dados, alegando ter roubado documentos de alunos, pais e funcionários, e exigiu um resgate de $40.000 pela recuperação dos dados. Embora a Kelsey School Division tenha iniciado uma investigação sobre a extensão da violação, não confirmou a autenticidade das alegações do grupo. O ataque destaca a crescente preocupação com a segurança cibernética em instituições educacionais, que têm sido alvos frequentes de ransomware, com 89 ataques confirmados em escolas, faculdades e universidades em 2025 até o momento. O impacto desses ataques pode ser severo, afetando operações diárias e expondo dados sensíveis a riscos de fraude.

Uma operação coordenada pela INTERPOL, chamada Operação Sentinel, resultou na recuperação de US$ 3 milhões e na prisão de 574 suspeitos em 19 países africanos, entre 27 de outubro e 27 de novembro de 2025. A ação focou em crimes cibernéticos como comprometimento de e-mails empresariais (BEC), extorsão digital e ransomware. Entre os países participantes estão Gana, Nigéria, África do Sul e Uganda. Durante a operação, mais de 6.000 links maliciosos foram removidos e seis variantes de ransomware foram descriptografadas. Um ataque específico a uma instituição financeira em Gana criptografou 100 terabytes de dados e resultou em um roubo de cerca de US$ 120.000. Além disso, uma rede de fraudes cibernéticas que operava entre Gana e Nigéria foi desmantelada, resultando em 10 prisões e a apreensão de 100 dispositivos digitais. Neal Jetton, diretor de cibercrime da INTERPOL, destacou que a sofisticação dos ataques cibernéticos na África está aumentando, especialmente contra setores críticos como finanças e energia. A Operação Sentinel faz parte da Iniciativa Africana Conjunta de Combate ao Cibercrime (AFJOC), que visa fortalecer as capacidades das agências de segurança na região.

O ransomware como serviço (RaaS) representa uma nova era no cibercrime, permitindo que indivíduos sem habilidades técnicas avancem em ataques de ransomware. Este modelo de negócio ilícito funciona como uma plataforma digital, onde hackers desenvolvem e vendem softwares maliciosos na dark web, permitindo que qualquer pessoa, desde novatos até criminosos experientes, realize ataques. O ransomware sequestra dados de usuários e empresas, criptografando informações sensíveis até que um resgate seja pago. O RaaS democratiza o acesso a ferramentas de ataque, aumentando a frequência e a diversidade de ataques, o que representa um risco significativo para a segurança digital. A dificuldade de rastreamento dos criminosos, que utilizam criptomoedas para transações, torna a situação ainda mais alarmante. Para se proteger, é crucial que usuários e empresas realizem backups regulares, utilizem filtros de spam, mantenham sistemas atualizados e adotem autenticação multifator. A conscientização digital é essencial para identificar e evitar armadilhas de phishing e outras ameaças.

A Richmond Behavioral Health Authority (RBHA), na Virgínia, notificou 113.232 pessoas sobre uma violação de dados ocorrida em setembro de 2025, conforme informações do Departamento de Saúde e Serviços Humanos dos EUA. A violação comprometeu nomes, números de Seguro Social, números de passaporte, informações financeiras e dados de saúde protegidos dos pacientes da RBHA. O grupo de ransomware Qilin reivindicou a responsabilidade pelo ataque, alegando ter roubado 192 GB de dados e postando imagens de documentos supostamente extraídos da RBHA em seu site de vazamento de dados. A RBHA não confirmou a veracidade da alegação do grupo, e detalhes sobre como a rede foi comprometida, se um resgate foi pago ou o valor exigido permanecem desconhecidos. O ataque é um dos maiores de 2025, afetando significativamente o setor de saúde, que já registrou 85 ataques de ransomware neste ano, comprometendo mais de 8,1 milhões de registros. A RBHA, uma organização sem fins lucrativos que atende cerca de 13.000 pessoas anualmente, não ofereceu monitoramento de crédito gratuito para as vítimas, o que levanta preocupações sobre a proteção contra roubo de identidade.

O grupo de hackers pró-Rússia conhecido como CyberVolk lançou um novo ransomware chamado VolkLocker, que encripta arquivos e exige pagamento em bitcoin para a recuperação. No entanto, uma falha crítica na implementação do malware permite que as vítimas recuperem seus arquivos sem pagar o resgate. A pesquisa da SentinelOne revelou que a chave-mestra do ransomware está hard-coded nos arquivos binários e também é armazenada em texto claro na pasta temporária do sistema, facilitando a recuperação dos dados. O VolkLocker afeta sistemas operacionais Windows e Linux e utiliza o algoritmo de encriptação AES-256. Após a infecção, o ransomware tenta evitar a detecção, desativando o Microsoft Defender e excluindo arquivos de backup. O grupo CyberVolk, que começou suas operações em 2024, também oferece outros serviços maliciosos, como trojans e keyloggers. Este incidente destaca a importância de medidas de segurança robustas e a necessidade de conscientização sobre as vulnerabilidades que podem ser exploradas por ransomware.

O grupo de hacktivistas pró-Rússia, conhecido como CyberVolk, lançou um ransomware chamado VolkLocker, que opera exclusivamente pelo Telegram. Este modelo de ransomware como serviço (RaaS) foi projetado para facilitar a venda de códigos maliciosos, permitindo que até mesmo usuários sem conhecimentos técnicos possam utilizá-lo. No entanto, uma falha crítica foi descoberta: as chaves mestras de criptografia estão incluídas nos arquivos executáveis, permitindo que as vítimas recuperem seus dados sem pagar o resgate. O especialista Jim Walter, da SentinelOne, destacou que essa contradição revela dificuldades na operação do grupo, que, apesar de sua automação sofisticada, cometeu um erro ao deixar as chaves acessíveis. O ransomware utiliza escalonamento de privilégios para obter controle total das máquinas infectadas, mas a falta de geração dinâmica das chaves pode ser uma vantagem para as vítimas. Apesar dessa falha, o CyberVolk continua a ser uma ameaça significativa, com recursos adicionais como keyloggers e trojans de acesso remoto. A situação exige atenção, pois o ransomware pode impactar usuários desavisados e organizações em geral.

A Rockrose Development notificou 47.392 pessoas sobre um vazamento de dados ocorrido em julho de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, identificações fiscais, números de carteira de motorista, passaportes, informações financeiras e dados médicos. O grupo de ransomware Play reivindicou a responsabilidade pelo ataque, alegando ter roubado documentos relacionados a clientes, contabilidade e informações financeiras. A Rockrose não confirmou se pagou um resgate ou como a violação ocorreu. A empresa está oferecendo 24 meses de proteção de identidade gratuita aos afetados. O ataque é parte de uma tendência crescente de ataques de ransomware em empresas de construção e desenvolvimento imobiliário nos EUA, com 12 ataques confirmados em 2025, comprometendo mais de 69 mil registros. O ataque à Rockrose é o maior registrado desde 2018, destacando a vulnerabilidade do setor a esse tipo de crime cibernético.

O grupo hacktivista pro-Rússia conhecido como CyberVolk, também chamado de GLORIAMIST, voltou a atuar com uma nova oferta de ransomware como serviço (RaaS) chamada VolkLocker. Lançado em agosto de 2025, o VolkLocker é capaz de atacar sistemas Windows e Linux, utilizando a linguagem de programação Golang. Apesar de suas características típicas de ransomware, como a modificação do Registro do Windows e a exclusão de cópias de sombra, uma análise revelou uma falha crítica: as chaves mestres do ransomware estão codificadas nos binários e são armazenadas em um arquivo de texto simples na pasta %TEMP%, permitindo que as vítimas recuperem seus arquivos sem pagar o resgate. O ransomware utiliza criptografia AES-256 em modo Galois/Counter (GCM) e impõe um timer que apaga pastas do usuário se o pagamento não for realizado em 48 horas ou se a chave de descriptografia for inserida incorretamente três vezes. O CyberVolk também oferece um trojan de acesso remoto e um keylogger, ampliando sua estratégia de monetização. A operação é gerenciada via Telegram, com preços variando de $800 a $2,200, dependendo do sistema operacional. Apesar das tentativas de banimento de contas no Telegram, o grupo conseguiu restabelecer suas operações, refletindo uma tendência crescente entre grupos de ameaças politicamente motivadas.

A fabricante nova-iorquina Fieldtex notificou 247.363 pessoas sobre uma violação de dados ocorrida em agosto de 2025, afetando informações pessoais de membros do programa de benefícios de saúde. O ataque cibernético, reivindicado pelo grupo de ransomware Akira, comprometeu dados como nomes, endereços, datas de nascimento e números de identificação de membros de planos de saúde. A Fieldtex, que fabrica equipamentos médicos e kits de primeiros socorros, confirmou a atividade não autorizada em seus sistemas em 19 de agosto de 2025. Embora o grupo Akira tenha afirmado ter roubado 14 GB de dados da marca E-First Aid Supplies, a empresa não confirmou a veracidade da alegação, mas admitiu que informações de saúde protegidas foram impactadas. A Fieldtex está oferecendo monitoramento de crédito gratuito para as vítimas. O ataque é um dos maiores registrados em 2025, destacando a crescente ameaça de ransomware no setor de saúde, que já contabiliza 19 ataques confirmados a empresas que não prestam cuidados diretos, comprometendo cerca de 5,8 milhões de registros pessoais.

Entre janeiro e novembro de 2025, o grupo de ransomware Akira reivindicou 683 ataques, tornando-se a segunda variante mais ativa do ano, atrás do Qilin, que teve 864 ataques no mesmo período. Este número já supera mais do que o dobro dos 272 ataques registrados em 2024. A atividade do Akira apresentou dois picos notáveis, com um aumento significativo no primeiro trimestre de 2025, seguido por uma queda entre abril e julho, e um novo aumento nos últimos meses, impulsionado pela exploração de vulnerabilidades do SonicWall SSL VPN (CVE-2024-40766). O FBI e outras agências dos EUA emitiram um alerta sobre a atividade do Akira, destacando a ameaça iminente à infraestrutura crítica. Até setembro de 2025, o grupo alegou ter arrecadado aproximadamente 244,17 milhões de dólares em resgates. Os alvos principais incluem pequenas e médias empresas, com um foco crescente em fabricantes, enquanto os ataques ao setor educacional diminuíram drasticamente. Os Estados Unidos foram o país mais afetado, com 455 ataques, seguidos por Alemanha e Canadá. O Akira também é conhecido por suas altas demandas de resgate, com casos documentados de valores que chegam a 1,4 milhão de dólares.

O grupo de ransomware Inc reivindicou a responsabilidade por um ataque cibernético ocorrido em novembro de 2025 contra a Rainbow Communications, uma provedora de telefonia e internet rural no nordeste do Kansas. No dia 16 de novembro, a Rainbow anunciou problemas de serviço devido a um evento de cibersegurança que afetou a telefonia e a internet de seus clientes, com a normalização dos serviços ocorrendo em 19 de novembro. O grupo alegou ter roubado 200 GB de dados, incluindo informações contábeis, de recursos humanos e dados de clientes, e publicou amostras desses documentos em seu site de vazamento de dados. Até o momento, a Rainbow não confirmou as alegações do grupo, e detalhes sobre a extensão da violação, o número de pessoas afetadas, se um resgate foi pago ou como a rede foi comprometida permanecem desconhecidos. O grupo Inc, que surgiu em julho de 2023, já foi responsável por 54 ataques confirmados em 2025, afetando setores como saúde, educação e governo. Os ataques de ransomware em empresas de utilidade nos EUA têm se tornado cada vez mais comuns, resultando em interrupções significativas nos serviços e riscos de fraude para os clientes.

A gangue de ransomware DragonForce reivindicou um ataque cibernético à cidade de La Vergne, no Tennessee, que resultou na interrupção dos sistemas de computador da administração local. Em um comunicado emitido em 17 de outubro de 2025, os oficiais da cidade informaram que estavam investigando um incidente de rede que comprometeu os servidores do governo, com a gangue afirmando ter roubado 382 GB de dados. DragonForce deu um prazo de uma semana para que a cidade pagasse um valor não revelado em resgate, ameaçando divulgar os dados roubados caso a exigência não fosse atendida. Embora a cidade tenha tomado medidas imediatas para isolar os sistemas afetados e envolvido profissionais de cibersegurança e autoridades policiais, ainda não há confirmação sobre a veracidade das alegações da gangue. Este ataque é parte de uma tendência crescente de ataques de ransomware a entidades governamentais nos Estados Unidos, com mais de 70 incidentes confirmados em 2025, comprometendo cerca de 450 mil registros. A situação destaca a vulnerabilidade das infraestruturas governamentais e a necessidade urgente de medidas de proteção e resposta a incidentes.

O grupo de cibercriminosos conhecido como Storm-0249 está mudando sua abordagem, deixando de ser apenas um corretor de acesso inicial para adotar táticas mais sofisticadas, como spoofing de domínio, side-loading de DLL e execução de PowerShell sem arquivo, visando facilitar ataques de ransomware. Segundo um relatório da ReliaQuest, essas técnicas permitem que o grupo contorne defesas, infiltre redes e opere de forma indetectável, o que representa uma preocupação significativa para as equipes de segurança. O Storm-0249, que já foi identificado pela Microsoft como um corretor de acesso inicial, tem colaborado com outros grupos de ransomware, como o Storm-0501, vendendo acesso a redes corporativas. Recentemente, o grupo utilizou uma campanha de phishing com temas relacionados a impostos para infectar usuários nos EUA. Uma das táticas mais recentes envolve o uso de engenharia social para induzir as vítimas a executar comandos maliciosos, utilizando o utilitário legítimo “curl.exe” para baixar scripts PowerShell de domínios falsificados que imitam a Microsoft. Isso resulta na execução de pacotes MSI maliciosos com privilégios de sistema, permitindo que o grupo mantenha comunicação com servidores de comando e controle de forma furtiva. A mudança para ataques mais precisos, que exploram a confiança em processos assinados, aumenta o risco de ataques de ransomware direcionados, especialmente em um cenário onde grupos como LockBit e ALPHV utilizam identificadores de sistema únicos para criptografar dados de forma eficaz.