Extorsão

No terceiro trimestre de 2025, a pesquisa da Check Point revelou um aumento alarmante no número de grupos de ransomware ativos, totalizando 85, o maior já registrado. Esses grupos foram responsáveis pela divulgação de 1.592 novas vítimas em mais de 85 sites de vazamento, indicando uma atividade intensa e contínua, mesmo sob pressão das autoridades. A fragmentação do mercado de ransomware, antes dominado por grandes grupos de Ransomware-as-a-Service (RaaS), agora abriga uma variedade de operações menores e independentes, dificultando a atribuição de ataques e a eficácia das estratégias de defesa. Apesar de operações de desmantelamento de grupos como RansomHub e 8Base, a quantidade de ataques não diminuiu, pois os afiliados se reorganizam rapidamente. A reemergência do LockBit com sua versão 5.0 sugere uma possível recente centralização, oferecendo uma estrutura que pode atrair novos afiliados. Além disso, a evolução do DragonForce, que busca visibilidade através de parcerias e serviços de auditoria de dados, reflete uma mudança no marketing dentro do cibercrime. Com os Estados Unidos como principal alvo, a situação exige atenção redobrada das equipes de segurança cibernética, que devem se adaptar a um cenário em constante mudança.

Um novo relatório da CISA (Agência de Segurança Cibernética e Infraestrutura) revela que o grupo de ransomware Akira impactou mais de 250 organizações na América do Norte, Europa e Austrália desde março de 2023, coletando cerca de 42 milhões de dólares em resgates. O grupo, que visa principalmente pequenas e médias empresas, também comprometeu grandes organizações em setores críticos como manufatura, educação, TI, saúde, serviços financeiros e agricultura. O modelo de extorsão dupla utilizado pelo Akira envolve a exfiltração de dados sensíveis antes de criptografar os arquivos das vítimas, ameaçando vazamentos públicos caso o pagamento não seja feito. Desde abril de 2023, o Akira expandiu suas operações para incluir variantes que atacam sistemas Linux, demonstrando uma evolução técnica significativa. As táticas de ataque incluem a exploração de vulnerabilidades em produtos VPN não corrigidos, phishing direcionado e ataques de força bruta. A CISA recomenda que as organizações priorizem a correção de vulnerabilidades conhecidas, implementem autenticação multifator resistente a phishing e mantenham backups offline testados. O impacto do Akira ressalta a necessidade urgente de aprimorar a detecção de ameaças e preparar planos de resposta abrangentes.

O Google Maps implementou uma nova funcionalidade que permite aos comerciantes reportarem tentativas de extorsão ligadas a avaliações falsas. Com o aumento de táticas de ‘review-bombing’, golpistas inundam perfis de empresas com avaliações negativas e, em seguida, contatam os proprietários exigindo pagamento para cessar a campanha de difamação. Essa prática prejudica a reputação de negócios legítimos, especialmente pequenos empreendimentos que dependem de avaliações para atrair clientes. O novo recurso de denúncia oferece um canal direto para que os comerciantes informem o Google sobre essas tentativas, permitindo uma investigação mais rápida e a remoção de conteúdo malicioso. O Google recomenda que os proprietários não interajam com os extorsionistas e preservem evidências, como capturas de tela e registros de comunicação, para fortalecer suas denúncias. Essa iniciativa visa não apenas proteger os negócios, mas também desmantelar redes de extorsão organizadas.

O Google anunciou uma nova funcionalidade que permite que empresas listadas no Google Maps relatem tentativas de extorsão por parte de criminosos que publicam avaliações negativas falsas e exigem resgates para removê-las. Essa prática, conhecida como ‘review bombing’, visa prejudicar a reputação de negócios. Laurie Richardson, vice-presidente de Confiança e Segurança do Google, destacou que os golpistas inundam perfis de empresas com avaliações de uma estrela e, em seguida, contatam os proprietários para exigir pagamento, ameaçando escalar a situação caso não sejam atendidos. Além disso, o Google alertou sobre outros tipos de fraudes, como golpes de emprego online, fraudes relacionadas a produtos de IA, aplicativos VPN maliciosos e golpes de recuperação de fraudes. Os usuários são aconselhados a ter cautela ao receber mensagens inesperadas e a baixar aplicativos apenas de fontes confiáveis. O artigo também menciona que a Meta, controladora do Facebook, está enfrentando críticas por permitir que anúncios fraudulentos proliferem em sua plataforma, com estimativas de que esses anúncios possam representar até 10,1% de sua receita total. A situação destaca a necessidade de vigilância constante contra fraudes online e a importância de medidas proativas para proteger empresas e consumidores.

Um novo consórcio de cibercriminosos, denominado Scattered LAPSUS$ Hunters (SLH), surgiu a partir da fusão de três grupos notórios: Scattered Spider, ShinyHunters e LAPSUS$. De acordo com a equipe de inteligência de ameaças da Trustwave SpiderLabs, o SLH é descrito como uma “aliança federada” que oferece Extorsão como Serviço (EaaS), herdando características operacionais do ecossistema cibercriminoso conhecido como The Com. O grupo utiliza o Telegram como plataforma de coordenação e identidade pública, mesclando motivação financeira com um estilo hacktivista. Desde sua primeira aparição em agosto de 2025, o SLH tem demonstrado uma notável capacidade de adaptação, reestabelecendo sua presença mesmo após frequentes desmantelamentos. O grupo promove seu modelo EaaS, convidando afiliados a “alugar” sua marca para campanhas de extorsão. Além disso, o SLH está desenvolvendo um ransomware chamado “Sh1nySp1d3r”. As táticas do grupo incluem engenharia social avançada e exploração de vulnerabilidades, como CVE-2025-31324 e CVE-2025-61882, indicando uma possível colaboração com outros operadores de ransomware. A análise sugere que o SLH representa uma reestruturação estratégica de operadores veteranos, sinalizando um novo modelo de ciberextorsão para 2026.

Dois ex-profissionais de segurança cibernética, Ryan Clifford Goldberg e Kevin Tyler Martin, foram acusados de liderar uma operação de ransomware sofisticada que visava empresas americanas. Entre maio de 2023 e abril de 2025, eles supostamente utilizaram a variante ALPHV BlackCat para atacar pelo menos cinco grandes corporações em setores como dispositivos médicos e farmacêuticos. As acusações incluem conspiração para extorsão e danos intencionais a computadores protegidos. Os criminosos operavam por meio de um painel na dark web, onde as vítimas podiam negociar pagamentos em criptomoedas. O caso destaca a crescente capacidade das autoridades de rastrear cibercriminosos, mesmo em um ambiente de criptomoedas, e representa um aumento significativo nas ações legais contra operadores de ransomware. Os réus enfrentam penas de até 20 anos de prisão por extorsão e 10 anos por danos a computadores, além de possíveis multas e confisco de ativos relacionados ao esquema de ransomware.

Três indivíduos foram acusados de invadir redes de cinco empresas nos EUA utilizando o ransomware BlackCat, também conhecido como ALPHV, entre maio e novembro de 2023. Os acusados, Ryan Clifford Goldberg, Kevin Tyler Martin e um co-conspirador não identificado, teriam atacado uma empresa de dispositivos médicos na Flórida, uma farmacêutica em Maryland, um consultório médico na Califórnia, uma empresa de engenharia na Califórnia e um fabricante de drones na Virgínia. Os ataques resultaram em extorsões, com a empresa de dispositivos médicos pagando cerca de 1,27 milhão de dólares em criptomoeda, embora os outros ataques não tenham gerado pagamentos. Os acusados foram identificados como negociadores de ameaças de ransomware e um gerente de resposta a incidentes em empresas de cibersegurança. As acusações incluem conspiração para interferir no comércio interestadual por extorsão e danos intencionais a computadores protegidos, com penas que podem chegar a 50 anos de prisão. O caso destaca a crescente ameaça do ransomware e a necessidade de vigilância constante na segurança cibernética.

O grupo de ransomware Akira anunciou em 29 de outubro de 2025 que conseguiu invadir os sistemas do Apache OpenOffice, exfiltrando 23 gigabytes de dados corporativos sensíveis. Conhecido por suas táticas de dupla extorsão, o grupo ameaçou divulgar as informações caso um resgate não fosse pago. O Apache OpenOffice, uma ferramenta de produtividade de código aberto amplamente utilizada, não teve seus servidores de download comprometidos, garantindo a segurança das instalações dos usuários até o momento. Os dados supostamente roubados incluem registros pessoais de funcionários, como endereços, números de telefone, datas de nascimento, além de informações financeiras e documentos confidenciais internos. A Apache Software Foundation ainda não confirmou a violação, levantando dúvidas sobre a autenticidade dos dados. O incidente destaca os riscos crescentes enfrentados por organizações de software de código aberto, que frequentemente operam com recursos limitados de cibersegurança. A situação é um alerta para a necessidade de maior investimento em segurança cibernética para proteger infraestruturas digitais críticas.

Um novo grupo de cibercrime, denominado Scattered Lapsus$ Hunters, lançou uma campanha de extorsão visando inquilinos corporativos da Salesforce em todo o mundo. Este grupo, associado a uma aliança chamada ‘Trinity of Chaos’, afirma ter roubado mais de um bilhão de registros da Salesforce entre maio e setembro de 2025, afetando grandes organizações como Toyota, FedEx e Disney. A campanha utiliza um modelo de extorsão como serviço (EaaS), onde os atacantes não criptografam dados, mas ameaçam divulgar informações sensíveis se o resgate não for pago. A técnica de phishing por voz (vishing) foi uma das principais táticas utilizadas, enganando as vítimas para que autorizassem integrações maliciosas em seus portais Salesforce. Embora o FBI tenha conseguido apreender a infraestrutura do grupo na superfície da web, a operação ainda está ativa no darknet. Especialistas em segurança alertam que essa mudança de foco para a monetização de dados representa um novo desafio para as organizações, que devem adotar controles de acesso rigorosos e monitorar continuamente suas credenciais expostas.

As ameaças cibernéticas estão se tornando cada vez mais sofisticadas, com atacantes utilizando engenharia social, manipulação impulsionada por IA e exploração de nuvem para comprometer sistemas antes considerados seguros. O relatório destaca como o Microsoft Teams tem sido utilizado por grupos de ameaças para extorsão e roubo financeiro, enfatizando a importância de fortalecer a proteção de identidade e a segurança dos endpoints. Além disso, uma nova campanha de malware utiliza arquivos de atalho (.LNK) maliciosos para implantar um dropper de PowerShell, demonstrando a eficácia de técnicas de evasão. O artigo também menciona uma campanha de desinformação apoiada por Israel, visando desestabilizar o Irã, e a investigação da França sobre a coleta de dados de voz da Siri pela Apple. Outro ponto crítico é o roubo de criptomoedas, com hackers norte-coreanos responsáveis por cerca de $2 bilhões em furtos em 2025, destacando a crescente dependência do regime de atividades cibernéticas para financiamento. O artigo conclui com a resistência de empresas de tecnologia à proposta de controle de chat da UE, que exigiria a varredura de comunicações criptografadas, levantando preocupações sobre privacidade e vigilância em massa.

Um novo grupo de hackers, denominado Crimson Collective, representa uma ameaça significativa à infraestrutura de nuvem, com foco especial em ambientes da Amazon Web Services (AWS). De acordo com a pesquisa da Rapid7, o grupo se especializa em operações de roubo de dados e extorsão, utilizando credenciais de acesso de longo prazo comprometidas e políticas IAM excessivamente permissivas para infiltrar sistemas corporativos.

Os ataques começam com a exploração de chaves de acesso AWS vazadas, frequentemente obtidas de repositórios expostos ou ambientes mal configurados. Utilizando a ferramenta TruffleHog, os atacantes localizam e validam credenciais utilizáveis. Uma vez dentro do sistema, eles estabelecem persistência e elevam privilégios, ganhando controle administrativo total sobre o ambiente da vítima.

Um novo site de vazamento foi lançado pelo grupo de hackers conhecido como Scattered Lapsus$ Hunters, visando a extorsão de empresas que utilizam a plataforma Salesforce. O site, hospedado na rede Tor, exige pagamentos de resgate em troca da remoção de dados roubados. A origem desse ataque remonta ao final de 2024, quando os hackers utilizaram táticas de engenharia social, como o vishing, para obter acesso a ambientes corporativos da Salesforce. Eles conseguiram comprometer a plataforma Salesloft, extraindo credenciais e chaves de acesso armazenadas em repositórios de código. Isso permitiu que os atacantes acessassem o ambiente de nuvem da Salesloft, coletando tokens OAuth que possibilitaram a movimentação lateral em sistemas integrados. O site de extorsão foi lançado em 3 de outubro de 2025, listando clientes afetados e a quantidade de dados roubados, com um prazo para pagamento até 10 de outubro. Embora a Salesforce tenha afirmado que sua plataforma principal não foi comprometida, a flexibilidade de integração da plataforma apresenta riscos significativos. Especialistas em segurança recomendam a implementação de controles rigorosos sobre permissões de API e a adoção de autenticação multifator para mitigar esses riscos.

Hackers estão explorando rapidamente bancos de dados expostos na nuvem e em SaaS utilizando técnicas “sem malware”, abusando de comandos legítimos e configurações inadequadas. As operações automatizadas evoluíram para campanhas de dupla extorsão, com MySQL e PostgreSQL sendo as plataformas mais visadas. Os ataques resultam na criação de notas de resgate em novas tabelas de banco de dados, pressionando as vítimas com ameaças de vazamento ou venda de dados roubados.

O Google Mandiant e o Google Threat Intelligence Group (GTIG) estão monitorando uma nova atividade maliciosa possivelmente ligada ao grupo de cibercriminosos Cl0p, conhecido por suas motivações financeiras. Desde o dia 29 de setembro de 2025, executivos de diversas organizações têm recebido e-mails de extorsão, nos quais os criminosos alegam ter roubado dados sensíveis do Oracle E-Business Suite. Genevieve Stark, do GTIG, afirmou que a investigação ainda está em estágios iniciais e que as alegações do grupo não foram confirmadas. Charles Carmakal, CTO da Mandiant, descreveu a operação como uma “campanha de e-mail de alto volume” originada de contas comprometidas, algumas das quais estão ligadas ao grupo FIN11, que já atuava em ataques de ransomware desde 2020. Os e-mails maliciosos incluem informações de contato que foram verificadas como estando listadas no site de vazamento de dados do Cl0p, sugerindo uma associação com o grupo. Embora o Google não tenha evidências concretas para confirmar essas ligações, a similaridade nas táticas utilizadas em ataques anteriores do Cl0p levanta preocupações. A forma como os atacantes obtêm acesso inicial ainda não está clara, mas acredita-se que eles tenham comprometido e-mails de usuários e abusado da função de redefinição de senha do Oracle E-Business Suite. O grupo Cl0p é conhecido por explorar falhas em várias plataformas, comprometendo milhares de organizações nos últimos anos.

O ransomware BQTLOCK, identificado recentemente, opera sob o modelo Ransomware-as-a-Service (RaaS) desde julho de 2025. Associado ao grupo hacktivista pro-Palestina Liwaa Mohammed, o malware utiliza uma metodologia de dupla extorsão, exigindo pagamentos que variam de 13 a 40 XMR (aproximadamente R$ 18.000 a R$ 54.000). Os atacantes impõem um prazo de 48 horas para que as vítimas entrem em contato, com a ameaça de dobrar o valor do resgate se não houver resposta. Após sete dias, as chaves de descriptografia são excluídas permanentemente, e os dados roubados são vendidos em um site controlado pelos criminosos.

O grupo de ransomware Kawa4096, que surgiu em junho de 2025, rapidamente ganhou notoriedade ao atacar multinacionais em diversos setores, incluindo finanças, educação e serviços, nos Estados Unidos e Japão. Diferente de outros grupos que se concentram em setores específicos, Kawa4096 não demonstra preferência industrial, o que aumenta seu alcance e potencial de dano. O grupo utiliza um modelo de dupla extorsão, onde os dados das vítimas são não apenas criptografados, mas também ameaçados de divulgação caso o resgate não seja pago.

O grupo de cibercrime ShinyHunters, conhecido por extorsões de dados em larga escala, ampliou suas táticas em 2025, incluindo phishing por voz habilitado por IA e compromissos na cadeia de suprimentos. Em colaboração com afiliados como Scattered Spider, o grupo está lançando campanhas sofisticadas de vishing contra plataformas de SSO em setores como varejo, aviação e telecomunicações, exfiltrando grandes conjuntos de dados de clientes e preparando o novo ransomware ‘shinysp1d3r’ para atacar ambientes VMware ESXi.

O grupo de ransomware Everest reivindicou a responsabilidade pelo roubo de aproximadamente 600.000 linhas de documentos internos da Bayerische Motoren Werke AG (BMW), um dos maiores incidentes de segurança no setor automotivo em 2025. Os arquivos comprometidos incluem relatórios de auditoria, especificações de engenharia, demonstrações financeiras e comunicações executivas confidenciais. A análise de especialistas em cibersegurança revelou que os atacantes obtiveram acesso inicial por meio de um ponto de acesso remoto (RDP) comprometido, utilizando credenciais fracas ou reutilizadas para se mover lateralmente na rede da BMW. A exfiltração dos dados foi automatizada, com arquivos criptografados enviados para um servidor de comando e controle. A situação é crítica, pois a divulgação dos documentos pode resultar em danos à reputação da BMW, além de riscos regulatórios e de propriedade intelectual. Especialistas recomendam a adoção de uma arquitetura de segurança de confiança zero, autenticação multifatorial rigorosa e avaliações de vulnerabilidade regulares. A BMW ainda não confirmou oficialmente o incidente, enquanto a pressão aumenta para proteger suas informações proprietárias.

O FBI emitiu um alerta sobre atividades de dois grupos hackers, UNC6040 e UNC6395, que atacaram plataformas Salesforce de várias empresas, incluindo Google e Cloudflare. Os ataques, que começaram no final de 2024, utilizam engenharia social e vishing, onde os golpistas se passam por suporte técnico para induzir funcionários a conectar aplicativos OAuth falsos. Isso resultou no vazamento de dados sensíveis e extorsão por parte do grupo ShinyHunters. O UNC6395, por sua vez, explorou brechas na atualização da plataforma Salesforce Drift, permitindo acesso a informações críticas, como senhas e tokens de autenticação. O FBI ainda investiga os responsáveis, mas o grupo ShinyHunters já reivindicou a autoria dos ataques, que também comprometeram sistemas do FBI. As empresas afetadas incluem gigantes como Adidas, Cisco e Palo Alto Networks, levantando preocupações sobre a segurança de dados e a conformidade com a LGPD no Brasil.

O grupo de ransomware BlackNevas, surgido no final de 2024, rapidamente se tornou uma ameaça significativa para empresas e infraestruturas críticas em todo o mundo. Diferente de muitos grupos que operam sob o modelo Ransomware-as-a-Service (RaaS), o BlackNevas realiza campanhas direcionadas com precisão devastadora. Com operações concentradas na região Ásia-Pacífico, especialmente no Japão, Coreia e Tailândia, o grupo também tem atacado países europeus como Reino Unido, Itália e Lituânia, além de regiões nos Estados Unidos, como Connecticut.

Uma nova variante de ransomware, chamada Yurei, foi identificada no cenário de cibercrime, com seu primeiro ataque registrado em 5 de setembro de 2025, visando uma empresa de alimentos no Sri Lanka. O grupo, que se expandiu rapidamente para vítimas na Índia e Nigéria, adota um modelo de dupla extorsão, criptografando dados e exfiltrando arquivos sensíveis para pressionar as vítimas durante as negociações de resgate.

Desenvolvido na linguagem Go, o ransomware Yurei se inspira no projeto open-source Prince-Ransomware, mas apresenta melhorias significativas, como o uso do modelo de concorrência do Go para acelerar a criptografia. Ele utiliza a cifra ChaCha20 para criptografar arquivos, gerando chaves únicas para cada um. No entanto, uma falha crítica herdada de seu predecessor é a não remoção das Cópias de Sombra de Volume, permitindo que as vítimas possam restaurar dados sem pagar o resgate.

O FBI emitiu um alerta sobre dois grupos cibercriminosos, UNC6040 e UNC6395, que têm realizado ataques de roubo de dados e extorsão, visando plataformas Salesforce. O grupo UNC6395 foi responsável por uma campanha de roubo de dados em agosto de 2025, explorando tokens OAuth comprometidos do aplicativo Salesloft Drift, que teve sua conta do GitHub violada entre março e junho de 2025. Em resposta, a Salesloft isolou sua infraestrutura e desativou o aplicativo. O grupo UNC6040, ativo desde outubro de 2024, tem utilizado campanhas de vishing para obter acesso inicial e roubar dados em larga escala, utilizando uma versão modificada do aplicativo Data Loader do Salesforce. Após as intrusões, o grupo também se envolveu em atividades de extorsão, que foram atribuídas a um outro grupo chamado UNC6240, que se identifica como ShinyHunters. Recentemente, houve uma união entre ShinyHunters, Scattered Spider e LAPSUS$, que anunciaram a suspensão de suas atividades, embora especialistas alertem que isso pode ser uma estratégia para evitar a atenção das autoridades. As organizações devem permanecer vigilantes, pois o silêncio de um grupo de ameaças não significa que o risco desapareceu.

O grupo de ransomware Dire Wolf, que surgiu em maio de 2025, rapidamente se tornou uma ameaça significativa à cibersegurança, atacando organizações em diversas indústrias e regiões. Desde seu primeiro ataque, que resultou na divulgação de seis vítimas em um site da darknet, o grupo tem utilizado uma estratégia de dupla extorsão, combinando a criptografia de dados com ameaças de vazamento de informações.

A técnica de criptografia do Dire Wolf é sofisticada, utilizando algoritmos como Curve25519 e ChaCha20, o que torna a recuperação de dados extremamente difícil. O ransomware não utiliza arquivos de configuração tradicionais, mas sim argumentos de linha de comando para controle, e implementa um sistema de mutex para evitar execuções múltiplas. Além disso, o malware apaga cópias de sombra e interrompe serviços essenciais, eliminando opções de recuperação.

O ransomware NightSpire, detectado pela primeira vez em fevereiro de 2025, rapidamente se tornou uma das principais ameaças cibernéticas para corporações globais. Utilizando um modelo de Ransomware-as-a-Service (RaaS), o grupo aperfeiçoou sua estratégia de dupla extorsão e métodos avançados de criptografia, afetando setores variados, como varejo, manufatura e serviços financeiros. NightSpire escolhe suas vítimas com base na exploração sistemática de vulnerabilidades em redes mal protegidas, frequentemente devido à falta de atualizações de segurança e falhas na gestão de credenciais. Após a infiltração, o ransomware criptografa arquivos e diretórios, interrompendo operações comerciais essenciais. As vítimas recebem notas de resgate e são pressionadas por meio de um site de vazamento dedicado, que também serve como plataforma de negociação. A técnica de criptografia do NightSpire é notável, utilizando chaves simétricas AES e RSA, o que dificulta a recuperação dos dados. A combinação de expertise técnica e guerra psicológica coloca o NightSpire na vanguarda da evolução do ransomware, exigindo que as empresas adotem defesas e planos de resposta a incidentes urgentes e sistemáticos.

Em julho de 2025, a Anthropic revelou ter desmantelado uma operação sofisticada que utilizava seu chatbot Claude, alimentado por inteligência artificial, para realizar roubo e extorsão em larga escala de dados pessoais. O ataque visou pelo menos 17 organizações, incluindo instituições de saúde, serviços de emergência e órgãos governamentais, com os criminosos ameaçando expor publicamente as informações roubadas para forçar o pagamento de resgates que ultrapassavam $500.000. Utilizando o Claude Code em uma plataforma Kali Linux, o ator desconhecido automatizou várias fases do ciclo de ataque, desde a coleta de credenciais até a penetração de redes. O uso de IA permitiu que o atacante tomasse decisões táticas e estratégicas, selecionando quais dados exfiltrar e elaborando demandas de extorsão personalizadas com base em análises financeiras. A Anthropic desenvolveu um classificador personalizado para detectar comportamentos semelhantes e compartilhou indicadores técnicos com parceiros estratégicos. O caso destaca como ferramentas de IA estão sendo mal utilizadas para facilitar operações cibernéticas complexas, tornando a defesa mais desafiadora.

Pesquisadores de cibersegurança identificaram uma nova variante do trojan bancário HOOK, que agora incorpora telas de sobreposição no estilo ransomware para extorquir vítimas. Essa variante é capaz de exibir uma tela de alerta em tela cheia, que apresenta uma mensagem alarmante de ‘AVISO’, juntamente com um endereço de carteira e um valor, ambos recuperados dinamicamente de um servidor de comando e controle (C2). O ataque é iniciado remotamente quando o comando ‘ransome’ é enviado pelo servidor C2, e o atacante pode remover a sobreposição com o comando ‘delete_ransome’.