Press Release: A Check Point Research (CPR), equipa de investigadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder mundial em soluções de cibersegurança, acaba de divulgar o relatório sobre a evolução do ransomware durante o primeiro trimestre de 2025, e os valores são preocupantes. Segundo os dados revelados, o número de vítimas publicamente mencionadas e extorquidas foi o mais elevado de sempre, com o valor total a corresponder a um aumento de 126% em relação ao ano anterior.
Ransomware no 1.º Trimestre de 2025: Um Aumento Sem Precedentes
O ransomware continua a ser uma das ameaças cibernéticas mais persistentes e destrutivas a nível global. O primeiro trimestre de 2025 registou um aumento sem precedentes da atividade, com 74 grupos de ransomware diferentes a reivindicar publicamente vítimas em sites de fuga de dados (Data Leak Sites – DLS). No total, foram reportadas 2.289 vítimas, mais do dobro das 1.011 vítimas publicadas no mesmo período de 2024 — um aumento homólogo de 126%.
Mesmo descontando as 300 vítimas associadas à divulgação em massa feita pelo Cl0p em fevereiro, relacionada com a exploração da plataforma Cleo, os números continuam a ser historicamente elevados. A média mensal ajustada supera as 650 vítimas, em comparação com cerca de 450 por mês ao longo de 2024. Com Cl0p incluído, a média mensal de vítimas no primeiro trimestre sobe para 760 — um novo recorde de atividade.
Este aumento acentuado pode, em parte, refletir uma tendência crescente entre os cibercriminosos de exagerar o seu impacto, incluindo a fabricação de dados de vítimas para projetar maior alcance e intimidar alvos. Por outro lado, importa referir que as organizações que pagam rapidamente os resgates tendem a não ser listadas publicamente nos sites de fuga de dados, o que sugere que os números historicamente divulgados poderão ter subestimado a verdadeira dimensão dos incidentes. Esta discrepância merece uma análise mais aprofundada, desenvolvida nas secções seguintes.
Distribuição Geográfica Mantém-se Estável
A distribuição geográfica das vítimas de ransomware no primeiro trimestre de 2025 segue os padrões já conhecidos. Tal como em anos anteriores, os Estados Unidos representaram aproximadamente metade de todas as vítimas reportadas, confirmando o país como o principal alvo dos cibercriminosos motivados financeiramente. A maioria das vítimas continua a estar localizada em países desenvolvidos do Ocidente, onde as organizações são vistas como tendo maior capacidade financeira e maior probabilidade de pagar os resgates.
Em mercados como o Reino Unido, o grupo Medusa destacou-se com atividade desproporcionada — foi responsável por mais de 9% das vítimas no país, comparando com apenas 2% a nível global, o que sugere uma estratégia de ataque deliberada ou uma presença operacional forte na região.
Na Alemanha, o grupo Safepay foi o mais ativo, com 24% das vítimas reportadas no país — a percentagem mais elevada atribuída a qualquer grupo em território alemão.
Cl0p: Ataques sem Encriptação e Exploração da Cadeia de Fornecimento
Com 392 vítimas identificadas publicamente, o Cl0p foi o grupo de ransomware mais ativo no primeiro trimestre de 2025. A sua abordagem continua a focar-se em ataques sem encriptação, apostando na exfiltração de dados e extorsão posterior, operando por ondas e explorando vulnerabilidades zero-day em plataformas de terceiros para comprometer fornecedores de serviços e aceder aos dados dos seus clientes.
Depois de campanhas de grande impacto como o GoAnywhere (início de 2023) e MOVEit (meados de 2023), a atividade do Cl0p em 2025 centrou-se na exploração de produtos geridos pela Cleo (Harmony, VLTrader e LexiCom), sendo responsável por mais de 300 casos divulgados nesse contexto.
A distribuição geográfica das vítimas do Cl0p revela uma concentração notável na América do Norte: 83% das vítimas estão nos EUA e Canadá, seguidas pelo Reino Unido e Alemanha. A análise por setores também se destaca: 33% das vítimas pertencem ao setor de Bens de Consumo e Serviços e 12% ao setor de Transportes e Logística — mais do dobro dos 4,8% habituais deste setor. Esta distribuição reflete o perfil de clientes da Cleo, com forte presença nos EUA em áreas como indústria, logística e cadeia de fornecimento.
RansomHub: Uma Nova Força no Pós-LockBit
O grupo RansomHub, criado em fevereiro de 2024, afirmou-se rapidamente como um dos grupos dominantes de ransomware, nomeando publicamente 228 vítimas só no primeiro trimestre de 2025. O seu crescimento rápido surge após a disrupção do grupo LockBit pelas autoridades, preenchendo o vazio deixado por uma das maiores operações de Ransomware-as-a-Service (RaaS).
O sucesso do RansomHub assenta numa estratégia agressiva de recrutamento de afiliados, oferecendo modelos de partilha de lucros atrativos.
Babuk-Bjorka: Reputação à Custa de Vítimas Recicladas
Desde o seu surgimento no início de 2025, o grupo Babuk-Bjorka reivindicou 167 vítimas. Apresentando-se como sucessor do Babuk original (cujo código-fonte foi divulgado em 2021), não há evidência de ligação direta entre os grupos. É mais provável que se trate de uma tentativa de usar o nome Babuk para ganhar notoriedade e recrutar afiliados no modelo RaaS.
Em janeiro, o grupo anunciou 68 vítimas, mas muitas revelaram-se duplicações de incidentes anteriormente atribuídos a outros grupos. A tática de inflacionar números para atrair atenção tornou-se mais comum após a queda da LockBit.
FunkSec: Malware com IA e Motivações Difusas
Emergindo em dezembro de 2024, o FunkSec exemplifica as novas tendências do ecossistema. O grupo reivindicou mais de 170 ataques, embora a credibilidade das alegações seja questionável. Investigações da Check Point sugerem que o malware usado foi desenvolvido com ferramentas de inteligência artificial, o que permitiu criar versões sofisticadas mesmo sem grande conhecimento técnico — baixando a barreira de entrada para novos cibercriminosos.
Para além disso, o FunkSec atua numa zona cinzenta entre ativismo digital e cibercrime financeiro, tornando as suas motivações difíceis de interpretar.
Novos Grupos e Táticas Num Cenário Fragmentado
Após os desmantelamentos de grupos como LockBit e ALPHV, surgiram várias novas células de ransomware, aproveitando:
- O acesso a código-fonte vazado;
- Ferramentas de IA para desenvolver malware;
- Uma crise de confiança entre afiliados e operadores RaaS, especialmente após a traição da ALPHV ao seu afiliado “Notchy”.
Um exemplo desta nova vaga é o grupo VanHelsing, identificado pela Check Point em março de 2025. O grupo cobra uma taxa de entrada de $5.000, oferece 80% de partilha de receitas e disponibiliza uma interface intuitiva para atacar sistemas Windows, Linux, BSD, ARM e ESXi.
Em apenas duas semanas, foi ligado a três vítimas confirmadas, com exigências de resgate até $500.000.
Os esforços das autoridades para combater o crime associado ao ransomware continuaram em 2025, com o desmantelamento do 8Base, um dos grupos de ransomware mais ativos de 2024. Numa operação internacional coordenada, autoridades de 14 países detiveram quatro cidadãos russos, suspeitos de liderar o grupo, que operava desde 2022. Esta ação seguiu-se à detenção anterior de principais afiliados do grupo Phobos na Coreia do Sul e em Itália, representando um golpe significativo para o ecossistema global de ransomware.
Extorsão de Dados e o Desafio de Medir o Impacto Real
À medida que o ransomware evolui da encriptação tradicional para a extorsão pura de dados, torna-se mais difícil estimar o verdadeiro impacto dos ataques. Muitas vítimas só se apercebem de que foram atacadas quando os seus dados aparecem nos sites de fuga.
Esta técnica também abriu caminho a abusos: alguns grupos publicam dados falsos ou já divulgados anteriormente, tentando coagir empresas inocentes ou aumentar artificialmente a sua reputação. Casos como o Babuk-Bjorka e o comportamento do LockBit após o seu colapso ilustram esta prática.
Consequentemente, as estatísticas baseadas apenas em divulgações públicas são cada vez menos fiáveis. A empresa Chainalysis observou uma queda de 35% nos pagamentos em criptomoeda a grupos de ransomware, o que pode indicar um menor sucesso nas extorsões reais ou um fosso crescente entre o que os grupos afirmam e a realidade dos ataques.
Siga a Check Point Software:
X: http://www.twitter.com/checkpointsw
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (www.checkpoint.com) é um fornecedor líder de plataformas de cibersegurança alimentadas por IA e fornecidas na cloud, protegendo mais de 100.000 organizações em todo o mundo. A Check Point aproveita o poder da IA em todo o lado para melhorar a eficiência e a precisão da cibersegurança através da sua Plataforma Infinity, com taxas de captura líderes na indústria, permitindo uma antecipação proativa de ameaças e tempos de resposta mais inteligentes e rápidos.
A plataforma abrangente inclui tecnologias fornecidas pela cloud que consistem em Check Point Harmony para proteger o espaço de trabalho, Check Point CloudGuard para proteger a cloud, Check Point Quantum para proteger a rede e Check Point Infinity Core Services para operações e serviços de segurança colaborativos.
Mais informações aqui.
