Ransomware no 2.º Trimestre de 2025: IA Junta-se ao Grupo, Cartéis Crescem e Taxa de Pagamento Colapsa

agosto 05, 2025

Press Release: O novo relatório da Check Point revela como o ransomware evoluiu no segundo trimestre de 2025. Está mais fragmentado, automatizado e difícil de combater.

A Check Point Research (CPR), equipa de investigadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder mundial em soluções de cibersegurança, divulgou o mais recente Relatório de Inteligência sobre Ameaças de Ransomware, onde foi analisado o ecossistema global do ransomware, e como o mesmo se está a transformar rapidamente.

Neste trimestre, destaca-se a emergência de malware gerado por Inteligência Artificial, o colapso da confiança na desencriptação, a ascensão de cartéis operados por afiliados e um cenário de ameaças cada vez mais fragmentado e difícil de rastrear. Este é o momento para os líderes de cibersegurança entenderem o novo terreno — e perceberem por que razão o ransomware continua a ser uma das áreas mais lucrativas e dinâmicas do cibercrime global.

A IA entra em ação — o ransomware alimentado por inteligência artificial já é uma realidade

Em 2025, os grupos de ransomware não estão apenas a testar IA — estão a operacionalizá-la. A CPR identificou campanhas reais que utilizam IA generativa para criar conteúdos de phishing, ofuscar código malicioso e simular a identidade de vítimas. A IA está a tornar-se um multiplicador de força para o cibercrime, reduzindo barreiras técnicas e a dependência de programadores especializados.

O grupo Global Group (também conhecido por El Dorado ou Blacklock) oferece “apoio à negociação com IA” como parte do seu serviço RaaS. Esta funcionalidade ajuda os atacantes a refinar abordagens de extorsão com o objetivo de obter resgates mais elevados.

Ferramentas de IA observadas incluem:

  • Bots que personalizam as comunicações com base nas respostas das vítimas
  • Mensagens geradas por IA, mais persuasivas ou ameaçadoras
  • Perfis psicológicos para exercer pressão estratégica sobre os decisores

Outro destaque é o grupo Qilin, que oferece novos serviços de extorsão como apoio legal à análise dos dados roubados, avaliação de possíveis violações regulatórias e preparação de documentação para submissão a entidades como autoridades fiscais ou reguladores.

De gangues a cartéis: o ransomware como marca

O ransomware está a profissionalizar-se e a descentralizar-se. O grupo DragonForce é pioneiro de um novo modelo de “cartel de ransomware”, permitindo que afiliados operem de forma semi-independente: definem os seus alvos, campanhas e métodos de extorsão.

Características do modelo de cartel:

  • Ferramentas white-label: afiliados usam os construtores de ransomware, infraestrutura de vazamento e mecanismos de encriptação da DragonForce.
  • Licenciamento de marca: os ataques mantêm o nome “DragonForce”, ganhando visibilidade imediata mesmo sem envolvimento direto do núcleo operacional.
  • Independência operacional: torna as operações mais difíceis de neutralizar e obscurece a atribuição.

Esta estratégia ganha força com a parceria com o fórum clandestino Ramp, o maior hub subterrâneo de ransomware.

Taxas de pagamento em queda não significam vitória

Pela primeira vez, as taxas globais de pagamento de resgates caíram 25–27% (dados da Coveware). Entre os motivos:

  • Maior resiliência das organizações: com backups, segmentação e planos de resposta melhorados
  • Desconfiança nos atacantes: muitas vítimas já não acreditam que pagar garanta chaves de desencriptação ou destruição dos dados
  • Pressão regulatória: países como os EUA e Austrália estão a legislar para proibir pagamentos, alterando o risco envolvido

Mas o ransomware não está a desaparecer — apenas a evoluir:

  • Tripla extorsão: encriptação, roubo de dados e ataques diretos a clientes, parceiros ou funcionários
  • Leilões de dados: venda de informação roubada em fóruns ou dark web
  • Ataques à reputação: grupos contactam imprensa, reguladores ou lançam DDoS para forçar o pagamento

Fragmentação pós-colapso: o novo normal no ransomware

O domínio de poucos grupos foi substituído por um ecossistema fragmentadoNo Q2 2025:

  • LockBit, outrora o grupo RaaS mais ativo, sofreu novos reveses e perdeu afiliados
  • RansomHub encerrou operações
  • Grupos médios como Cactus desapareceram ou dividiram-se

Em vez de um declínio, houve uma proliferação de novos atores — muitos reusando códigos e ferramentas já vazados, mas com maior discrição.

Consequências:

  • Atribuição mais difícil: os limites entre grupos esbatem-se
  • Deteção mais lenta: os grupos mais pequenos operam abaixo do radar
  • Resposta mais dispersa: as equipas de cibersegurança e as autoridades enfrentam dezenas de ameaças de baixo sinal em vez de alguns alvos prioritários

O ecossistema não está a encolher — está a multiplicar-se.

O que os líderes de segurança devem fazer agora

Lutar contra ransomware em 2025 exige mais do que atualizações e firewalls. A Check Point recomenda:

  • Adotar uma arquitetura de segurança conectada que integre proteção de endpoints, redes e identidade — especialmente em ambientes híbridos e multi-cloud
  • Implementar defesas anti-phishing em larga escala, com formação, filtros de email e deteção de conteúdo gerado por IA
  • Utilizar tecnologias de deception e threat hunting para expor movimentações laterais e atividades de afiliados
  • Segmentar e testar backups regularmente — a confiança não pode basear-se apenas em políticas ou histórico

Consulte o relatório completo

Este artigo é apenas uma visão geral. Para conhecer perfis de grupos, táticas baseadas em IA, implicações geopolíticas e estratégias de defesa práticas, descarregue o relatório completo em: Ransomware Threat Intelligence Report – Q2 2025.

Siga a Check Point Software:

Sobre a Check Point Software Technologies Ltd.

A Check Point Software Technologies Ltd. (www.checkpoint.com) é um fornecedor líder de plataformas de cibersegurança alimentadas por IA e fornecidas na cloud, protegendo mais de 100.000 organizações em todo o mundo. A Check Point aproveita o poder da IA em todo o lado para melhorar a eficiência e a precisão da cibersegurança através da sua Plataforma Infinity, com taxas de captura líderes na indústria, permitindo uma antecipação proativa de ameaças e tempos de resposta mais inteligentes e rápidos. A plataforma abrangente inclui tecnologias fornecidas pela cloud que consistem em Check Point Harmony para proteger o espaço de trabalho, Check Point CloudGuard para proteger a cloud, Check Point Quantum para proteger a rede e Check Point Infinity Core Services para operações e serviços de segurança colaborativos. 

Mais informações aqui.

DeNotar.pt

Publicada por DeNotar.pt