Contexto e evolução do cenário de ameaças
O cenário global de ransomware passou por uma transformação significativa no primeiro trimestre de 2026, caracterizada pela fragmentação de grupos estabelecidos e o surgimento de novas operações lideradas por ex-operadores de grupos de alto perfil. Dados de vazamento monitorados indicaram 2.122 novas vítimas registradas no período, consolidando o trimestre como o segundo mais alto em volume de ataques desde o início da década. Apesar das ações sustentadas de aplicação da lei, incluindo operações de desmantelamento de infraestrutura, o modelo de negócios de ransomware continua a operar com alta eficiência e resiliência.
Novos programas RaaS e linhagens criminais
Duas novas operações de Ransomware-as-a-Service (RaaS) destacaram-se no primeiro trimestre: Hyflock e The Gentlemen. Ambos surgiram em rápida sucessão em maio de 2026, com operadores recrutando afiliados publicamente em fóruns da dark web. O que torna essas entradas notáveis é a linhagem reivindicada: conexões diretas com LockBit e Qilin, dois dos grupos de ransomware mais ativos da história recente.
Relatórios de inteligência de ameaças indicam que operadores que afirmam possuir experiência prévia no LockBit e Qilin estão lançando programas independentes, carregando conhecimento institucional sobre infraestrutura de criptografia, negociação de resgate e gestão de afiliados para novas empresas criminosas. Embora as reivindicações de linhagem sejam autorreferenciadas e não possam ser verificadas independentemente, o detalhe operacional nos posts de recrutamento sugere uma experiência difícil de falsificar.
Impacto do Operation Cronos no ecossistema
O pano de fundo para essa consolidação é a Operation Cronos, a ação de aplicação da lei que apreendeu a infraestrutura do LockBit em fevereiro de 2024. Esse desmantelamento dispersou um grande pool de afiliados qualificados que eram essencialmente contratantes independentes sem onde ir. Dois anos depois, esses contratantes parecem ter se reagrupado e agora estão construindo suas próprias operações em vez de esperar que as antigas se recuperem.
Os dados do primeiro trimestre de 2026 também revelam um mercado que se consolida rapidamente em torno de um número menor de jogadores dominantes. Os 10 principais grupos responderam por 71% de todas as vítimas registradas no trimestre, um contraste agudo com a atividade fragmentada observada apenas dois trimestres antes. O Qilin liderou com 338 vítimas, enquanto o LockBit 5.0 retornou ao quarto lugar com 163.
Análise técnica e operacional dos novos grupos
O The Gentlemen RaaS cresceu de 40 vítimas no quarto trimestre de 2025 para 166 no primeiro trimestre de 2026, um aumento de 315% que o colocou em terceiro lugar globalmente em um único trimestre. Seu fundador, operando sob o pseudônimo hastalamuerte, originalmente deixou o Qilin após uma disputa de pagamento e construiu o The Gentlemen em um dos programas de crescimento mais rápido no espaço.
O grupo garantiu uma parceria oficial com o BreachForums em maio de 2026, ganhando acesso a uma grande comunidade de corretores de acesso e pentesters. O principal pitch do programa é uma participação de 90% para afiliados, dez pontos acima do que o LockBit oferecia historicamente. Seu cofre roda sem direitos de administrador, suporta ambientes Windows, Linux, NAS, BSD e ESXi, e inclui um modo silencioso projetado para derrotar a detecção comum de renomeação de arquivos.
Hyflock adotou uma abordagem diferente, centrando seu pitch em ferramentas totalmente integradas. O painel do programa agrupa compra de acesso inicial, salas de negociação automatizadas, análise de dados de vítimas baseada em IA e uma equipe de red team disponível para auxiliar afiliados durante intrusões. O ator hyflock123 afirmou que o criptografador roda a aproximadamente duas vezes a velocidade do LockBit 3.0, embora não exista benchmark independente para verificar essa afirmação atualmente.
Recomendações para defensores e CISOs
Analistas de segurança alertam que criptografia mais rápida, barreiras de habilidade mais baixas e análise financeira de dados roubados baseada em IA apontam para uma prioridade clara: os defensores precisam detectar intrusões mais cedo na cadeia de ataque. Ambos os programas anunciam propagação baseada em GPO, portanto, os logs de modificação de Política de Grupo merecem atenção próxima em qualquer ambiente corporativo.
As credenciais de backup em nuvem também devem ser isoladas dos caminhos de administrador de domínio, já que o Hyflock visa especificamente backups em nuvem ativos. O modo silencioso do The Gentlemen não altera nomes de arquivos ou datas de modificação, portanto, o monitoramento deve focar em padrões de gravação parcial rápida de processos não elevados, em vez de apenas alterações de extensão.
Ambos os programas também visam hosts ESXi, Linux e NAS que frequentemente operam sem cobertura de detecção de endpoint. O DBIR da Verizon de 2025 encontrou que 54% das vítimas de ransomware tinham credenciais de domínio surgindo em mercados de stealer antes do ataque, tornando o monitoramento de credenciais um primeiro passo essencial.
Indicadores de Comprometimento (IoCs)
Organizações devem verificar os seguintes indicadores para identificar atividades relacionadas a esses grupos:
- QTox Handle: 37BC1EC8D8EEE7ECEA44A953855DAC628DF0920CE41EE4164006BDC95ADEBA5738C870A23686 (Contato de recrutamento do operador Hyflock no QTox, postado no fórum Duty-Free).
Nota: Endereços IP e domínios são intencionalmente defanged (ex: [.]) para evitar resolução acidental ou hiperlinking. Re-fang apenas dentro de plataformas de inteligência de ameaças controladas como MISP, VirusTotal ou seu SIEM.
O que fazer agora
Os CISOs devem revisar imediatamente suas políticas de controle de acesso, garantir que as credenciais de backup em nuvem estejam segregadas e monitorar logs de modificação de GPO. A inteligência de ameaças sobre esses novos grupos deve ser integrada aos sistemas de detecção para identificar padrões de comportamento específicos, como a criação de contas de administrador não autorizadas ou a execução de scripts de criptografia em ambientes não monitorados.