Contexto e tendências globais
Com o Dia Internacional Anti-Ransomware ocorrendo em 12 de maio, a Kaspersky apresenta seu relatório anual sobre a paisagem global e regional de ameaças cibernéticas de ransomware. O ransomware permanece uma das ameaças cibernéticas mais persistentes e adaptáveis. Em 2026, novas famílias continuam a emergir, adotando cifras de criptografia pós-quântica.
Conforme os pagamentos de resgate caem, alguns grupos implementam ataques de extorsão sem criptografia. Em um ecossistema de atores de ameaças em constante mudança, os corretores de acesso inicial mantêm um papel relevante neste mercado, mostrando maior foco no acesso ao RDWeb como método preferido de acesso remoto.
Declínio de ataques, mas ameaça persistente
De acordo com a Kaspersky Security Network, a participação de organizações afetadas por ransomware diminuiu em 2025 em todas as regiões em comparação com 2024. Apesar da diminuição formal, organizações de todos os setores continuam enfrentando uma alta probabilidade de ataque, pois os operadores de ransomware refinam suas táticas e escalam suas operações com eficiência crescente.
A Kaspersky e a VDC Research descobriram que apenas no setor de manufatura, os ataques de ransomware podem ter causado mais de 18 bilhões de dólares em perdas nos primeiros três trimestres do ano. Isso destaca que, embora os números possam cair, o impacto financeiro permanece devastador.
Ascensão de EDR killers e evasão de defesa
Em 2026, os operadores de ransomware priorizam cada vez mais neutralizar as defesas de endpoint antes de executar seus payloads. Ferramentas comumente referidas como "EDR killers" tornaram-se um componente padrão dos playbooks de ataque. Isso reflete uma tendência contínua em direção a intrusões mais deliberadas e metódicas.
Os atacantes tentam terminar processos de segurança e desativar agentes de monitoramento, muitas vezes explorando componentes confiáveis, como drivers assinados. Essa técnica é chamada de Bring Your Own Vulnerable Driver (BYOVD) e permite que adversários se misturem à atividade do sistema legítima enquanto degradam gradualmente a visibilidade defensiva.
Assim, a evasão não é mais um passo oportunista, mas uma fase planejada e repetível do ciclo de vida do ataque. Como resultado, as organizações estão cada vez mais desafiadas não apenas a detectar ransomware, mas também a manter o controle em ambientes onde os próprios controles de segurança são ativamente visados.
Criptografia pós-quântica e ransomware PE32
Previsões anteriores indicavam que o ransomware resistente a quantum apareceria em 2025. Olhando para o ano anterior, vemos que grupos avançados de ransomware realmente começaram a usar criptografia pós-quântica conforme a computação quântica evoluiu. As técnicas de criptografia usadas por esse ransomware à prova de quantum poderiam ser usadas para resistir a tentativas de descriptografia de computadores clássicos e quânticos.
Um exemplo é o aparecimento da família de ransomware PE32, que aproveita o padrão ML-KEM (Mecanismo de Encapsulamento de Chaves Baseado em Retículo) de ponta para proteger suas chaves AES. Este framework criptográfico específico foi recentemente selecionado pelo NIST como o padrão primário para defesa pós-quântica.
Dentro da arquitetura do ransomware PE32, isso é realizado através do algoritmo Kyber1024, um mecanismo robusto que fornece segurança de Nível 5, aproximadamente equivalente em força ao AES-256. Sua função principal é a geração segura e transmissão de segredos compartilhados entre partes, especificamente projetada para resistir a ataques futuros de computação quântica.
Mudança para extorsão sem criptografia
Em 2025, a participação de resgates pagos caiu para 28%. Como resposta, um dos desenvolvimentos na paisagem de 2026 é a prevalência crescente de incidentes de extorsão nos quais nenhuma criptografia de arquivo ocorre. Em vez disso, os atacantes deixam de fora o "ware" em "ransomware" e focam na extração de dados sensíveis e no uso da ameaça de divulgação pública como seu meio principal de extorsão.
O grupo ShinyHunters é um excelente exemplo de tal grupo, usando um site de vazamento de dados para publicizar suas vítimas. Ao evitar a criptografia, os atacantes podem visar reduzir a probabilidade de detecção imediata, encurtar a duração do ataque e eliminar dependências de rotinas de criptografia estáveis.
Para as vítimas, essa mudança muda fundamentalmente a natureza do risco. Embora os backups permaneçam eficazes contra a interrupção baseada em criptografia, eles não oferecem proteção contra exposição de dados, consequências regulatórias e danos reputacionais. O ransomware está, portanto, evoluindo de um problema de continuidade de negócios para um desafio mais amplo de segurança de dados e conformidade.
Recomendações de proteção
A Kaspersky recomenda que as organizações priorizem a prevenção proativa por meio de patching e gerenciamento de vulnerabilidades. Para ambientes Windows, habilitar a Lista de Bloqueio de Drivers Vulneráveis da Microsoft é crítico para thwarting ataques BYOVD.
Fortalecer o acesso remoto: conexões RDP e RDWeb nunca devem ser expostas diretamente à internet, apenas através de VPN ou ZTNA. É altamente recomendável adotar autenticação multifator em tudo. Monitorar o submundo para credenciais de funcionários roubadas é essencial.
Investir em backups, treinamento e planejamento de resposta a incidentes. Manter backups offline ou imutáveis que são testados regularmente para garantir recuperação rápida sem pagar resgate. A educação do usuário é essencial para combater phishing, que permanece um dos principais vetores de ataque.