O último Relatório Global de Ransomware da Check Point® Research (CPR), da Check Point® Software Technologies, revela que o terceiro trimestre de 2025 registou uma fragmentação histórica do ecossistema de ciberextorsão, com 85 grupos ativos e 1 592 vítimas divulgadas publicamente, um aumento de 25% face ao mesmo período de 2024.
Apesar das operações policiais de grande escala, a atividade global mantém-se elevada, com uma média de 535 vítimas por mês. “A estrutura do ransomware mudou. Já não falamos de meia dúzia de grandes grupos, mas de dezenas de pequenos grupos independentes, altamente dinâmicos e sem qualquer preocupação reputacional”, explica Omer Dembinsky, Data Research Manager da Check Point Research. “Esta descentralização torna o ecossistema mais volátil, mais difícil de rastrear e mais perigoso para as vítimas.”
Fragmentação recorde e novos grupos
Entre julho e setembro, surgiram 14 novos grupos, enquanto apenas 56% das vítimas foram atribuídas aos 10 grupos mais ativos – uma queda face aos 71% registados no primeiro trimestre de 2025. Dos 85 grupos analisados, 47 publicaram menos de 10 vítimas, refletindo a proliferação de pequenos afiliados que operam autonomamente, muitas vezes após o encerramento de redes conhecidas como RansomHub, 8Base, BianLian ou Cactus.
“As operações policiais continuam a ter impacto, mas apenas de curto prazo. Os afiliados migram rapidamente para outros programas, mantendo o volume global de ataques praticamente inalterado”, acrescenta Dembinsky.
O regresso do LockBit, após a operação policial internacional “Cronos” em 2024, foi outro ponto marcante do trimestre. Em setembro, o administrador “LockBitSupp” lançou o LockBit 5.0, com suporte multiplataforma, encriptação avançada e novos protocolos de afiliação. Até ao final do trimestre, o grupo já tinha mais de 15 vítimas confirmadas nos Estados Unidos, México, Indonésia e Europa.
O grupo Qilin tornou-se o mais ativo do ano, com uma média de 75 vítimas por mês no terceiro trimestre, duplicando a atividade face ao início de 2025. O destaque vai para uma série de 30 ataques ao setor financeiro sul-coreano, colocando o país no Top 10 global de vítimas.
Já o DragonForce aposta em marketing agressivo e diferenciação de marca, oferecendo serviços inéditos como auditoria de dados roubados. A atividade do grupo triplicou desde abril, atingindo 56 vítimas no trimestre, concentradas em empresas alemãs e instituições de elevado volume financeiro.
Os Estados Unidos continuam a ser o principal alvo, concentrando metade dos ataques globais. Entre os setores mais afetados estão a indústria transformadora e os serviços empresariais (10% cada), seguidos da saúde (8%) e do financeiro, que registou forte crescimento devido a campanhas regionais direcionadas.
Segundo a Check Point, embora a ação das autoridades consiga encerrar plataformas e deter administradores, o efeito na redução de ataques é temporário. O ecossistema de ransomware em 2025 é mais fragmentado, resiliente e competitivo do que nunca. “Estamos perante um mercado que se comporta como uma verdadeira economia paralela. Os atacantes inovam, competem, recrutam e comunicam como start-ups, mas o seu produto continua a ser o mesmo: a extorsão”, conclui Dembinsky.
