Sem categoria

Ransomware 2026: o ataque que não cifra — mas quebra o negócio do mesmo jeito

Posted on by Taithson

2025 bateu recorde de ataques “clássicos”, mas o dado mais importante está nas entrelinhas: a extorsão sem criptografia explodiu. Se a sua estratégia ainda é “evitar a cifra e restaurar backup”, 2026 vai cobrar um preço alto.

Em relatórios baseados em dados de sites de vazamento, grupos de ransomware “reivindicaram” 4.737 ataques em 2025 (vs. 4.701 em 2024), o maior volume já registrado. Só que o número que muda o jogo aparece quando incluímos um novo padrão: ataques de extorsão que não implantam ransomware (não cifram), apenas roubam dados e chantageiam. Em 2025, somando essas campanhas, o total de extorsões chega a 6.182 — um salto de 23% sobre 2024.

A pergunta que fica não é “vai ter ransomware em 2026?”, e sim: qual modelo de extorsão vai te atingir primeiro — e onde sua defesa está cega?

1) A economia do ransomware ficou mais resiliente (mesmo com grandes quedas)

Um sinal claro disso foi abril de 2025: houve uma queda perceptível na atividade quando a operação RansomHub (então dominante) saiu de cena de forma repentina — mas o “mercado” se reorganizou rápido e os ataques voltaram. O ponto é que derrubar um grande player não derruba o ecossistema: afiliados migram, playbooks são reaproveitados, infraestrutura é reciclada.

O próprio relatório descreve que o colapso da RansomHub resultou apenas em um “drop” breve, com afiliados migrando para outras operações como Qilin, Akira e DragonForce. E a redistribuição foi visível nos “líderes” de 2025: Akira (16% das reivindicações) e Qilin (16%) aparecem no topo, seguidos por Inc (6%), Safepay (6%) e DragonForce (5%).

Tradução para o board: esperar “a polícia resolver” ou “o grupo X cair” não é estratégia. A operação pode morrer — o risco, não.

2) Extorsão sem criptografia: menos barulho, mais escala (e mais difícil de provar impacto)

A extorsão “sem cifra” cresce por um motivo simples: ela reduz atrito para o atacante. Se o objetivo é pressão financeira, roubar dados pode ser mais rápido, mais barato e menos arriscado do que cifrar milhares de endpoints e lidar com EDR reagindo.

O relatório descreve esse movimento como uma mudança potencialmente mais significativa do que o volume anual “estável” de ataques com criptografia: há “um salto” em ataques que não envolvem cifragem e dependem apenas de roubo de dados como alavanca.

Isso também amplia o leque de vítimas: qualquer organização com dados sensíveis e exposição (jurídica, reputacional, regulatória) vira alvo, mesmo que tenha backups impecáveis.

3) O ataque moderno é (quase) todo legítimo: o inimigo usa o que você já tem

Se eu tivesse que resumir 2026 em uma frase, seria: o atacante está cada vez melhor em “parecer TI”.

O relatório reforça que as TTPs mudam lentamente e que, em cadeias de ataque atuais, “a maioria das ferramentas” é software legítimo; malware pode aparecer só no fim (ou nem aparecer). Por isso “caçar” apenas o payload final é tarde demais.

Living off the Land: PowerShell como cortina perfeita

PowerShell é apontado como a ferramenta living-off-the-land mais explorada. E o motivo é perverso: o volume legítimo é tão grande que o atacante consegue “se esconder à vista”, tornando a detecção difícil.

Desabilitar defesas virou etapa padrão

Exemplos de ferramentas BYOVD (Bring Your Own Vulnerable Driver) e scripts dedicados a “derrotar” EDR aparecem conectados à migração de afiliados e ao compartilhamento de capacidades entre grupos. O EDRKillShifter, por exemplo, é citado como ferramenta BYOVD que passou a ser compartilhada por múltiplos grupos.

Exfiltração para nuvem legítima (com “dwell time” longo)

Um caso citado mostra o uso do Restic (ferramenta legítima de backup) para exfiltrar dados para buckets do Wasabi antes do ransomware, com permanência de pelo menos dois meses no ambiente em um dos incidentes — tempo suficiente para mapear, selecionar e preparar a chantagem.

Acesso remoto “normal”: AnyDesk, MeshAgent, PsExec…

Ferramentas comuns de acesso e administração aparecem como parte da cadeia (AnyDesk, MeshAgent, PsExec, entre outras), reforçando que a linha entre operação e ataque está cada vez mais tênue.

4) Novos atores e “mistura” com espionagem: o caso Warlock

Entre as novidades, Warlock chama atenção por ligar ransomware a um contexto mais amplo: exploração de SharePoint (ToolShell CVE-2025-53770), toolkit próprio e técnicas comuns em grupos chineses, como DLL sideloading. E há indícios de sobreposição com campanhas anteriores e uso de certificado roubado e BYOVD para tentar desabilitar segurança — um tipo de sofisticação que borra a fronteira entre crime e espionagem.

Checklist prático para 2026 (o que eu revisaria nesta semana)

  • Reduzir exposição: inventário de serviços publicados, varredura contínua e patching disciplinado (a “janela” do atacante é curta).
  • Telemetria de PowerShell: logging, detecção de obfuscação/encoding e alertas por comportamento (não só por assinatura).
  • Contenção de ferramentas legítimas: quem pode usar AnyDesk/RMM? Onde? Com quais políticas?
  • Defesa contra roubo de credenciais: endurecimento de endpoints + proteção de LSASS + MFA resistente a phishing.
  • Exfiltração: controle e alerta para uso anômalo de ferramentas de “backup” e envio para storage externo (inclusive nuvem).
  • Plano de resposta focado em extorsão: jurídica, comunicação, evidências, decisão de negócio e simulações.

Em 2026, a conversa madura não é “temos backup?”. É: “conseguimos impedir roubo de dados e movimento lateral usando ferramentas legítimas — antes que vire chantagem?”

Taithson

Deixe um comentário