Ecossistema de ransomware no 1º trimestre de 2026: mercado concentra-se em torno dos principais atores

No primeiro trimestre de 2026, a Check Point Research rastreou mais de 70 sites de vazamento de dados onde informações sobre 2.122 novas vítimas foram publicadas — um aumento de 117% em relação ao 1º trimestre de 2024. A tendência geral de aumento da atividade de ransomware continua.

Para começar, aqui estão as estatísticas principais:

📌 O número de grupos ativos de ransomware começou a declinar após dois anos de fragmentação do mercado — dos 85 grupos no pico do 3º trimestre de 2025, 14 deixaram de existir. Enquanto isso, 21 novos nomes apareceram, mas a maioria dos recém-chegados reivindicou menos de 10 vítimas. 📌 Os 10 principais grupos responderam por 71,1% de todas as publicações em sites de vazamento de dados — a maior concentração desde o 1º trimestre de 2024, quando o ecossistema incluía muito menos grupos ativos. 📌 Os EUA permanecem o principal alvo de ataques de ransomware — 49,6% de todas as vítimas conhecidas. O Canadá ocupa o segundo lugar (4%), seguido pelo Reino Unido (4%). 📌 As indústrias mais visadas são serviços empresariais (35%), serviços ao consumidor (14%) e manufatura industrial (11%).

À medida que o número de atores ativos diminui, os maiores grupos começaram a consolidar o mercado de forma ainda mais agressiva. Qilin, Akira, The Gentlemen e LockBit juntos responderam por 41% de todas as vítimas durante o trimestre. Apenas a Qilin publicou mais vítimas do que os 50 grupos inferiores combinados.

Enfatiza-se que o modelo de negócios dos principais grupos depende de sua reputação: as vítimas devem acreditar que, após o pagamento, realmente poderão restaurar seus dados. A fragmentação do mercado em 2025 levou ao surgimento de muitos grupos desinteressados em manter suporte de descriptografia ou credibilidade de longo prazo — um bom exemplo sendo o wiper de facto VECT 2.0, sobre o qual escrevemos anteriormente.

Vários dos grupos de crescimento mais rápido se destacam:

🔹 The Gentlemen aumentou sua atividade em 315% em comparação com o 4º trimestre de 2025 — de 40 para 166 vítimas relatadas — assumindo o terceiro lugar globalmente. Acredita-se que um dos principais ativos do grupo seja um banco de dados de aproximadamente 14.700 dispositivos FortiGate pré-comprometidos. A distribuição geográfica também é notável: apenas 13,3% das vítimas estão localizadas nos EUA, enquanto Tailândia, Brasil e Índia aparecem com frequência significativamente maior que a média do ecossistema.

🔹 A LockBit retornou ao topo após sua infraestrutura ser desmantelada em 2024. No 1º trimestre de 2026, o grupo reivindicou 163 vítimas (+106% trimestral), e a nova versão LockBit 5.0 foi oficialmente apresentada no fórum RAMP em setembro de 2025. A share de vítimas dos EUA entre os alvos da LockBit (21,2%) está notavelmente abaixo da média do mercado; Itália, Brasil e Turquia também estão entre seus principais alvos. Anteriormente, relatamos as tentativas da LockBit de recuperar sua posição anterior, reduzindo as taxas de entrada.

Apesar do crescimento no número de vítimas, as receitas dessas operações continuam a declinar. A diminuição dos lucros pode gradualmente eliminar grupos incapazes de atingir escala ou maturidade suficientes para permanecerem viáveis. Como resultado, é provável que o ecossistema se concentre em torno de um número limitado de grupos dominantes — aqueles que são mais tecnicamente maduros, geograficamente diversificados e resilientes à pressão externa. Para fortalecer a proteção, tais operadores podem deslocar suas atividades para longe de jurisdições mais ativamente envolvidas em operações internacionais de derrubada, uma tendência já observável no caso da LockBit.