Dia de trabalho dos operadores de ransomware

A Ransomnews publicou um estudo sobre os padrões de tempo da atividade de ransomware. A análise baseia-se em dados que cobrem 16.699 vítimas divulgadas por 200 operadores de ransomware entre maio de 2024 e maio de 2026.

Aqui estão as principais descobertas:

📅 A maioria das divulgações de vítimas é publicada durante a semana, com segunda e terça-feira representando a maior parte — 37% de todas as publicações. A atividade diminui em direção ao fim de semana, quando apenas 16% das publicações aparecem.

🕛 50% das divulgações de vítimas ocorrem dentro de uma janela de oito horas das 18:00 às 01:00, horário de Moscou, o que se alinha com o horário comercial regular na Costa Leste dos EUA das 11:00 às 18:00.

⛱ A maior atividade de publicação ocorre no final do ano civil, enquanto durante os meses de verão, os atores de ameaças reduzem o volume de publicações em 30%–40% em comparação com os picos anuais.

📈 Apesar do desaparecimento de vários operadores importantes, o ecossistema continua a fragmentar-se. Em maio de 2024, havia 38 marcas ativas, enquanto em abril de 2026 esse número aumentou para 67.

📊 Os três grupos mais ativos durante este período foram Qilin, Akira e RansomHub. Qilin e Akira permaneceram ativos durante todo o período de monitoramento (mais de 700 dias cada), enquanto o RansomHub, já entre os líderes de mercado, não mostrou atividade desde abril de 2025.