[ BLOG ]

O sucesso contínuo dos ataques do grupo de ransomware RansomHub, mesmo após as correções das vulnerabilidades CVE-2020-1472 (ZeroLogon) e CVE-2023-3519 (Citrix NetScaler ADC/Gateway), pode ser explicado por uma combinação de fatores técnicos, operacionais e humanos.

Malware, no contexto de ransomware, é um software malicioso projetado para infiltrar, danificar ou controlar sistemas computacionais sem consentimento. Usado por grupos de ransomware, ele criptografa dados da vítima, bloqueando o acesso, e exige pagamento (geralmente em criptomoedas) para liberação, explorando vulnerabilidades em sistemas ou engenharia social para infecção

O 3º. grupo de ransomware com mais casos observados por nós no Brasil é o Akira, surgido em março de 2023, tornando-se rapidamente uma ameaça significativa, operando como Ransomware-as-a-Service (RaaS) e utilizando táticas de dupla extorsão (criptografia de dados e ameaça de vazamento).

O Babuk/Babuk2 é o grupo de ransomware que ocupa a 2ª. Posição em número de incidentes em nossas observações no Brasil, com 12 incidentes. Ele surgiu em dezembro de 2020 e ganhou notoriedade em 2021 com ataques a grandes empresas e organizações, em diversas partes do mundo

O RansomHub é o grupo de ransomware para com o qual observamos mais incidentes (20 registros), atacando setores variados como manufatura, financeiro, transporte e agricultura, e frequentemente lidando com grandes volumes de dados. Ele é ransomware oferecido como serviço (RaaS), o que significa que ele pode ser “alugado” por atacantes menos habilidosos. Mas o ponto principal aqui é que ele aproveita falhas específicas e bem conhecidas em sistemas para ganhar acesso inicial e realizar seus ataques

Entre março de 2024 e março de 2025 o time de inteligência da CYLO analisou dados de 176 incidentes envolvendo grupos de Ransomware no período mencionado, que obtiveram sucesso no sequestro de dados.  A lista dos 10 principais ataques e o número de incidentes associados a cada um, foram os seguintes

No ano de 2024, e no primeiro trimestre de 2025, os analistas da Cylo tiveram a oportunidade de observar e estudar diversos ataques de grupos de ransomware. Essas análises foram realizadas por meio de honeypots e sensores instalados em locais estratégicos, permitindo a captura de informações valiosas sobre as táticas e métodos utilizados pelos criminosos cibernéticos.