Entre março de 2024 e março de 2025 o time de inteligência da CYLO analisou dados de 176 incidentes envolvendo grupos de Ransomware no período mencionado, que obtiveram sucesso no sequestro de dados. A lista dos 10 principais ataques e o número de incidentes associados a cada um, foram os seguintes:
- RansomHub: 20 incidentes
- Babuk/Babuk2: 12 incidentes
- Akira: 11 incidentes
- Qiulong: 8 incidentes
- LockBit/LockBit3: 8 incidentes
- Arcusmedia: 7 incidentes
- Funksec: 6 incidentes
- Hunters: 4 incidentes
- Darkvault: 4 incidentes
- Fog: 4 incidentes
Abaixo, listamos algumas informações sobre onde você pode encontrar dados sobre os grupos mencionados. Note que nem todos têm páginas dedicadas específicas em fontes públicas amplamente conhecidas, pois alguns são menos documentados ou emergentes. O site https://ransomware.live cobre a maioria deles e é uma fonte confiável para começar:
- RansomHub:
- Apareceu em fevereiro de 2024 e é considerado uma possível evolução do ransomware Knight. Informações detalhadas sobre suas vítimas e operações estão disponíveis no Ransomware.live, que acompanha suas atividades em tempo real. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) publicou um relatório detalhado sobre o RansomHub nesse link.
- Babuk/Babuk2:
- O Babuk original surgiu em 2020 e encerrou operações em 2021, mas uma nova versão, Babuk2 (ou Babuk-Bjorka), ressurgiu em 2025, reutilizando dados de ataques antigos. O grupo Babuk é conhecido por ter seu código-fonte vazado, levando ao surgimento de variantes. Além do Ransomware.live, relatórios de empresas como Halcyon (https://www.halcyon.ai) abordam suas atividades recentes. Mais informações podem ser encontradas em análises de empresas de cibersegurança, como a Symantec Cisco Duo.
- Akira:
- Relatórios indicam que o Akira tem sido um dos ransomwares mais ativos, especialmente nos EUA. Conhecido por ataques sofisticados desde 2022, o Akira é bem documentado. O Ransomware.live lista suas vítimas, e relatórios da Check Point Research frequentemente o mencionam. Detalhes adicionais também estão disponíveis no site da CISA.
- Qiulong:
- Um grupo possivelmente de origem asiática, ativo no Brasil, conhecido por ataques de dupla extorsão. Informações sobre ele podem ser encontradas do site https://ransomware.live.
- LockBit/LockBit3:
- Um dos mais notórios, com operações desde 2019. O LockBit3 sofreu ações policiais em 2024, mas segue ativo. Relatórios detalhados sobre suas atividades podem ser encontrados no blog da Check Point.
- Arcusmedia:
- Menos conhecido, mas muito ativo em ataques na América Latina. O Ransomware.live pode ter dados atualizados, embora informações específicas sejam escassas em fontes públicas amplas.
- Funksec:
- Pesquisas indicam que o FunkSec desenvolveu ransomware utilizando ferramentas de IA. Mais detalhes estão disponíveis no site Security Affairs e em https://www.ransomware.live/group/funksec.
- Hunters:
- O grupo Hunters International tem sido mencionado em relatórios de ataques recentes. Cresceu em 2024, com aumento significativo de vítimas. O Ransomware.live e análises da Cyfirma oferecem insights.
- Darkvault:
- Dados específicos sobre o Darkvault são escassos. O DarkVault é um grupo de ransomware que emergiu no cenário de cibersegurança em 2024 e rapidamente chamou a atenção devido à sua abordagem agressiva e à semelhança com outros grupos conhecidos, como o LockBit. Recomenda-se monitorar ransomware.live para atualizações.
- Fog:
- Novo no cenário, com poucas informações públicas detalhadas. O Fog, que usa a extensão .flocked para arquivos criptografados, foi observado pela primeira vez em maio em campanhas pelo Storm-0844, um agente de ameaça conhecido por distribuir o Akira. Em junho, o Storm-0844 estava implantando o Fog mais do que o Akira. O Ransomware.live é uma das poucas fontes que o monitora atualmente.
Por que ainda acontece o que não era mais para acontecer ?
Para entendermos o panorama geral dos ransomwares atuais. Nos próximos posts vamos analisar os 3 primeiros colocados em número de casos com sucesso: o RansomHub, o Babuk/Babuk2 e o Akira. E vamos usar isso para entender por que eles poderiam ser evitados, de maneira relativamente fácil.
