Por muitos anos, equipes de segurança encararam o ransomware como um problema puramente tecnológico.
Investiram em fortalecer sistemas de backup, implementaram ferramentas de endpoint detection, criaram playbooks de incident response focados na recuperação de dados e adotaram attack surface management para bloquear o acesso inicial.
No entanto, em 2025, essa abordagem já está perigosamente obsoleta.
As operações de ransomware evoluíram além da simples criptografia de arquivos.
Hoje, enfrentamos campanhas de extorsão sistematizadas que utilizam dados roubados, responsabilidades legais e pressão psicológica em escala industrial, tornando a defesa muito mais complexa.
A solução tradicional — restaurar a partir de backups — já não é suficiente.
Organizações precisam responder à exposição de dados, às potenciais ações judiciais e ao dano à reputação.
O ransomware em 2025 não só cresceu, mas se reorganizou completamente.
Após as grandes derrubadas em 2024 de grupos como LockBit, BlackSuit e 8Base, nenhum ator voltou a dominar o mercado sozinho.
Em vez disso, o cenário se fragmentou e se tornou colaborativo: afiliados transitam entre marcas, reutilizam ferramentas e compartilham intermediários de acesso.
Essa descentralização dificulta a atribuição dos ataques e as ações de mitigação, mas o impacto nas vítimas segue severo.
Campanhas recentes mostram que o modelo de dupla extorsão (double extortion) superou um único padrão.
Atacantes aplicam uma série de táticas otimizadas para escala, alavancagem e resiliência.
Cada vez mais, abuso de identidade e engenharia social isoladamente resultam em extorsões em larga escala.
Essa pressão é ampliada pela exposição pública e pelo reuso de dados vazados.
Observa-se uma clara mudança para operações que priorizam o impacto reputacional e a ameaça de vazamento, mais do que a interrupção técnica dos sistemas.
Enquanto isso, grupos como Qilin, Akira, SafePay, INC e Lynx consolidaram o modelo clássico de dupla extorsão: roubam dados, criptografam sistemas e ameaçam divulgar publicamente as informações.
Suas negociações frequentemente invocam responsabilidades legais, multas regulatórias e processos civis, apresentando o pagamento como “mitigação de riscos”, em vez de simples recuperação.
O grupo Cl0p aperfeiçoou a extorsão sem criptografia em escala industrial, explorando falhas em softwares da cadeia de suprimentos para exfiltrar dados de centenas de vítimas simultaneamente.
Por sua vez, operadoras como DragonForce e RansomHub demonstram a resistência do modelo cartelizado, em que a reutilização de afiliados e a infraestrutura compartilhada sustentam a dupla extorsão mesmo diante do desaparecimento, fragmentação ou rebranding das marcas.
Pesquisadores da Flare analisaram o rápido surgimento do ransomware SafePay no final de 2024, que escalou agressivamente em 2025 com uma estratégia clássica de dupla extorsão, aliando roubo de dados, criptografia e sites de vazamento via Tor.
Ao examinar 500 registros de vazamentos do SafePay, a equipe constatou que mais de 90% das vítimas eram pequenas e médias empresas (PMEs), suficientemente grandes para pagar o resgate, mas sem resiliência para suportar longos períodos de indisponibilidade ou exposição pública de dados.
Predominantemente, essas vítimas eram empresas de serviços (cerca de 66%), indicando que o alvo era econômico e direcionado, e não resultado de varredura aleatória.
Geograficamente, os incidentes se concentraram em regiões de alta regulação e elevado PIB, especialmente nos Estados Unidos e na Alemanha.
Nesses locais, legislações como GDPR, NIS2, HIPAA e normas de notificação de incidentes elevam muito o custo do vazamento de dados.
Assim, a exposição pública frequentemente desencadeia consequências regulatórias, judiciais e reputacionais que superam o valor do resgate.
Essa análise evidencia que o perfil das vítimas do SafePay revela dinâmicas de risco amplas e pouco visíveis nas divulgações oficiais.
Como muitas organizações não reportam ataques publicamente, a inteligência proveniente dos sites de vazamento oferece uma “camada de transparência sombra” que expõe concentração setorial, exposição geográfica e vulnerabilidade organizacional.
Para equipes de segurança e gestores de risco, esses insights são diretamente aplicáveis, auxiliando na avaliação de riscos em terceiros, subscrição de cyber insurance, due diligence em M&A e priorização de investimentos defensivos.
A mudança para uma extorsão centrada na pressão extrapola operações sofisticadas.
Outra pesquisa da Flare sobre ataques a bancos de dados MongoDB — ativos desde 2017 — mostra que campanhas simples e de baixa complexidade também adotaram esse modelo.
O que antes era “criptografe para receber o pagamento” agora prioriza dados roubados, dano reputacional e exposição legal.
Nesse ecossistema MongoDB, os atacantes não usam malware avançado nem vulnerabilidades zero-day.
Exploram, sim, falhas previsíveis: bancos de dados MongoDB ou interfaces Mongo Express expostas na internet sem autenticação.
Bots automatizados escaneiam bases abertas, conectam-se, extraem ou deletam coleções e deixam notas exigindo pagamentos relativamente baixos em Bitcoin (historicamente entre US$ 500 e US$ 600), geralmente sem qualquer prova de que a recuperação é possível.
Esse cenário reflete a evolução da economia do ransomware: otimizar escala, velocidade e pressão psicológica em vez de sofisticação técnica.
Se as primeiras notas de resgate eram simples — “pague ou perca seus dados” —, a extorsão moderna é um processo coercitivo completamente roteirizado, com orientações para negociação, enquadramento legal e manipulação psicológica.
Entre as táticas usadas pelos grupos destacam-se frases como:
- “Sabemos que você acessou este guia.” — cria uma sensação de onisciência, indicando capacidade de monitoramento e gerando paranoia e urgência.
- “Esta oferta é válida por 24 horas.” — prazos curtos e progressivos que forçam decisões impulsivas.
- “A única forma de recuperar seus dados é pagando.” — elimina alternativas percebidas como backup ou autoridades.
- “O vazamento de dados configura grave violação legal.” — ativa ansiedade relacionada à conformidade regulatória.
- “Órgãos governamentais, concorrentes, contratantes e mídia local ainda não sabem…” — utiliza o medo da exposição reputacional, impactando stakeholders relevantes.
- “Se você é administrador, vamos contatar seu chefe.” — explora a política interna para isolar técnicos e pressionar decisões rápidas.
- “Garantimos que seus dados não serão vendidos e que serão deletados.” — simula confiança, apesar da ausência de mecanismos de garantia.
- “Esta responsabilidade é sua.” — transfere culpa e aumenta a obrigação moral de pagar.
Instruções detalhadas para a compra de Bitcoin eliminam barreiras logísticas e ampliam a adesão aos pedidos.
Mesmo sem criptografia, essas notas demonstram a essência da dupla extorsão:
- ameaça de perda definitiva dos dados;
- alegação de impossibilidade de recuperação sem pagamento;
- ameaças explícitas de venda dos dados no dark web, vazamento para partes interessadas, contato com mídia, reguladores e concorrentes, além de direcionamento a funcionários e parceiros.
Desse modo, um incidente técnico se transforma em uma grave crise legal, reputacional e de continuidade dos negócios.
Para se defender contra essa nova forma de ransomware focada na exposição, são necessárias quatro mudanças estratégicas:
1. Prepare equipes jurídicas e de comunicação desde o início.
Ataques voltados ao dano reputacional e risco regulatório não se resolvem apenas pela via técnica.
Planos de resposta devem incluir templates para notificação de vazamento, procedimentos para divulgação regulatória e estratégias de comunicação com a mídia, não como complemento, mas como parte essencial da defesa.
2. Treine continuamente sua organização para aumentar a cibersegurança.
Inclua preparação contra as táticas psicológicas usadas pelos atacantes, como narrativas de culpa e isolamento dos técnicos.
Promova um ambiente em que incidentes possam ser reportados antecipadamente, sem medo de represálias.
3. Amplie o programa de gestão de vulnerabilidades com inteligência focada em falhas realmente exploradas.
Com milhares de CVEs e milhões de alertas diários, é fundamental priorizar as vulnerabilidades ativamente usadas em campanhas — por exemplo: “grupo X está explorando
CVE-2024-1234
e
CVE-2025-5678
”.
Isso permite direcionar esforços aos vetores de acesso mais efetivos.
4. Priorize auditorias de configuração com base em padrões reais de ataque.
O caso MongoDB demonstra que os atacantes não exploram todas as más configurações possíveis, mas focam em padrões previsíveis e lucrativos, como bancos expostos sem autenticação.
Em vez de revisar tudo, concentre-se nas configurações realmente aproveitadas pelas ameaças ativas, transformando uma lista extensa em ação defensiva eficiente.
O ransomware moderno já não é definido pela criptografia, mas pelo grau de alavancagem que os criminosos exercem sobre as organizações.
Desde 2017, com aceleração após 2024, os grupos adotaram modelos de dupla extorsão que combinam dados roubados, exposição regulatória e pressão psicológica.
De operações industriais como SafePay a campanhas simples em MongoDB, o padrão é claro: prioridade à velocidade, escala e coerção psicológica, não à complexidade técnica.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...