Relatório da Check Point revela aumento histórico de vítimas de ransomware

O mais recente relatório da Check Point Research (CPR) mostra que o ransomware continua a escalar em ritmo alarmante. Só nos primeiros três meses de 2025, foram registadas 2.289 vítimas em sites de fuga de dados, um aumento de 126% face ao mesmo período de 2024.

A CPR identificou atividade por parte de 74 grupos de ransomware, sendo esta a maior média mensal desde que há registos. Mesmo sem contar com os mais de 300 casos associados à exploração da plataforma Cleo pelo grupo Cl0p, os números continuam a superar largamente os valores anteriores.

De acordo com os investigadores, esta escalada pode dever-se, em parte, a tentativas dos atacantes de amplificar artificialmente o seu impacto, publicando dados forjados ou repetidos. Por outro lado, a omissão de vítimas que pagam os resgates fora do radar público pode ter feito com que os dados anteriores estivessem subestimados.

Geograficamente, os padrões mantêm-se. Os Estados Unidos voltaram a concentrar cerca de metade das vítimas conhecidas, seguidos por países europeus como o Reino Unido e a Alemanha. Em solo britânico, o grupo Medusa destacou-se, sendo responsável por mais de 9% dos casos locais. Na Alemanha, o grupo Safepay dominou com quase um quarto das ocorrências.

O grupo Cl0p manteve-se no topo da atividade global com 392 vítimas publicamente referidas, recorrendo a táticas que evitam a encriptação de dados e explorando vulnerabilidades zero-day para comprometer fornecedores de serviços. A maioria das suas vítimas está na América do Norte, especialmente nos setores de bens de consumo e logística.

Outro grupo em destaque é o RansomHub, criado após o desmantelamento do LockBit. Em apenas um trimestre, listou 228 vítimas, consolidando-se como um dos principais sucessores da vaga anterior de Ransomware-as-a-Service.

O Babuk-Bjorka, surgido no início do ano, levantou dúvidas quanto à veracidade dos seus ataques. Com 167 vítimas reclamadas, muitas revelaram-se repetições de incidentes atribuídos a outros grupos, o que levanta suspeitas sobre táticas de inflacionamento.

A CPR alerta ainda para a emergência de grupos como o FunkSec, que utilizam ferramentas de inteligência artificial para desenvolver malware e operam em zonas cinzentas entre ativismo e crime financeiro. A sofisticação crescente dos ataques contrasta com a descida da fasquia técnica necessária para os lançar.

Num cenário fragmentado e volátil, grupos como o VanHelsing apostam em modelos de negócio agressivos, com lucros partilhados e ferramentas acessíveis. Este novo grupo já foi associado a três ataques relevantes em apenas duas semanas.

Do lado das autoridades, os esforços continuam. Em 2025, o grupo 8Base foi desmantelado numa operação internacional envolvendo 14 países, com a detenção de quatro suspeitos na Rússia. Foram ainda identificados e presos afiliados do grupo Phobos na Coreia do Sul e em Itália.

Por fim, o relatório sublinha que a transição do ransomware para modelos baseados apenas em extorsão de dados dificulta a medição real do impacto. Com a publicação de informações falsas e uma queda de 35% nos pagamentos em criptomoeda, a divergência entre realidade e propaganda é cada vez maior.