Ransomware mantém níveis recorde e concentra-se em menos grupos

A atividade global de ransomware manteve-se em níveis historicamente elevados no primeiro trimestre de 2026, mas o ecossistema cibercriminoso está a sofrer uma transformação estrutural, segundo um novo relatório da Check Point Research.

O estudo “The State of Ransomware Q1 2026” revela que 2.122 organizações foram listadas em sites de fuga de dados associados a ransomware nos primeiros três meses do ano, o segundo valor mais elevado de sempre para um primeiro trimestre.

Contudo, o principal sinal de mudança está na crescente concentração dos ataques em menos grupos criminosos. Segundo a Check Point Research, os dez principais grupos de ransomware foram responsáveis por 71% de todas as vítimas registadas no período analisado.

A empresa considera que o cenário está a abandonar a fragmentação observada em 2025 para entrar numa nova fase de consolidação, marcada por operadores mais resilientes, profissionais e capazes de causar maior impacto operacional.

“O ransomware em 2026 já não é apenas um problema de volume. É um problema de concentração, velocidade e impacto operacional”, afirma Rui Duro, Country Manager da Check Point Software em Portugal.

O responsável alerta que as organizações portuguesas precisam de reforçar medidas preventivas, reduzindo exposição antes do ataque e limitando movimentos laterais dentro das redes corporativas.

O relatório identifica o grupo Qilin como a operação de ransomware mais ativa pelo terceiro trimestre consecutivo, com 338 vítimas reivindicadas publicamente. O Akira surge em segundo lugar, enquanto o grupo The Gentlemen protagonizou o crescimento mais expressivo do trimestre, passando de 40 vítimas no final de 2025 para 166 no primeiro trimestre de 2026.

A Check Point destaca ainda o regresso do LockBit ao topo das operações globais, após um período de disrupção provocado por ações internacionais de aplicação da lei. Segundo o estudo, o grupo reivindicou 163 vítimas no trimestre, recuperando relevância no panorama mundial de ransomware.

A investigação mostra também que o ransomware deixou de depender apenas de campanhas massivas ou picos ocasionais de atividade. Entre janeiro e março de 2026, foram registadas mais de 700 vítimas por mês em média, refletindo um cenário de risco persistente e sustentado. A distribuição geográfica dos ataques continua liderada pelos Estados Unidos, mas a Check Point alerta para uma crescente dispersão internacional das operações criminosas.

O relatório conclui ainda que muitos grupos passaram a basear os ataques na disponibilidade de acessos comprometidos previamente, em vez de escolherem alvos apenas por dimensão ou setor.

Setores como serviços empresariais, bens de consumo e indústria transformadora continuam entre os mais afetados, especialmente em ambientes onde interrupções operacionais aumentam a pressão para pagamento de resgates.

Para responder ao aumento da sofisticação dos ataques, a Check Point recomenda uma abordagem centrada em prevenção, redução de exposição e proteção de acessos remotos e ambientes cloud. A empresa defende ainda o reforço de arquiteturas Zero Trust, controlo de identidade, monitorização contínua e gestão de exposição baseada em inteligência de ameaças em tempo real.