84 Grupos de Ransomware, Uma Verdade Incômoda: As Operações de Repressão Estão Fragmentando o Ecossistema, Não o Destruindo

As autoridades comemoraram quando o LockBit foi desmantelado. O champanhe foi metaforicamente aberto, comunicados à imprensa foram emitidos, e a narrativa era de que o problema do ransomware estava finalmente diminuindo. Então a Travelers publicou seu Relatório de Ameaças Cibernéticas do 1º trimestre de 2026, e os números disseram algo completamente diferente.

O Placar Que Ninguém Queria Ver

No primeiro trimestre de 2026, operadores de ransomware publicaram 2.405 vítimas em sites de vazamento na dark web, de acordo com o Relatório de Ameaças Cibernéticas do 1º Trimestre de 2026 da Travelers, conforme resumido pela PropertyCasualty360. Esse número representa uma queda de apenas 2% em relação ao recorde histórico estabelecido no 4º trimestre de 2025, e um aumento de 7% em relação ao mesmo trimestre do ano anterior. Para colocar o arco mais longo em perspectiva: os sinistros relacionados a ransomware aumentaram 80% desde 2022, e a atividade geral de ransomware triplicou no mesmo período, segundo dados da Travelers reportados pela PropertyCasualty360. O número de vítimas publicadas em sites de vazamento cresceu 50% apenas em 2025, de acordo com o Travelers Institute. Esses não são erros de arredondamento. São uma linha de tendência apontando em uma única direção.

O número mais impactante, porém, não é a contagem de vítimas. É a contagem de grupos. De acordo com o relatório da Travelers coberto pela PropertyCasualty360, 84 grupos criminosos distintos estavam ativos no 1º trimestre de 2026 — o maior número já registrado pela Travelers desde 2020. Um ano antes, o número equivalente era 70. Desses 84 grupos, 19 estavam fazendo sua primeira aparição em dados de sites de vazamento, segundo a Corvus by Travelers. Novos participantes. Uma nova geração de operadores, surgindo exatamente durante o período em que grandes ações de repressão deveriam estar esfriando o mercado.

O Problema da Fragmentação, Explicado

Aqui está o incômodo insight estratégico escondido nos dados: derrubar um grupo dominante de ransomware não elimina a capacidade criminosa que aquele grupo representava. Ela se redistribui. Quando uma operação importante é desarticulada, seus afiliados, suas ferramentas e, às vezes, seus desenvolvedores se dispersam. Alguns se aposentam. Muitos não. Eles criam novas operações, se juntam a grupos menores ou lançam marcas independentes. O resultado é um ecossistema com mais nós, não menos.

A Travelers aborda essa dinâmica diretamente. Conforme reportado pela PropertyCasualty360, a seguradora observou que a fragmentação torna o ransomware mais difícil de combater, porque prender um grupo se torna menos impactante quando os ataques estão espalhados por múltiplos atores em constante mudança. Uma ameaça concentrada é, paradoxalmente, mais fácil de monitorar e interromper do que uma difusa. A comunidade de segurança entendia isso intelectualmente há anos. Os dados do 1º trimestre de 2026 são agora o comprovante empírico.

Os grupos líderes no 1º trimestre de 2026 ilustram tanto a persistência de players estabelecidos quanto o caos do novo cenário. O Qilin publicou 414 vítimas para reivindicar o primeiro lugar, enquanto um grupo chamado Gentlemen publicou 207 vítimas, de acordo com a PropertyCasualty360. As organizações visadas incluíam entidades do setor de serviços financeiros, segundo o mesmo relatório. Dois operadores muito diferentes, ambos prosperando no mesmo trimestre. É assim que um ecossistema fragmentado se parece na prática.

A Porta da VPN Ainda Está Escancarada

A fragmentação nos agentes de ameaças não significa aleatoriedade nos pontos de entrada. Os dados da Travelers revelam uma consistência notável no lado da intrusão: mais de 85% dos sinistros cibernéticos da Travelers registrados entre agosto e dezembro de 2025 envolveram VPNs como ponto inicial de entrada, de acordo com o Travelers Institute.

Esse número merece ser lido com calma. Não uma pluralidade. Não uma maioria. Mais de 85%. As redes privadas virtuais, criadas como um controle de segurança, tornaram-se uma das portas de entrada mais confiáveis para ambientes corporativos.

O mecanismo não é misterioso. Appliances de VPN sem patches, credenciais roubadas usadas contra portais VPN e autenticação multifator mal configurada em torno do acesso VPN são superfícies de ataque bem documentadas. A análise do estado do ransomware no 1º trimestre de 2026 da Emsisoft observa que o cenário atual é definido não apenas pelo volume, mas pela intenção, com agentes de ameaças priorizando cada vez mais objetivos que vão além da simples criptografia para resgate. A mudança de foco para roubo de dados em vez de interrupção, documentada pela Industrial Cyber com base nos resultados da BlackFog no 1º trimestre de 2026, reforça isso: os operadores estão cada vez mais exfiltrando dados antes ou em vez de criptografar, porque dados roubados geram alavancagem para extorsão mesmo quando as vítimas restauram a partir de backups. A VPN é a porta da frente; o que acontece após a entrada é cada vez mais um roubo de dados, não apenas um bloqueio.

O Que Isso Significa, na Prática, Para Você

Se você gerencia segurança em qualquer organização, a implicação prática da descoberta sobre fragmentação é que seu modelo de ameaças não pode ser construído em torno do rastreamento de grupos nominados. Monitorar indicadores de comprometimento do LockBit enquanto 19 novos grupos estreiam em um único trimestre é como trocar as fechaduras depois de entregar cópias das chaves para desconhecidos que você nunca viu.

A resposta prática é focar nas partes invariantes do problema: vetores de acesso inicial (aplique patches nos seus appliances de VPN, implemente autenticação multifator resistente a phishing), detecção de movimento lateral e controles de exfiltração de dados — porque mesmo que o grupo que você está monitorando desapareça amanhã, o próximo usará a mesma porta.

O Travelers Institute observa que a seguradora recomenda cinco práticas de prontidão cibernética para ajudar as organizações a se protegerem contra ameaças em evolução, embora os detalhes dessas práticas estejam no relatório completo de Ameaças Cibernéticas do 1º Trimestre de 2026 da Travelers. Vale a pena ler esse relatório na íntegra — não pelos grupos nominados (esses vão mudar), mas pelos padrões estruturais que não vão.

O placar de 84 grupos ativos vai parecer diferente no 2º trimestre. A lição que ele ensina será a mesma.

Fontes

• Travelers: Ransomware attacks hit near-record high - PropertyCasualty360(opens in new tab)
• Ransomware Hits Near-Record Highs as AI Governance Gaps Widen Inside Organizations - Risk & Insurance(opens in new tab)
• Facing Today's Cyber Threat Landscape | Travelers Institute(opens in new tab)
• Threat Intel Insights from Corvus by Travelers(opens in new tab)
• The State of Ransomware in Q1 2026(opens in new tab)
• Ransomware activity holds steady in Q1 2026 as threat actors prioritise data theft over disruption, BlackFog finds - Industrial Cyber(opens in new tab)

Fontes

• Ransomware Hits Near-Record Highs as AI Governance Gaps Widen Inside Organizations - Risk & Insurance : Risk & Insurance(opens in new tab)
• Facing Today's Cyber Threat Landscape | Travelers Institute(opens in new tab)
• Ransomware activity holds steady in Q1 2026 as threat ...(opens in new tab)
• Threat Intel Insights from Corvus by Travelers(opens in new tab)
• The State of Ransomware in Q1 2026(opens in new tab)
• Travelers: Ransomware attacks hit near-record high - PropertyCasualty360(opens in new tab)
• Ransomware Hits Near-Record Highs as AI Governance Gaps ...(opens in new tab)
• Ransomware activity holds steady in Q1 2026 as threat ...(opens in new tab)
• Facing Today's Cyber Threat Landscape | Travelers Institute(opens in new tab)
• Threat Intel Insights from Corvus by Travelers(opens in new tab)