O ecossistema de ransomware entrou em uma nova fase no último trimestre, alterando significativamente o equilíbrio de poder tradicional. Anteriormente, o mercado dependia de grandes empresas com infraestruturas robustas, mas agora se fragmentou em bolsas de grupos menores que surgem, desaparecem e reaparecem sob nomes diferentes. Em meio a essa desunião, uma das marcas mais conhecidas, a LockBit, ressurgiu.
Leia também
Ataque do Lockbit paralisa governo da Indonésia
Nova variante do LockBit integra recursos de autopropagação
Segundo a Check Point Research, foram brindes 85 grupos ativos no terceiro trimestre de 2025, o maior número já registrado. Em vez de alguns poucos serviços importantes, surgiu uma rede de grupos menores, após falhas de projetos como RansomHub, 8Base e BianLian. Quase 1.600 vítimas foram identificadas em vazamentos ao longo de três meses, com os dez grupos mais ativos responsáveis por pouco mais da metade de todos os casos. Essa tendência sugere que muitos ataques são realizados por operadores independentes, sem vínculo com marcas conhecidas.
A fragmentação reduz a previsibilidade. Quando grandes serviços controlavam o mercado, especialistas podiam analisar métodos repetitivos, infraestrutura e comportamento dos operadores. Agora, sites de vazamento temporário são comuns, tornando a atribuição confiável. Essa situação é agravada pelo leve impacto das operações policiais: o fechamento de domínios e a apreensão de equipamentos relatam os autores dos ataques. Aqueles que escapam desses ataques migram rapidamente para outras plataformas ou criam conforme suas próprias.
A confiança em ataques de ransomware também está atrapalhando. Pequenas equipes não têm interesse em manter sua audiência e frequentemente falham em cumprir as promessas de recuperação de dados. As taxas de resgate continuam caindo, pois as vítimas duvidam cada vez mais que a descritiva realmente ocorrerá após a transferência dos fundos.
Em meio ao cenário fragmentado, o retorno do LockBit foi um evento notável. A versão 5.0 foi lançada em setembro e sua chegada impulsionou o aumento da atividade. O administrador do projeto havia prometido um relançamento após a Operação Cronos, e a nova versão inclui atualizações para Windows, Linux e ESXi, criptografia acelerada e canais de comunicação personalizados.
Pelo menos uma dúzia de ataques foram confirmados no primeiro mês, indicando que algumas operadoras decidiram retornar a uma marca já conhecida. Isso levanta a possibilidade de uma recentralização, visto que a familiaridade continua sendo um fator crucial para quem busca estrutura e regras claras.
