Hoje, 12 de Maio de 2026, assinala-se o Dia Internacional Contra o Ransomware. Neste contexto, a Kaspersky divulgou as conclusões do State of Ransomware 2026, um estudo que oferece uma visão geral das tendências que marcaram o ano transacto e perspectivas sobre o panorama de ameaças para o futuro. O documento destaca o crescimento dos ataques de extorsão sem encriptação, a utilização de ferramentas concebidas para desactivar soluções de segurança antes da execução do software malicioso e a crescente profissionalização das operações criminosas. Estas acções são agora suportadas por modelos de serviço e pela comercialização de acessos comprometidos a redes de empresas.
De acordo com os dados recolhidos, em 2025 a América Latina registou a maior percentagem de organizações com ataques de ransomware detectados, a atingir a marca dos 8,13%. Seguiu-se a região Ásia-Pacífico (7,89%), África (7,62%), Médio Oriente (7,27%), Comunidade de Estados Independentes (5,91%) e Europa (3,82%). Apesar de se notar uma ligeira diminuição da percentagem global de organizações atacadas face a 2024, os utilizadores continuam expostos a riscos significativos. Os atacantes industrializam as suas operações, automatizam métodos de intrusão e concentram-se cada vez mais no roubo e na divulgação de dados sensíveis, em vez de se limitarem a encriptar sistemas. Em Portugal, o ransomware mantém-se como uma das principais preocupações em matéria de cibersegurança, numa fase em que os ataques evoluem de campanhas massificadas para operações mais direccionadas.
Tácticas de evasão e o mercado negro
Os canais de Telegram e os fóruns da dark web continuam a funcionar como plataformas para distribuição e venda de conjuntos de dados comprometidos e acessos indevidos. Um importante fórum clandestino, conhecido como RAMP, que funcionava também como plataforma para promoção de serviços de ransomware, foi encerrado pelas autoridades em Janeiro de 2026. Outro portal semelhante, o LeakBase, utilizado para distribuir dados exfiltrados, foi desmantelado em Março de 2026. No entanto, os especialistas indicam que é provável que novos portais continuem a surgir.
Uma das tendências técnicas mais relevantes do último ano foi o crescimento contínuo das ferramentas concebidas especificamente para desactivar soluções de segurança de terminais antes da execução do código malicioso. Estas ferramentas tornaram-se um componente habitual dos ataques, a reflectir intrusões mais deliberadas e metódicas. Os investigadores identificaram também o aparecimento de famílias de ransomware que adoptam normas de criptografia pós-quântica. Este desenvolvimento sinaliza uma mudança preocupante para métodos de encriptação que poderão resistir a futuras tentativas de desencriptação através de computação quântica.
Actores principais e o modelo de serviços
O papel dos intermediários cibercriminosos que vendem acessos corporativos previamente comprometidos continua a crescer. Os sites que permitem controlar dispositivos remotamente estão a ser cada vez mais visados, à medida que os grupos industrializam os ataques através de operações de acesso como serviço. Como consequência, a barreira de entrada para lançar ataques diminui drasticamente. Entre os grupos mais activos em 2025, a análise identifica o Qilin como o principal operador, após o encerramento das operações do RansomHub. O grupo Clop ocupou a segunda posição e o Akira o terceiro lugar.
Olhando para 2026, o grupo Gentlemen destaca-se devido ao seu rápido crescimento, operações estruturadas e foco em extorsão centrada em dados. O grupo exemplifica uma mudança mais ampla no panorama das ameaças, ao afastar-se de campanhas caóticas para modelos de extorsão escaláveis e orientados para o negócio. O foco recai sobretudo no roubo de dados sensíveis e na exploração de pressão reputacional e regulatória.
Fabio Assolini, especialista em cibersegurança, refere que o ransomware evoluiu para um ambiente altamente organizado, focado na monetização de dados roubados e na escalabilidade dos ataques. O investigador avança que os agentes de ameaça se adaptam rapidamente, ao passar a utilizar ferramentas legítimas para fins maliciosos e a explorar infraestruturas de acesso remoto. Assolini acrescenta que o objectivo da data assinalada hoje passa por aumentar a consciencialização global, ao incentivar os utilizadores a reforçar a segurança e a investir em cópias de segurança.
Quatro recomendações para protecção empresarial
Para mitigar os riscos associados a estas ameaças, o estudo disponibiliza quatro recomendações fundamentais para as empresas.
- Activar protecção em todos os terminais. É possível utilizar ferramentas gratuitas que protegem computadores e servidores, previnem vulnerabilidades e são compatíveis com soluções de segurança já instaladas.
- Manter sempre o software actualizado em todos os dispositivos utilizados, para evitar que atacantes explorem falhas e comprometam a rede.
- Focar a estratégia de defesa na detecção de movimentos laterais e exfiltração de dados para a internet. É igualmente essencial configurar cópias de segurança offline que não possam ser alteradas por intrusos e garantir acesso rápido às mesmas em caso de emergência.
- Implementar soluções capazes de detectar ameaças avançadas, investigar incidentes e garantir uma resposta atempada, especialmente em empresas fora do sector industrial. As organizações devem também disponibilizar às equipas de segurança acesso às mais recentes informações de inteligência de ameaças e promover formação contínua especializada.
