O cenário global de ransomware vive um dos períodos mais críticos da história da segurança cibernética. Mesmo com o aumento das operações policiais internacionais contra grupos criminosos digitais, os ataques de ransomware continuam crescendo em volume, sofisticação e impacto financeiro.Em 2024, os ataques de ransomware cresceram aproximadamente 11% em relação ao ano anterior. O valor médio dos resgates saltou de cerca de US$ 400 mil em 2023 para mais de US$ 2 milhões em 2024. Esses números refletem uma mudança clara na dinâmica do cibercrime, que passou a operar como um verdadeiro modelo de negócio altamente estruturado.Neste artigo, você conhecerá os cinco grupos de ransomware mais perigosos do mundo em 2024 e 2025, entenderá como eles operam e quais estratégias as organizações podem adotar para se proteger.
Uma ameaça cibernética em constante evolução
Os grupos de ransomware evoluíram significativamente nos últimos anos. Hoje, atuam como organizações profissionais, com hierarquias bem definidas, divisão de funções, programas de afiliados e até equipes responsáveis por negociação de resgates.
Essa profissionalização torna o combate ao ransomware muito mais complexo. Mesmo quando autoridades conseguem desarticular parte da infraestrutura criminosa, os grupos rapidamente se reorganizam, mudam de identidade ou reaparecem sob novos nomes.
Compreender quem são os principais atores desse ecossistema criminoso é essencial para empresas, governos e profissionais de segurança da informação.
1. RansomHub: o novo líder do ecossistema de ransomware
O RansomHub é o grupo de ransomware mais ativo e perigoso da atualidade. Iniciando suas operações em fevereiro de 2024, o grupo rapidamente assumiu a liderança global, sendo responsável por mais de 530 ataques confirmados em menos de um ano.
O RansomHub é amplamente considerado o sucessor do grupo ALPHV, também conhecido como BlackCat, após este sofrer forte pressão das autoridades americanas. Seu principal diferencial está no modelo de Ransomware as a Service (RaaS).
Nesse modelo, afiliados utilizam a infraestrutura, ferramentas e suporte técnico do grupo central em troca de uma divisão de lucros, normalmente 90% para os afiliados e 10% para os desenvolvedores do ransomware.
Essa estrutura descentralizada dificulta investigações, aumenta a escala dos ataques e garante resiliência operacional mesmo após prisões ou apreensões de servidores.
2. LockBit: o grupo que resiste às operações policiais
O LockBit é um dos nomes mais conhecidos da história do ransomware. Durante anos, dominou o cenário global, atacando empresas privadas, órgãos governamentais e infraestruturas críticas em diversos países.
Em fevereiro de 2024, o grupo foi alvo da Operation Cronos, uma operação internacional coordenada que resultou na apreensão de servidores, vazamento de dados internos e prisão de membros ligados ao grupo.
Apesar do impacto significativo, o LockBit não foi completamente eliminado. O grupo conseguiu manter atividades, ainda que com menor intensidade, demonstrando a dificuldade real de erradicar organizações criminosas bem estruturadas no ambiente digital.
O LockBit continua sendo uma ameaça relevante e um símbolo da resiliência do cibercrime moderno.
3. Play Ransomware: o predador silencioso
Diferente de grupos que buscam visibilidade, o Play Ransomware opera de forma discreta e altamente eficiente. Segundo dados do FBI, mais de 900 organizações já foram vítimas do grupo até maio de 2025.
O Play utiliza a técnica de dupla extorsão, considerada padrão entre grupos avançados de ransomware. Primeiro, ocorre a exfiltração de dados sensíveis. Em seguida, os sistemas são criptografados.
A vítima passa a enfrentar dois riscos simultâneos: a paralisação total das operações e o vazamento público de informações confidenciais, o que pode gerar multas regulatórias, danos à reputação e perda de confiança do mercado.
Essa abordagem é especialmente devastadora para organizações que lidam com dados pessoais, informações financeiras ou propriedade intelectual.
4. BlackCat (ALPHV): o ataque que abalou o setor de saúde
Em fevereiro de 2024, o grupo BlackCat, também conhecido como ALPHV, realizou um dos ataques de ransomware mais impactantes da história contra a Change Healthcare, uma das maiores processadoras de pagamentos e prescrições médicas dos Estados Unidos.
O ataque afetou hospitais, clínicas e farmácias em todo o país, causando interrupções severas nos serviços de saúde. Estima-se que mais de 100 milhões de pessoas tiveram dados potencialmente comprometidos.
O incidente evidenciou a fragilidade das infraestruturas críticas de saúde e reforçou o impacto sistêmico que um ataque de ransomware pode gerar em toda uma cadeia de serviços essenciais.
Embora o BlackCat tenha sofrido ações diretas do FBI anteriormente, o grupo conseguiu retornar temporariamente antes de perder espaço para o RansomHub.
5. BlackSuit (BlackBasta): o legado do grupo Conti
O BlackSuit é considerado herdeiro direto do extinto grupo Conti, um dos mais agressivos da história do ransomware. Após o encerramento oficial das atividades do Conti, seus membros se dispersaram e formaram novos coletivos, incluindo o BlackSuit.
Em junho de 2024, o grupo realizou um ataque significativo contra a CDK Global, empresa responsável por fornecer software essencial para concessionárias de veículos na América do Norte.
O ataque causou paralisação em milhares de concessionárias, afetando vendas, serviços de manutenção e sistemas financeiros. Esse caso ilustra uma tendência crescente no ransomware moderno: ataques direcionados a fornecedores estratégicos para causar impacto em larga escala por meio da cadeia de suprimentos.
Além do ransomware: outras ameaças cibernéticas relevantes
Embora o ransomware domine as manchetes, outras ameaças continuam altamente ativas. O malware SocGholish, por exemplo, foi o principal malware não relacionado a ransomware no quarto trimestre de 2024, representando mais de 50% das detecções dessa categoria.
Esse tipo de malware atua como vetor inicial de ataque, abrindo caminho para infostealers, spywares e ransomwares.
Outro destaque são os cryptominers maliciosos, que sequestram recursos computacionais para mineração de criptomoedas, causando degradação de desempenho, aumento no consumo de energia e desgaste de hardware.
Por que os ataques de ransomware continuam crescendo
O crescimento do ransomware é impulsionado por fatores econômicos claros:
-
Dependência extrema de sistemas digitais por parte das organizações
-
Adoção massiva do modelo Ransomware as a Service
-
Uso de criptomoedas para pagamento de resgates
-
Fragmentação jurídica e dificuldades de cooperação internacional
Para muitas empresas, algumas horas de inatividade já representam prejuízos milionários, criando forte incentivo para o pagamento de resgates.
Estratégias essenciais de defesa contra ransomware
Para reduzir riscos, organizações devem adotar uma postura proativa e contínua em segurança cibernética:
-
Backups frequentes, testados e isolados da rede principal
-
Segmentação de rede para limitar movimentação lateral
-
Autenticação multifator em todos os acessos críticos
-
Treinamento contínuo contra phishing e engenharia social
-
Gestão rigorosa de patches e vulnerabilidades
-
Monitoramento ativo com detecção e resposta a incidentes
O papel das autoridades e os desafios do combate ao ransomware
Operações como a Operation Cronos demonstram que ações policiais causam impactos reais nos grupos criminosos, aumentando custos e riscos operacionais. No entanto, o cibercrime é global, enquanto a aplicação da lei ainda enfrenta barreiras de jurisdição e cooperação internacional.
Mesmo assim, cada prisão, cada servidor apreendido e cada carteira de criptomoedas congelada contribui para enfraquecer o ecossistema criminoso.
Vigilância constante em um mundo digital cada vez mais hostil
Os cinco grupos de ransomware mais perigosos de 2024 e 2025, RansomHub, LockBit, Play, BlackCat e BlackSuit, demonstram que o cibercrime está longe de ser um problema temporário.
A segurança cibernética deve ser tratada como investimento estratégico contínuo, não como custo pontual. Para empresas, indivíduos e governos, a conscientização, a preparação e a cooperação internacional serão fatores decisivos para a construção de um futuro digital mais seguro.
A batalha contra o ransomware está apenas começando.
