Ransomware em 2026: DDoS como Bônus, Recrutamento de Insiders e Terceirizados 'no Escuro'
O cenário de ransomware está evoluindo rapidamente. Em 2026, espere ver ataques combinados de DDoS e criptografia, um aumento no recrutamento de insiders e o uso de terceirizados alheios como vetores de ataque.
MundiX News·13 de maio de 2026·6 min de leitura·👁 4 views
O ransomware, um tipo de malware que criptografa ou rouba dados da vítima com a ameaça de publicação, continua a ser uma ameaça significativa. A maioria das operações modernas opera sob o modelo Ransomware-as-a-Service (RaaS), onde uma equipe desenvolve o ransomware e a infraestrutura, e parceiros independentes (afiliados) executam os ataques, dividindo o resgate com os operadores. Dados recentes revelam um paradoxo: embora o número de incidentes de ransomware publicamente conhecidos tenha aumentado em 47% em relação ao ano anterior, os pagamentos totais de resgate diminuíram. Em resposta a essa queda na lucratividade, os grupos de ransomware não estão abandonando o mercado, mas sim reformulando suas táticas.
Uma das tendências emergentes para 2026 é o retorno dos serviços de DDoS aos pacotes RaaS. Com os afiliados ganhando menos, muitos operadores de ransomware estão migrando do modelo RaaS para operações independentes. Aqueles que permanecem no RaaS precisam oferecer benefícios adicionais para reter seus afiliados. Um desses bônus são os serviços de DDoS em pacote. Um exemplo recente é o grupo Chaos, que oferece capacidades de DDoS a todos os seus afiliados. Embora essa tática não seja nova – o REvil ofereceu serviços semelhantes no passado – ela está ressurgindo agora que a divisão de resgates se tornou mais difícil. Os operadores de RaaS estão reintroduzindo "funcionalidades premium" para manter seus parceiros. Na prática, isso significa que as estratégias de defesa contra DDoS devem considerar que um ataque à disponibilidade pode vir em conjunto com a criptografia, tornando a pressão sobre as vítimas multinível. A tradicional combinação de backup e EDR pode não ser mais suficiente, pois um ataque de DDoS em serviços públicos, juntamente com a criptografia, pode impedir que as equipes de incidentes se comuniquem com clientes e parceiros. É aconselhável incorporar um canal de comunicação independente e alternativo na arquitetura, como um e-mail e domínio separados em uma infraestrutura não relacionada ao ambiente principal.
Outra tendência crescente é o recrutamento ativo de insiders por operadores de ransomware. Os vetores de acesso inicial mais comuns para grupos de ransomware incluem credenciais roubadas, exploração de vulnerabilidades e phishing. A engenharia social, embora em quarto lugar, está crescendo rapidamente. Além disso, os operadores de ransomware estão cada vez mais visando funcionários dentro das empresas-alvo. Um caso notório foi a tentativa de um grupo de recrutar um jornalista da BBC. No entanto, isso é apenas a ponta do iceberg. Dados não públicos indicam um aumento significativo nas tentativas de recrutamento em 2025, e essa tendência deve continuar, especialmente se as demissões em grandes empresas persistirem em 2026. Estatísticas públicas corroboram essa tendência, com mais de 91.000 casos de recrutamento e discussões sobre recrutamento de insiders registrados em 2025. Na prática, os programas de gerenciamento de ameaças internas precisam ser revisados e fortalecidos. Treinamentos para funcionários devem incluir cenários de tentativas de recrutamento externo, e o monitoramento deve detectar padrões de acesso anômalos que possam indicar assistência interna aos atacantes. É importante notar que o "recrutamento" aqui não é uma variação do phishing, mas sim uma oferta direta. Os atacantes entram em contato com funcionários via LinkedIn, Telegram ou e-mail corporativo, oferecendo abertamente uma parte do futuro resgate ou um valor fixo em troca de executar o ransomware na rede, fornecer credenciais ou conectar-se a um dispositivo corporativo. O treinamento deve capacitar os funcionários não apenas a "não abrir links suspeitos", mas também a entender que uma oferta monetária direta de um estranho constitui um incidente que deve ser relatado ao departamento de segurança, em vez de ser simplesmente ignorado.
Por fim, os grupos de ransomware estão começando a alavancar plataformas de trabalho freelancer para encontrar executores. Em um caso documentado, um atacante usou engenharia social contra o suporte técnico, mas não conseguiu instalar ferramentas remotamente devido à proteção de endpoint. A solução foi contratar um executor através de uma plataforma legítima de trabalho freelancer para acessar fisicamente o escritório da empresa e extrair dados. O executor não tinha conhecimento de que estava trabalhando para hackers, acreditando estar realizando uma tarefa de TI comum. O funcionário que o admitiu pensou que estava ajudando alguém do suporte técnico. Embora essa prática seja rara no momento, a acessibilidade e o alcance global dessas plataformas significam que muitos podem replicar esse truque com esforço mínimo. Na prática, os regulamentos de segurança física devem considerar cenários onde um contratado "aparentemente legítimo" entra nas instalações. Os procedimentos de verificação para trabalhos de TI externos merecem uma revisão cuidadosa. A previsão para 2026 aponta para uma globalização do ecossistema de ransomware, com mais grupos surgindo em regiões novas para a cena. Isso não indica o declínio das operações existentes, mas sim a expansão geral do ecossistema global de ransomware. Para as equipes de defesa, isso significa que a dependência de fatores geográficos, linguísticos e de fuso horário dos atacantes como um fator de risco está se diluindo. Modelos de ameaças que se baseavam em "este grupo opera nestes fusos horários e não ataca tais vítimas" se tornarão cada vez menos precisos em 2026.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
O ransomware, um tipo de malware que criptografa ou rouba dados da vítima com a ameaça de publicação, continua a ser uma ameaça significativa. A maioria das operações modernas opera sob o modelo Ransomware-as-a-Service (RaaS), onde uma equipe desenvolve o ransomware e a infraestrutura, e parceiros independentes (afiliados) executam os ataques, dividindo o resgate com os operadores. Dados recentes revelam um paradoxo: embora o número de incidentes de ransomware publicamente conhecidos tenha aumentado em 47% em relação ao ano anterior, os pagamentos totais de resgate diminuíram. Em resposta a essa queda na lucratividade, os grupos de ransomware não estão abandonando o mercado, mas sim reformulando suas táticas.
Uma das tendências emergentes para 2026 é o retorno dos serviços de DDoS aos pacotes RaaS. Com os afiliados ganhando menos, muitos operadores de ransomware estão migrando do modelo RaaS para operações independentes. Aqueles que permanecem no RaaS precisam oferecer benefícios adicionais para reter seus afiliados. Um desses bônus são os serviços de DDoS em pacote. Um exemplo recente é o grupo Chaos, que oferece capacidades de DDoS a todos os seus afiliados. Embora essa tática não seja nova – o REvil ofereceu serviços semelhantes no passado – ela está ressurgindo agora que a divisão de resgates se tornou mais difícil. Os operadores de RaaS estão reintroduzindo "funcionalidades premium" para manter seus parceiros. Na prática, isso significa que as estratégias de defesa contra DDoS devem considerar que um ataque à disponibilidade pode vir em conjunto com a criptografia, tornando a pressão sobre as vítimas multinível. A tradicional combinação de backup e EDR pode não ser mais suficiente, pois um ataque de DDoS em serviços públicos, juntamente com a criptografia, pode impedir que as equipes de incidentes se comuniquem com clientes e parceiros. É aconselhável incorporar um canal de comunicação independente e alternativo na arquitetura, como um e-mail e domínio separados em uma infraestrutura não relacionada ao ambiente principal.
Outra tendência crescente é o recrutamento ativo de insiders por operadores de ransomware. Os vetores de acesso inicial mais comuns para grupos de ransomware incluem credenciais roubadas, exploração de vulnerabilidades e phishing. A engenharia social, embora em quarto lugar, está crescendo rapidamente. Além disso, os operadores de ransomware estão cada vez mais visando funcionários dentro das empresas-alvo. Um caso notório foi a tentativa de um grupo de recrutar um jornalista da BBC. No entanto, isso é apenas a ponta do iceberg. Dados não públicos indicam um aumento significativo nas tentativas de recrutamento em 2025, e essa tendência deve continuar, especialmente se as demissões em grandes empresas persistirem em 2026. Estatísticas públicas corroboram essa tendência, com mais de 91.000 casos de recrutamento e discussões sobre recrutamento de insiders registrados em 2025. Na prática, os programas de gerenciamento de ameaças internas precisam ser revisados e fortalecidos. Treinamentos para funcionários devem incluir cenários de tentativas de recrutamento externo, e o monitoramento deve detectar padrões de acesso anômalos que possam indicar assistência interna aos atacantes. É importante notar que o "recrutamento" aqui não é uma variação do phishing, mas sim uma oferta direta. Os atacantes entram em contato com funcionários via LinkedIn, Telegram ou e-mail corporativo, oferecendo abertamente uma parte do futuro resgate ou um valor fixo em troca de executar o ransomware na rede, fornecer credenciais ou conectar-se a um dispositivo corporativo. O treinamento deve capacitar os funcionários não apenas a "não abrir links suspeitos", mas também a entender que uma oferta monetária direta de um estranho constitui um incidente que deve ser relatado ao departamento de segurança, em vez de ser simplesmente ignorado.
Por fim, os grupos de ransomware estão começando a alavancar plataformas de trabalho freelancer para encontrar executores. Em um caso documentado, um atacante usou engenharia social contra o suporte técnico, mas não conseguiu instalar ferramentas remotamente devido à proteção de endpoint. A solução foi contratar um executor através de uma plataforma legítima de trabalho freelancer para acessar fisicamente o escritório da empresa e extrair dados. O executor não tinha conhecimento de que estava trabalhando para hackers, acreditando estar realizando uma tarefa de TI comum. O funcionário que o admitiu pensou que estava ajudando alguém do suporte técnico. Embora essa prática seja rara no momento, a acessibilidade e o alcance global dessas plataformas significam que muitos podem replicar esse truque com esforço mínimo. Na prática, os regulamentos de segurança física devem considerar cenários onde um contratado "aparentemente legítimo" entra nas instalações. Os procedimentos de verificação para trabalhos de TI externos merecem uma revisão cuidadosa. A previsão para 2026 aponta para uma globalização do ecossistema de ransomware, com mais grupos surgindo em regiões novas para a cena. Isso não indica o declínio das operações existentes, mas sim a expansão geral do ecossistema global de ransomware. Para as equipes de defesa, isso significa que a dependência de fatores geográficos, linguísticos e de fuso horário dos atacantes como um fator de risco está se diluindo. Modelos de ameaças que se baseavam em "este grupo opera nestes fusos horários e não ataca tais vítimas" se tornarão cada vez menos precisos em 2026.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
