A Check Point Research já tinha avançado alguns dados acerca da evolução do ransomware no primeiro trimestre do ano e, agora, completa o panorama com um novo relatório, que mostra valores preocupantes. O número de vítimas publicamente mencionadas e extorquidas foi o mais elevado de sempre, num aumento de 126% face ao ano anterior. Foram registados 74 grupos de ransomware diferentes a reivindicar publicamente vítimas nos websites de fugas de dados.

Ao todo, foram reportadas 2.289 vítimas, mais do dobro do ano passado, que registou 1.011 vítimas no primeiro trimestre de 2024. 300 vítimas foram associadas à Cl0p em fevereiro, obtidas na exploração da plataforma Cleo. A média mensal ajustada supera agora as 650 vítimas, em comparação com as 450 por mês durante 2024, sem contar as vítimas da plataforma, aponta a Check Point. Considerando as vítimas da Cl0p, a média deste primeiro trimestre sobe para 760, registando um novo recorde.

O aumento reflete uma tendência crescente entre os cibercriminosos de exagerar o seu impacto, fabricando dados das vítimas para projetar maior alcance e intimidar os alvos. A Check Point refere ainda que as organizações que acabam por pagar rapidamente os resgates tendem a não ser listadas publicamente nos websites de fuga de dados, indicando que os números divulgados podem não corresponder à verdadeira dimensão dos incidentes.

Quanto à distribuição geográfica, os padrões mantêm-se semelhantes ao que já era conhecido. Os Estados Unidos representam metade das vítimas reportadas, sendo o país com mais ataques. Os países desenvolvidos do Ocidente continuam a ser as mais visadas, por serem vistas como tendo a maior capacidade de pagamento dos resgates.

Check Point - malware 1T 2025
Check Point - malware 1T 2025 Créditos: Check Point

O relatório aponta que em mercados como o Reino Unido, o grupo Medusa destacou-se, sendo responsável por mais de 9% das vítimas, quando a nível global conta apenas com 2% de atividade. Na Alemanha, foi o grupo Safepay o mais ativo, sendo responsável por 24% das vítimas reportadas no país.

Nas contas da Check Point, o Cl0p foi o grupo de ransomware mais ativo no primeiro trimestre de 2025, com 392 vítimas apontadas. Os ataques sem encriptação são o seu método de operar, apostando da exfiltração de dados e extorsão posterior. O grupo opera por ondas, explorando vulnerabilidades zero-day em plataformas de terceiros para comprometer fornecedores de serviços e aceder aos dados dos clientes. O grupo explorar os produtos geridos pela plataforma Cleo, como a Harmony, VLTrader e LexiCom que somaram mais de 300 casos.

A Check Point afirma que existe uma grande concentração de vítimas da Cl0p na América do Norte, correspondendo a 83% das vítimas nos EUA e Canadá. Seguem-se o Reino Unido e Alemanha, na Europa. 33% das vítimas estão no sector de Bens de Consumo e Serviços, 12% nos Transportes e Logística (que os analistas dizem ser mais do dobro dos 4,8% neste sector).

O RansomHub é um novo grupo, criado em fevereiro de 2024, afirmando-se rapidamente como um dos mais dominantes em ransomware, que neste primeiro trimestre reclamou 228 vítimas. O grupo surge e cresce depois da LockBit ter sido desmantelado pelas autoridades em fevereiro de 2024, preenchendo o lugar vazio. O grupo mantém uma estratégia agressiva de recrutamento de afiliados, oferecendo modelos de partilha de lucros atrativos, aponta a Check Point. Os Estados Unidos registaram 59% das vítimas, seguindo-se o Canadá e o Reino Unido com 7%, cada.

Outros grupos em destaque no primeiro trimestre são o Babuk-Bjorka reivindicou 167 vítimas; a FunkSec com mais de 170 ataques, considerando a sua formação em dezembro de 2024.

A especialista em cibersegurança diz que os grupos aproveitam o acesso a código-fonte em fuga de dados; ferramentas de IA para desenvolver malware; e crise de confiança entre afiliados e operadores de RaaS. “À medida que o ransomware evolui da encriptação tradicional para a extorsão pura de dados, torna-se mais difícil estimar o verdadeiro impacto dos ataques. Muitas vítimas só se apercebem de que foram atacadas quando os seus dados aparecem nos sites de fuga”, salienta a Check Point.