A Nova Ordem do Crime Digital: indústria estruturada com novos grupos, extorsão sem criptografia e espionagem estatal

Ransomware deixa de ser apenas extorsão financeira e passa a operar como ferramenta híbrida de espionagem, coerção e guerra digital

Em menos de doze meses, um grupo chamado The Gentlemen passou de desconhecido a número dois no ranking global de ransomware mais ativo de 2026. Não foi sorte. Foi execução e o modelo que esse grupo representa está mudando a natureza das ameaças digitais em escala global, inclusive no Brasil.

Por Redação do Crypto ID

Segundo relatório da Check Point Research publicado em maio de 2026, o grupo opera com mais de 400 vítimas públicas confirmadas. Dados extraídos de um servidor comprometido revelam um ecossistema ainda maior: 1.570 alvos linkados à operação desde sua criação, em julho de 2025. O número não é uma anomalia — é um sintoma de uma transformação profunda no mercado do crime digital.

O ransomware deixou de ser obra de hackers solitários para se tornar um modelo de negócio escalável, com franquias, recrutamento formal de afiliados e infraestrutura corporativa de suporte. O que estamos vendo em 2026 é a segunda onda de maturação desse mercado.

Os números que colocam o Brasil no centro do alvo

Antes de entrar nos grupos e táticas, vale situar o contexto com dados concretos:

• 9.251 incidentes de ransomware foram registrados globalmente em 2025 — alta de 45% sobre 2024 (NordStellar Research, jan. 2026)
• A taxa global de pagamento de resgates despencou para 28% em 2025 — queda histórica que está forçando grupos a reinventar suas táticas (Chainalysis, via Kaspersky)
• A América Latina registrou a maior taxa regional de ataques do mundo: 8,13% das organizações foram afetadas em 2025 (Kaspersky Security Network, mai. 2026)
• Quando incluídos ataques sem criptografia (nova modalidade), o total de eventos de extorsão chegou a 6.182 casos em 2025 — crescimento de 23% ano a ano (Symantec / Carbon Black)

Esses números têm uma implicação direta: o Brasil e a América Latina não são espectadores nesse cenário. São alvos prioritários.

A profissionalização que não precisou de MBA

The Gentlemen não surgiu do nada. Seu fundador, identificado nos fóruns underground como hastalamuerte / zeta88, foi anteriormente afiliado do Qilin — outro grupo de ransomware consolidado. Em julho de 2025, abriu um processo de arbitragem público no fórum RAMP acusando o Qilin de desvio de comissões. Meses depois, estava operando sua própria plataforma concorrente.

O modelo é análogo ao de um ex-funcionário que abre uma empresa rival levando know-how e relações. A diferença é que aqui o “know-how” inclui a exploração do CVE-2024-55591, uma falha crítica de bypass de autenticação no FortiOS/FortiProxy e a “carteira de clientes” é um banco de dados com 14.700 dispositivos FortiGate já comprometidos globalmente, segundo análise da Group-IB publicada em abril de 2026.

“Um pequeno grupo bem organizado, com ferramentas estruturadas, canais de comunicação padronizados e conhecimento atualizado de exploits, consegue gerar impacto substancial em pouco tempo.”

Check Point Research, “Thus Spoke… The Gentlemen”, mai. 2026

O grupo opera em Go, com variantes para Windows, Linux e ESXi. Exige senha para execução, um controle que impede detonações acidentais e revela uma mentalidade de deployment deliberado. Em setembro de 2025 já anunciava publicamente seu programa RaaS em fóruns underground, oferecendo 90% de participação nos resgates para afiliados, bem acima da média do setor.

Devman, outro nome emergente que aparece nos próprios registros do processo de arbitragem do Qilin, seguiu caminho similar. FunkSec, DireWolf e outros grupos acumularam dezenas de vítimas em semanas. O padrão é consistente: reutilização de mecânicas RaaS já provadas + infraestrutura rapidamente montada = operacionalização em escala de semanas, não anos.

A extinção silenciosa da criptografia como arma

Por décadas, ransomware foi definido pelo ato de criptografar dados e cobrar pela chave. Esse modelo está sendo aposentado, não por escolha estética, mas por cálculo econômico.

Quando a taxa de pagamento despencou para 28%, grupos com alto custo operacional de criptografia passaram a questionar a equação. A resposta foi o que pesquisadores chamam de encryptionless extortion: exfiltração de dados seguida de ameaça de publicação, sem sequer tentar criptografar os sistemas da vítima.

O relatório do Kaspersky Securelist, publicado no Dia Internacional Contra o Ransomware em 12 de maio de 2026, é direto: “Em 2026, observamos uma mudança em direção à extorsão sem criptografia, com vazamento de dados se tornando cada vez mais a principal ameaça.” Grupos como ShinyHunters são citados como referência desse novo modelo, operando exclusivamente via roubo e publicação de dados.

No outro extremo da sofisticação, o mesmo relatório documenta o surgimento de famílias de ransomware usando criptografia pós-quântica, especificamente o algoritmo Kyber1024, selecionado pelo NIST como padrão primário para defesa pós-quântica. A família PE32, documentada pela Cloud Security Alliance em abril de 2026, implementa esse padrão em ataques reais contra ambientes ESXi.

A implicação vai além do imediato: governos e agências de inteligência acumulam dados criptografados hoje esperando decriptá-los com computadores quânticos no futuro, estratégia conhecida como harvest now, decrypt later. Grupos criminosos estão respondendo preventivamente, antecipando esse movimento.

Paralelamente, o Kaspersky também documentou a evolução tática dos grupos mais avançados. The Gentlemen, em operações de maio de 2026, abandonou o barulhento “EDR killing, ferramentas que desativam soluções de segurança de forma agressiva em favor de evasão cirúrgica em userland: técnicas silenciosas que operam dentro dos limites normais do sistema, reduzindo o ruído de detecção e aumentando o tempo de permanência na rede antes que qualquer alarme dispare.

Espionagem com rótulo de ransomware: a confusão proposital

Em maio de 2026, a Rapid7 publicou o relatório que pode ser o mais revelador do ano em termos de convergência entre crime organizado e operações estatais.

O caso: uma intrusão que começou como um incidente aparentemente ordinário de Chaos ransomware revelou-se, após análise forense, uma operação de espionagem do grupo iraniano MuddyWater, também conhecido como Seedworm, Mango Sandstorm e Static Kitten, oficialmente vinculado ao Ministério de Inteligência e Segurança do Irã (MOIS). O caso teve ampla cobertura do The Hacker News, The Register, SecurityWeek, Cybersecurity Dive e Infosecurity Magazine.

Os atacantes usaram o Microsoft Teams para enganar funcionários, estabeleceram sessões de compartilhamento de tela, coletaram credenciais e manipularam configurações de MFA. Instalaram ferramentas de acesso remoto legítimas como AnyDesk e DWAgent para persistência. Enviaram notas de resgate. Publicaram dados em um site de vazamento. Mas nunca criptografaram um único arquivo.

“Se uma operação parece ransomware, as equipes de defesa tendem a tratá-la como crime financeiro motivado, e não como operação de Estado. Isso pode distrair da pergunta mais importante: que acesso o ator estabeleceu, e que persistência permanece?”

Christiaan Beek, VP de Cyber Intelligence, Rapid7 — The Hacker News, mai. 2026

O Check Point Research, também envolvido na análise, observou que “o uso de ferramentas do crime cibernético entre grupos iranianos, incluindo o MuddyWater, tem crescido. Essa abordagem dá consideravelmente mais flexibilidade operacional e acesso a toolkits extensos sem necessidade de desenvolvimento interno. E torna a atribuição consideravelmente mais difícil.”

Não foi a primeira vez. Em outubro de 2025, o mesmo MuddyWater havia usado o ecossistema Qilin RaaS para atacar um hospital governamental israelense. Após a atribuição pública daquela operação ao MOIS, o grupo simplesmente trocou de “marca”, passando ao Chaos para reduzir o risco de identificação. A infraestrutura de C2, os certificados de assinatura de código e os padrões de engenharia social permaneceram os mesmos.

A Rapid7 conclui com precisão: “Em última análise, esta atividade é melhor compreendida como um modelo de intrusão híbrido, no qual o ransomware é usado não como objetivo final, mas como mecanismo de ocultação, coerção e flexibilidade operacional dentro de uma campanha de inteligência.”

O que isso significa na prática: equipes de resposta a incidentes que tratam uma intrusão como ransomware comum podem estar deixando uma operação de espionagem estatal se consolidar na rede enquanto negociam resgate com uma fachada.

O que este momento exige das organizações

O relatório do Kaspersky Securelist de maio de 2026 documenta uma queda no volume de organizações afetadas globalmente, mas acompanhada de uma escalada na sofisticação dos ataques que sobrevivem à triagem. Menos volume, mais impacto por evento.

Algumas diretrizes emergem com clareza da literatura técnica recente:

• Patch management como prioridade não negociável. The Gentlemen opera com um banco de dados de 14.700 FortiGates comprometidos via uma única CVE não corrigida. Vulnerabilidades em dispositivos de borda continuam sendo o principal vetor de entrada.
• Ir além dos indicadores óbvios de ransomware. A presença de uma nota de resgate não confirma que o objetivo é financeiro. Como documentado pela Rapid7, pode ser o contrário: cobertura para persistência de longo prazo.
• Auditoria de escopos OAuth e aplicativos de terceiros. Supply chain via compromisso de fornecedor com acesso OAuth é o novo perímetro? A maioria das organizações ainda não tem inventário completo de seus aplicativos de terceiros.
• Atenção redobrada ao MFA. O caso MuddyWater demonstrou que MFA pode ser manipulado via engenharia social sofisticada em plataformas legítimas como o Teams. Configuração e monitoramento de dispositivos autorizados é crítico.
• Preparação para criptografia pós-quântica. Ainda que distante para a maioria das organizações, o surgimento de ransomware com Kyber1024 sinaliza que a janela de transição para algoritmos resistentes a quantum está se fechando mais rápido do que o planejado.

Conclusão: o manual mudou

O que 2026 está revelando é uma mudança de natureza, não apenas de escala. O ransomware como categoria analítica se fragmentou em pelo menos três fenômenos distintos que compartilham ferramentas mas têm objetivos completamente diferentes: extorsão financeira pura, coleta de inteligência estatal disfarçada, e posicionamento estratégico para operações destrutivas futuras.

Tratar os três com o mesmo playbook de resposta a incidentes é um erro que agentes de Estado estão explorando deliberadamente.

A América Latina, com a maior taxa regional de ataques do mundo em 2025, não está à margem desse cenário. A combinação de infraestrutura crítica com subinvestimento histórico em segurança, alta penetração de sistemas legados e crescente relevância geopolítica da região coloca o Brasil exatamente no perfil que esses grupos — criminosos e estatais — priorizam.

O mercado do crime digital está maduro, competitivo e inovando mais rápido do que a maioria das defesas corporativas. Reconhecer isso não é alarmismo — é o ponto de partida para qualquer resposta séria.

Fontes e referências
Check Point Research — “Thus Spoke… The Gentlemen” (mai. 2026) | Check Point Blog — “When the Ransomware Gang Gets Hacked” (mai. 2026) | Group-IB — “Hasta la vista, Hastalamuerte: An Overview of The Gentlemen’s TTPs” (abr. 2026) | Rapid7 — “Muddying the Tracks: The State-Sponsored Shadow Behind Chaos Ransomware” (mai. 2026) | Kaspersky Securelist — “State of Ransomware in 2026” (mai. 2026) | The Hacker News — “MuddyWater Uses Microsoft Teams to Steal Credentials in False Flag Ransomware Attack” (mai. 2026) | SOCRadar — “Dark Web Profile: The Gentlemen Ransomware” (fev. 2026) | Symantec / Broadcom — “Ransomware: Tactical Evolution Fuels Extortion Epidemic” (2026) | NordStellar Research (jan. 2026) | Chainalysis Crypto Crime Report 2026 | Cloud Security Alliance — “Kyber Ransomware: Post-Quantum Encryption as an Attack Weapon” (abr. 2026) | Cybersecurity Dive, SC Media, Infosecurity Magazine, The Register, SecurityWeek — cobertura MuddyWater (mai. 2026)

Glossário de Termos Técnicos

AnyDesk
Software legítimo de acesso remoto frequentemente utilizado por empresas para suporte técnico. Em ataques cibernéticos, pode ser explorado por criminosos para manter acesso persistente aos sistemas comprometidos.

Arbitragem em fóruns underground
Mecanismo informal usado em fóruns do cibercrime para resolver disputas entre grupos criminosos, geralmente relacionadas a divisão de lucros, vazamento de dados ou quebra de acordos entre afiliados.

Bypass de autenticação
Falha de segurança que permite a um invasor acessar sistemas sem fornecer credenciais válidas.

C2 (Command and Control)
Infraestrutura usada por criminosos para controlar máquinas comprometidas remotamente, enviar comandos e receber dados roubados.

Carbon Black
Empresa de segurança cibernética especializada em proteção de endpoints e análise de ameaças.

Chainalysis
Empresa de inteligência blockchain que monitora movimentações financeiras relacionadas a criptomoedas, incluindo pagamentos de ransomware.

Chaos Ransomware
Família de ransomware utilizada em campanhas híbridas envolvendo extorsão, espionagem e operações estatais disfarçadas.

Check Point Research
Divisão de inteligência de ameaças da Check Point Software Technologies, responsável por pesquisas sobre cibercrime e ataques globais.

Cloud Security Alliance (CSA)
Organização internacional focada em segurança em nuvem e boas práticas de proteção digital.

CVE (Common Vulnerabilities and Exposures)
Sistema internacional de catalogação de vulnerabilidades de software. Cada falha recebe um identificador único, como CVE-2024-55591.

CVE-2024-55591
Falha crítica de segurança em dispositivos FortiOS/FortiProxy que permite bypass de autenticação e comprometimento remoto.

Deployment
Processo de implantação de software ou execução controlada de ferramentas em ambientes computacionais.

DWAgent
Ferramenta de acesso remoto legítima que pode ser utilizada tanto para administração quanto para invasões persistentes.

EDR (Endpoint Detection and Response)
Soluções avançadas de proteção capazes de monitorar, detectar e responder a ameaças em dispositivos corporativos.

EDR Killing
Técnicas usadas por atacantes para desativar soluções EDR e impedir detecção do ataque.

Encryptionless Extortion
Modelo de extorsão sem criptografia. Os criminosos roubam dados e ameaçam publicá-los sem bloquear os sistemas da vítima.

ESXi
Hipervisor da VMware amplamente utilizado em ambientes corporativos para virtualização de servidores.

Exfiltração de dados
Roubo e transferência não autorizada de informações para fora da rede da vítima.

Exploit
Código ou técnica usada para explorar vulnerabilidades em sistemas e softwares.

FortiGate
Equipamento de segurança de rede da Fortinet utilizado como firewall corporativo.

FortiOS / FortiProxy
Sistemas operacionais e soluções de proxy da Fortinet voltados à segurança de redes.

Go (Golang)
Linguagem de programação criada pelo Google, muito utilizada em malware moderno devido à sua performance e portabilidade.

Group-IB
Empresa internacional especializada em investigação de crimes cibernéticos e inteligência de ameaças.

Harvest Now, Decrypt Later
Estratégia em que dados criptografados são coletados hoje para serem descriptografados futuramente com computadores quânticos.

Infraestrutura de borda
Equipamentos posicionados na fronteira da rede corporativa, como firewalls, VPNs e gateways de segurança.

Intrusão híbrida
Ataque que combina características de ransomware, espionagem e operações de inteligência estatal.

Kyber1024
Algoritmo de criptografia pós-quântica selecionado pelo NIST como padrão para resistência a computadores quânticos.

Kaspersky Securelist
Portal técnico de pesquisa e inteligência de ameaças da Kaspersky.

Linux
Sistema operacional amplamente utilizado em servidores corporativos e ambientes críticos.

Microsoft Teams
Plataforma corporativa da Microsoft utilizada para colaboração e comunicação empresarial.

MFA (Multi-Factor Authentication)
Autenticação multifator. Método de segurança que exige dois ou mais fatores de verificação para acesso a sistemas.

MOIS (Ministry of Intelligence and Security)
Ministério de Inteligência e Segurança do Irã.

MuddyWater
Grupo de espionagem cibernética associado ao governo iraniano, também conhecido como Seedworm, Mango Sandstorm e Static Kitten.

NIST (National Institute of Standards and Technology)
Órgão dos Estados Unidos responsável por padrões tecnológicos e criptográficos.

OAuth
Protocolo de autorização utilizado para conceder acesso entre aplicativos sem compartilhar senhas diretamente.

Patch Management
Processo contínuo de atualização e correção de vulnerabilidades em softwares e sistemas.

PE32
Formato executável utilizado em sistemas Windows. Também dá nome a uma família de ransomware citada no artigo.

Persistência
Capacidade do invasor de manter acesso contínuo ao ambiente comprometido mesmo após reinicializações ou tentativas de remoção.

Pós-quantum / Pós-quântica
Tecnologias criptográficas projetadas para resistir a ataques realizados por computadores quânticos.

Qilin
Grupo de ransomware conhecido pelo modelo RaaS e por operações de grande escala.

RaaS (Ransomware-as-a-Service)
Modelo de negócio criminoso em que operadores alugam infraestrutura de ransomware para afiliados em troca de participação financeira.

RAMP Forum
Fórum underground usado por grupos criminosos para recrutamento, negociação e compartilhamento de ferramentas de ataque.

Rapid7
Empresa de segurança cibernética especializada em detecção de ameaças, testes de vulnerabilidade e inteligência de incidentes.

Ransomware
Tipo de malware que sequestra sistemas ou dados mediante pagamento de resgate.

Supply Chain Attack
Ataque realizado por meio da cadeia de fornecedores ou parceiros tecnológicos de uma organização.

Teams Phishing
Golpe realizado via Microsoft Teams para enganar usuários e obter credenciais ou acesso remoto.

The Gentlemen
Grupo emergente de ransomware que ganhou notoriedade global em 2026 por operações altamente profissionalizadas.

Threat Intelligence
Coleta e análise de informações sobre ameaças digitais para antecipar ataques e fortalecer defesas.

Toolkits
Conjunto de ferramentas utilizadas por criminosos para executar ataques cibernéticos.

Userland
Camada do sistema operacional onde operam aplicações comuns, fora do núcleo do sistema (kernel). Técnicas em userland tendem a gerar menos alertas de segurança.

Criptografia Forte é o Padrão que Mantém Bilhões de Pessoas Seguras Todos os Dias

Leia mais sobre Criptografia em uma coluna dedicada ao tema!

Siga o Crypto ID no LinkedIn agora mesmo!