LockBit Desmantelado, BlackCat Roubou o Dinheiro e RansomHub Preencheu o Vácuo — Como o Ransomware se Reinventou em 2024

A Operação Cronos paralisou a infraestrutura do LockBit em fevereiro de 2024, o ALPHV/BlackCat implodiu num golpe de saída de 22 milhões de dólares semanas depois, e o RansomHub absorveu os afiliados deslocados para se tornar o operador de Ransomware mais prolífico de 2024. As vitórias das forças de segurança não reduziram a ameaça — redistribuíram-na em algo mais volátil e difícil de rastrear, preparando o terreno para um ecossistema fragmentado e assistido por inteligência artificial que continua a escalar até meados de 2026.

Operação Cronos: Anatomia de uma Grande Disrupção

Em 19 de fevereiro de 2024, uma coalizão de dez países liderada pela National Crime Agency (NCA) do Reino Unido e pelo FBI dos EUA executou a Operação Cronos contra o LockBit, o grupo de Ransomware dominante desde pelo menos 2022. As autoridades apreenderam 34 servidores em múltiplas jurisdições, encerraram o site de vazamentos do LockBit na dark web, cancelaram 14.000 contas irregulares, congelaram 200 carteiras de criptomoedas e obtiveram mais de 1.000 chaves de descriptografia. Dois indivíduos foram presos na Polônia e na Ucrânia. Os cidadãos russos Artur Sungatov e Ivan Kondratyev (codinome «Bassterlord») foram indiciados nos Estados Unidos.

O componente psicológico da operação foi tão significativo quanto o técnico. As autoridades reaproveitaram o próprio site de vazamentos do LockBit para expor o funcionamento interno do grupo, publicar as identidades dos afiliados e enviar mensagens personalizadas aos membros que acessavam seus painéis de controle. O suposto líder, Dmitry Yuryevich Khoroshev (codinome «LockBitSupp»), foi identificado publicamente e uma recompensa de 10 milhões de dólares do Departamento de Estado dos EUA foi estabelecida por informações que levassem à sua captura. Ele foi posteriormente banido dos principais fóruns de crimes cibernéticos, cortando seus canais de recrutamento e comunicação.

A disrupção foi real, mas não permanente. Em questão de dias, o LockBitSupp afirmou ter restaurado os sistemas. Em meados de 2025, o grupo se renomeou para LockBit 4.0, substituindo a criptografia híbrida AES-256 + RSA-2048 pelo ChaCha20-Poly1305, adotando um modelo de hospedagem federado e reformando seu programa de afiliados. A Check Point Research confirmou campanhas de extorsão ativas do LockBit 4.0 visando organizações em ambientes Windows, Linux e ESXi na Europa, nas Américas e na Ásia em setembro de 2025.

O Golpe de Saída do BlackCat: Uma Traição de 22 Milhões de Dólares

Enquanto as forças de segurança comemoravam o golpe contra o LockBit, a ALPHV/BlackCat orquestrava uma das traições mais descaradas da história do Ransomware. Em fevereiro de 2024, um afiliado do BlackCat comprometeu a Change Healthcare — uma subsidiária da UnitedHealth Group que processa 15 bilhões de transações de saúde anualmente e toca um em cada três prontuários de pacientes nos EUA. O vetor de acesso inicial foi um portal de acesso remoto Citrix sem autenticação multifator.

A Change Healthcare detectou a violação em 21 de fevereiro de 2024 e desligou seus sistemas. O CEO da UnitedHealth Group, Andrew Witty, confirmou posteriormente que a empresa pagou um resgate de 22 milhões de dólares em Bitcoin ao BlackCat na tentativa de evitar a publicação dos dados dos pacientes. Não funcionou. Um afiliado insatisfeito acusou publicamente os operadores do BlackCat de ter embolsado o pagamento integral sem compartilhar a comissão acordada — e de ainda deter 4 terabytes de dados roubados. Quando o BlackCat publicou um aviso falso de apreensão pelas forças de segurança em seu site de vazamentos em março de 2024, pesquisadores como Fabian Wosar, chefe de pesquisa de Ransomware da Emsisoft, rapidamente o identificaram como fabricado. O DOJ, a Europol e a NCA negaram qualquer envolvimento. O BlackCat havia aplicado um golpe em seus próprios afiliados e encerrado as atividades.

Os danos colaterais foram enormes. O ataque interrompeu o envio de sinistros, a verificação de elegibilidade, o processamento de pagamentos e as transações de farmácias em todo o país. A American Hospital Association o descreveu como «o incidente mais significativo e de maior impacto desse tipo contra o sistema de saúde dos EUA na história». A UnitedHealth Group reportou mais de 870 milhões de dólares em prejuízos apenas no primeiro trimestre de 2024, com os custos totais de resposta estimados entre 2,3 e 2,45 bilhões de dólares. Aproximadamente 190 milhões de pessoas — mais da metade da população dos EUA — tiveram seus dados comprometidos. Para piorar, o RansomHub posteriormente afirmou também possuir os dados roubados da Change Healthcare e exigiu um segundo resgate da UnitedHealth Group.

RansomHub: O Preenchedor do Vácuo

O RansomHub foi lançado em fevereiro de 2024 — o mesmo mês do ataque à Change Healthcare — e o momento não foi coincidência. Pesquisadores de múltiplas empresas o avaliam como um possível rebranding ou derivado do Ransomware Knight (Cyclops), ou que seus operadores adquiriram o código-fonte do Knight. Seu modelo de negócio foi desenhado explicitamente para atrair afiliados prejudicados pelas disrupções do LockBit e BlackCat: os afiliados gerenciam os pagamentos de resgates diretamente e repassam apenas 10% de comissão ao grupo central, em comparação com os 20-30% típicos das plataformas concorrentes.

Os números de crescimento são expressivos. O RansomHub reivindicou 531 novas vítimas em 2024, representando 9,8% de todos os casos de Ransomware rastreados globalmente, tornando-se o grupo mais dominante do ano. Seu volume de ataques saltou 66% no segundo semestre de 2024. Só em setembro de 2024, o RansomHub listou 66 vítimas em um único mês e respondeu por 16% de todos os ataques de Ransomware do terceiro trimestre. Os alvos abrangeram sistemas de água e esgoto, instalações governamentais, saúde, manufatura crítica, serviços financeiros, transportes e infraestrutura de comunicações. Entre as vítimas de alto perfil estão a Frontier Communications, a casa de leilões britânica Christie's e a Halliburton.

A dominância do RansomHub se mostrou efêmera. Em 31 de março de 2025, seu site onion ficou offline e seu portal de clientes saiu do ar no dia seguinte. A Rapid7 confirmou a cessação completa das operações no início de abril de 2025, com afiliados migrando para o DragonForce e o LockBit. O DragonForce posteriormente afirmou ter assumido a infraestrutura do RansomHub.

A Fase de Fragmentação e a Nova Consolidação

Os colapsos em série do LockBit, BlackCat e RansomHub criaram um mercado de afiliados caótico. O número de grupos de Ransomware divulgados publicamente cresceu de 79 em abril de 2023 para 96 em abril de 2025, com 52 novos grupos surgindo em apenas um ano. Até 2025, um recorde de 124 grupos distintos com nomes próprios havia sido observado em ação. Grupos menores são mais difíceis de desmantelar: se renomeiam rapidamente, a atribuição se torna complexa e nenhuma ação isolada produz impacto desproporcional.

Dois grupos avançaram decisivamente para o vácuo de poder. O Qilin (também rastreado como Agenda), ativo desde 2022 com compilações multiplataforma em Golang e Rust visando Windows, Linux e VMware ESXi, registrou um aumento de 408% nos ataques ao longo de 2025 e se tornou o principal grupo de Ransomware em junho de 2025. Os afiliados recebem entre 80% e 85% dos lucros dos resgates. Entre os afiliados notáveis estão FIN12 e Scattered Spider (Octo Tempest). Após o encerramento do RansomHub em abril de 2025, um número significativo de seus afiliados migrou para o Qilin. O grupo chegou a introduzir um serviço de «jornalista» interno para as postagens do blog de seu site de vazamentos — amplamente avaliado como gerado por LLM — e uma função de suporte a afiliados chamada «Call Lawyer».

O DragonForce, ativo desde agosto de 2023 e com linhagem compartilhada com o LockBit Green por meio do código-fonte vazado do Conti v3, se renomeou em março de 2025 como um «cartel». Seu modelo permite que os afiliados operem sob suas próprias marcas enquanto aproveitam a infraestrutura, as ferramentas e o suporte do DragonForce. O grupo oferece 80% dos lucros aos afiliados e listou mais de 200 vítimas no varejo, em companhias aéreas, seguros e provedores de serviços gerenciados. Fez parceria com o Scattered Spider e ataca ativamente a infraestrutura de grupos rivais para afirmar sua dominância.

No primeiro trimestre de 2026, a Check Point Research observou uma tendência de consolidação revertendo a fragmentação: os 10 principais grupos passaram a representar uma parcela maior das vítimas rastreadas, com Qilin, Akira e LockBit 4.0/5.0 absorvendo afiliados deslocados em escala. O total global de incidentes de Ransomware deve ultrapassar 12.000 em 2026 nos ritmos atuais.

Lições para os Defensores

• Imponha MFA em todo portal de acesso remoto, sem exceção. A violação da Change Healthcare começou com um endpoint Citrix sem MFA. Essa única falha de controle custou à UnitedHealth Group mais de 2 bilhões de dólares e comprometeu os prontuários de 190 milhões de pacientes.
• Não presuma que o encerramento de um grupo elimina sua ameaça. O LockBit se reconstruiu duas vezes após grandes disrupções. Os afiliados do BlackCat e do RansomHub migraram para novas plataformas em questão de semanas. As assinaturas de inteligência de ameaças precisam rastrear a migração de afiliados, não apenas grupos com nomes conhecidos.
• Segmente e teste a integridade dos backups continuamente. Tanto o RansomHub quanto o Qilin visam especificamente hosts ESXi para destruir backups virtualizados. Procedimentos de recuperação isolados e testados continuam sendo a medida de mitigação de Ransomware mais eficaz.
• Fique atento ao modelo cartel. O sistema de marcas de afiliados do DragonForce significa que ataques atribuídos a marcas desconhecidas podem compartilhar infraestrutura, ferramentas e táticas com operadores bem documentados. Trate nomes de Ransomware desconhecidos como potencialmente afiliados a um cartel até que se prove o contrário.
• O risco de concentração em terceiros é agora uma questão de nível de conselho de administração. O papel da Change Healthcare no processamento de um terço dos prontuários de pacientes americanos transformou uma única infecção por Ransomware em uma crise nacional de saúde. O mapeamento da cadeia de suprimentos e os requisitos de resiliência de fornecedores não são mais opcionais para setores de infraestrutura crítica.