A infraestrutura online do RansomHub está fora do ar desde 1º de abril de 2025, sem qualquer explicação oficial. O grupo, considerado um dos mais ativos do cenário de ransomware, publicou recentemente uma estrutura descentralizada, mas sua súbita ausência gerou preocupação entre parceiros e migração para concorrentes. A Group-IB aponta aumento de atividade na plataforma Qilin desde fevereiro, sugerindo um possível redirecionamento dos antigos afiliados do RansomHub.
Leia também
Segurança de senhas despenca em 2025
GitHub libera campanhas de segurança
Ativo desde fevereiro de 2024, o RansomHub se destacou por seu modelo financeiro flexível e por um criptografador multiplataforma baseado no código do projeto Knight. O malware operava em sistemas Windows, Linux, FreeBSD e ESXi, com suporte a arquiteturas x86, x64 e ARM. As campanhas evitavam alvos em países da CEI, além de Cuba, Coreia do Norte e China. Os ataques também envolviam o malware SocGholish, distribuído via sites WordPress comprometidos.
O grupo havia implementado recursos como painel de controle com customização e contas individuais, além de um módulo para desativar proteções, posteriormente descontinuado. Em novembro, passou a proibir ataques a instituições governamentais. Contudo, problemas técnicos e disputas internas geraram rupturas. A GuidePoint Security destaca que o grupo DragonForce anunciou no fórum RAMP a formação do DragonForce Ransomware Cartel, absorvendo afiliados do RansomHub.
Outros atores do mercado seguiram caminhos semelhantes. A BlackLock, antes atacada pela DragonForce, agora colabora com o cartel. A Secureworks CTU observa que o DragonForce oferece infraestrutura e ferramentas sem impor malware próprio, permitindo que afiliados criem suas próprias marcas.
Enquanto isso, novos grupos ganham espaço. O Anubis, surgido em fevereiro, evita criptografia e usa vazamentos de dados como chantagem. A variante ELENOR-corp, baseada no Mimic, tem como alvo o setor de saúde. O CrazyHunter utiliza a ferramenta ZammoCide para contornar proteções, enquanto o Elysium desativa serviços e backups. O FOG distribui arquivos ZIP maliciosos disfarçados como conteúdo de agências dos EUA. O Hellcat explora falhas no Atlassian Jira. Já o Interlock e o Hunters International adotam modelos voltados à exfiltração e vazamento de dados.
Mesmo após a queda de grandes nomes como LockBit, o ecossistema do ransomware continua ativo e em transformação, sinalizando a necessidade de estratégias de defesa mais flexíveis e adaptáveis.
