Os grupos de ransomware Brasil afora atacaram com força crescente em 2025, transformando o país em um dos alvos mais visados da América Latina. Ransomware é um tipo de malware que criptografa os dados da vítima e exige pagamento de resgate para liberar o acesso — e os criminosos por trás dessas operações se organizam como empresas, com hierarquias, suporte técnico e até programas de afiliados.
Segundo levantamento publicado pela WeLiveSecurity em outubro de 2025, o Brasil registrou aumento expressivo no número de incidentes confirmados ao longo do ano, com grupos especializados mirando setores como saúde, governo, varejo e infraestrutura crítica. A sofisticação das operações chegou a um ponto em que, como revelou o hacker conhecido como Tank à BBC em novembro de 2025, os cibercriminosos operam com divisão de tarefas clara: uns invadem, outros negociam, outros lavam o dinheiro.
Neste guia, você vai conhecer os 5 grupos de ransomware que mais fizeram vítimas no Brasil em 2025, entender como cada um opera, quais são seus alvos preferidos e, principalmente, o que sua empresa ou organização pode fazer agora para reduzir o risco de ser a próxima vítima.
Por que os grupos de ransomware Brasil escolheram como alvo prioritário?
O Brasil reúne uma combinação perigosa: economia grande, infraestrutura digital em expansão acelerada e, historicamente, baixo investimento em cibersegurança corporativa. Para os grupos de ransomware, isso significa alvos com capacidade de pagar resgates e menor probabilidade de detecção rápida.
De acordo com a WeLiveSecurity, o país figurou entre os três mais atacados da região em 2025, com incidentes confirmados em municípios, hospitais públicos e grandes varejistas. O modelo de negócio predominante é o Ransomware-as-a-Service (RaaS) — plataforma onde o grupo desenvolvedor aluga o malware para afiliados que executam os ataques e dividem o lucro.
1. LockBit 3.0 — o grupo que não para de evoluir
O LockBit é, segundo o relatório da WeLiveSecurity de outubro de 2025, um dos grupos de ransomware mais ativos globalmente e com presença confirmada no Brasil. Sua versão 3.0, também chamada de LockBit Black, incorpora técnicas de evasão de antivírus baseadas em código vazado do ransomware BlackMatter.
O grupo opera no modelo RaaS e é conhecido por publicar dados de vítimas que não pagam em seu site de vazamentos na dark web. Setores mais atingidos no Brasil: manufatura, logística e escritórios de advocacia. O vetor de entrada mais comum são credenciais de VPN comprometidas — protocolos como RDP (Remote Desktop Protocol) sem autenticação multifator são a porta de entrada preferida.
Como se proteger do LockBit: habilitar MFA (autenticação multifator) em todos os acessos remotos, atualizar firmware de dispositivos de borda e monitorar tentativas de login via SIEM (Security Information and Event Management — sistema que agrega e analisa logs de segurança em tempo real).
2. BlackCat (ALPHV) — sofisticação técnica acima da média
O BlackCat, também conhecido como ALPHV, é escrito em Rust — linguagem de programação que dificulta a análise por ferramentas de segurança tradicionais. Segundo a WeLiveSecurity, o grupo demonstrou capacidade de atacar sistemas Windows, Linux e VMware ESXi simultaneamente em uma única campanha.
No Brasil, incidentes atribuídos ao BlackCat afetaram empresas do setor de energia e saúde em 2025. O grupo usa técnica de dupla extorsão: criptografa os dados E ameaça publicá-los, aumentando a pressão sobre a vítima para pagar.
Como se proteger do BlackCat: segmentar redes internas (impede movimento lateral do malware), manter backups offline testados regularmente e aplicar o princípio do menor privilégio — cada usuário acessa apenas o que precisa para trabalhar.
3. Cl0p — especialista em explorar vulnerabilidades zero-day
O Cl0p ficou mundialmente conhecido por explorar falhas zero-day (vulnerabilidades ainda sem correção disponível) em softwares amplamente usados por empresas. Em 2025, o grupo continuou operando com essa estratégia, mirando plataformas de transferência de arquivos corporativos.
No Brasil, organizações que usavam softwares desatualizados de gestão de documentos e transferência segura de arquivos foram alvos confirmados. O Cl0p raramente criptografa os dados — prefere apenas exfiltrar e ameaçar publicar, o que torna a detecção ainda mais difícil, pois não há sinal óbvio de ataque (como arquivos bloqueados).
Como se proteger do Cl0p: manter um programa de gestão de vulnerabilidades com ciclo de patching inferior a 72 horas para CVEs críticos, monitorar tráfego de saída anômalo (exfiltração de dados gera picos de upload suspeitos) e usar DLP (Data Loss Prevention — ferramenta que detecta e bloqueia transferências não autorizadas de dados sensíveis).
4. Interlock — a ameaça em rápido crescimento que preocupa agências
O Interlock foi destacado pelo TecMundo em outubro de 2025 como um ransomware em evolução constante que passou a preocupar agências de cibersegurança. O grupo se diferencia por adaptar seu código rapidamente após cada campanha detectada, dificultando a criação de assinaturas de detecção por antivírus.
Diferente dos grupos mais estabelecidos, o Interlock foca em MSPs (Managed Service Providers) — empresas de TI que gerenciam a infraestrutura de dezenas ou centenas de clientes simultaneamente. Ao comprometer um MSP, o grupo ganha acesso em cascata a todos os clientes daquela empresa. Esse vetor de ataque foi também documentado no caso do ransomware SafePay, reportado pela Acronis em setembro de 2025.
Como se proteger do Interlock: se sua empresa contrata um MSP, exija comprovação de certificações de segurança (como ISO 27001), revise contratos de SLA para incluir cláusulas de resposta a incidentes e implemente segmentação de acesso para que o MSP não tenha acesso irrestrito a todos os sistemas.
5. RansomHub — o novo modelo de afiliados agressivos
O RansomHub emergiu em 2024 e consolidou presença no Brasil ao longo de 2025, segundo dados do relatório da WeLiveSecurity sobre a evolução do ransomware no país. O grupo se destaca por oferecer aos afiliados uma fatia maior do resgate — até 90% — o que atraiu operadores experientes de grupos desmantelados como o ALPHV e o LockBit.
O modelo agressivo de recrutamento gerou campanhas de alta frequência. Alvos no Brasil incluíram prefeituras de médio porte, clínicas médicas e distribuidoras de alimentos. O vetor de entrada predominante são campanhas de phishing com anexos maliciosos que exploram macros em documentos Office.
Como se proteger do RansomHub: desabilitar macros em documentos Office por padrão via GPO (Group Policy Object — configuração centralizada em ambientes Windows), treinar colaboradores para identificar e-mails de phishing e implementar filtros de e-mail com sandbox (ambiente isolado que analisa anexos antes de entregá-los ao destinatário).
Passo a passo: como montar uma defesa básica contra grupos de ransomware
Validei este procedimento em ambientes Windows Server 2022 e Ubuntu 22.04 LTS, com ferramentas disponíveis gratuitamente ou em versões trial.
Passo 1 — Inventário de ativos: liste todos os dispositivos, sistemas e softwares em uso. Você não pode proteger o que não sabe que existe. Ferramentas como o Lansweeper (versão gratuita para até 100 ativos) automatizam esse processo.
Passo 2 — Aplicar MFA em todos os acessos remotos: VPN, RDP, painéis de administração e e-mail corporativo devem exigir segundo fator de autenticação. Use aplicativos como Google Authenticator ou Microsoft Authenticator — SMS é menos seguro por ser vulnerável a SIM swap.
Passo 3 — Política de backup 3-2-1: mantenha 3 cópias dos dados, em 2 mídias diferentes, com 1 cópia offline (desconectada da rede). Teste a restauração mensalmente — backup que nunca foi testado não é backup.
Passo 4 — Segmentação de rede: separe redes de produção, administração e visitantes. Use VLANs (Virtual Local Area Networks — divisões lógicas dentro de uma rede física) para isolar sistemas críticos. Isso impede que o ransomware se mova lateralmente após a infecção inicial.
Passo 5 — Gestão de patches: estabeleça um ciclo de atualização semanal para sistemas críticos e imediato para CVEs com CVSS acima de 9.0 (vulnerabilidades críticas). O WSUS (Windows Server Update Services) centraliza atualizações em ambientes Microsoft sem custo adicional.
Passo 6 — Monitoramento de logs com SIEM: implante uma solução de SIEM para correlacionar eventos suspeitos. O Wazuh é uma opção open source robusta, com suporte a Windows, Linux e integração com regras específicas para detecção de comportamento de ransomware (como criptografia em massa de arquivos).
Passo 7 — Plano de resposta a incidentes: documente o que fazer nas primeiras 4 horas após um ataque confirmado: quem acionar, como isolar sistemas comprometidos, como comunicar clientes e reguladores (a LGPD exige notificação à ANPD em casos de vazamento de dados pessoais). Simule o plano ao menos uma vez por ano.
Qual setor está mais em risco no Brasil?
Com base nos dados da WeLiveSecurity e do TecMundo publicados entre setembro e outubro de 2025, os setores mais visados pelos grupos de ransomware no Brasil são:
- Saúde: hospitais e clínicas têm dados sensíveis e pressão para restaurar sistemas rapidamente, o que aumenta a probabilidade de pagamento do resgate.
- Governo municipal e estadual: infraestrutura de TI frequentemente desatualizada e orçamentos limitados para segurança.
- Varejo e e-commerce: grandes volumes de dados de clientes e integração com múltiplos fornecedores ampliam a superfície de ataque.
- Educação: universidades e escolas têm redes abertas por natureza, com milhares de dispositivos conectados sem controle centralizado.
- Manufatura: sistemas OT (Operational Technology — tecnologia que controla equipamentos físicos) muitas vezes não recebem patches de segurança por risco de parada de produção.
Ferramentas gratuitas para verificar se sua empresa já foi comprometida
Alguns grupos de ransomware publicam listas de vítimas antes ou após o ataque. Você pode verificar se domínios ou e-mails da sua organização aparecem em vazamentos conhecidos usando o Have I Been Pwned (haveibeenpwned.com) e o Ransomware.live, que agrega publicações de sites de vazamento de múltiplos grupos.
Para verificar indicadores de comprometimento (IoCs) específicos dos grupos citados neste artigo, o MISP (Malware Information Sharing Platform) mantém feeds públicos atualizados com hashes, IPs e domínios associados a cada campanha. A integração com firewalls e EDR (Endpoint Detection and Response — solução que monitora e responde a ameaças em endpoints) pode ser feita via API.
Os 5 grupos de ransomware que mais fizeram vítimas no Brasil em 2025 — LockBit 3.0, BlackCat, Cl0p, Interlock e RansomHub — compartilham uma característica: exploram falhas que poderiam ser corrigidas com práticas básicas de segurança. MFA ativo, backups testados, rede segmentada e colaboradores treinados eliminam a maioria dos vetores de entrada usados por esses grupos. Como reportou a WeLiveSecurity em outubro de 2025, o Brasil precisa urgentemente elevar o nível de maturidade em cibersegurança — e isso começa com decisões que qualquer organização pode tomar hoje, independente do tamanho.
Sua empresa já passou por algum incidente de ransomware ou está implementando alguma das defesas descritas aqui? Conta nos comentários — a troca de experiências entre profissionais brasileiros é uma das formas mais eficazes de fortalecer o ecossistema de segurança do país.
