Qilin toma 16% do mercado de ransomware e sinaliza nova onda de consolidacao pos-LockBit
Relatorios da Check Point e da Sophos mostram que o Qilin absorveu afiliados orfaos das operaçoes contra LockBit e RansomHub e agora concentra o mercado de RaaS. Em 12 meses, o grupo listou 1.496 vitimas em seu leak site, quase 300 a mais que o segundo colocado.
O grupo Qilin ocupou o vacuo deixado pela derrubada de LockBit e RansomHub e se consolidou como o operador de ransomware-as-a-service (RaaS) mais dominante de 2026, detendo cerca de 16% do mercado cibercriminoso segundo o 2026 Cyber Security Report da Check Point. Em 12 meses, o Qilin listou 1.496 vitimas em seu site de vazamentos, deixando para tras Akira (1.205) e The Gentlemen (763). O ecossistema, fragmentado desde 2024, volta a se concentrar – e isso muda o calculo de risco para vitimas em potencial.
O que aconteceu
Duas fontes independentes cruzaram dados sobre o cenario de ransomware em julho de 2026 e chegaram a mesma conclusao: apos um breve periodo de fragmentacao provocado pelas operacoes policiais que desmontaram LockBit em 2024 e RansomHub no comeco de 2025, o mercado esta se reconcentrando, com o Qilin puxando a fila. O 2026 Cyber Security Report da Check Point atribui ao grupo cerca de 16% do share de mercado cibercriminoso, ao passo que a Sophos X-Ops Counter Threat Unit (CTU) confirmou o dado em analise dos leak sites publicos.
Ativo desde outubro de 2022, o Qilin comecou como um projeto de nicho, escrito em Rust, e amadureceu rapidamente. Hoje opera uma infraestrutura sofisticada, com painel afiliado, mecanismos de negociacao com vitimas, servicos ampliados de extorsao (chamadas ao suporte, contatos com jornalistas, ameacas de vazamento em fases) e um programa de payout considerado o mais generoso do mercado para afiliados de alto volume.
Segundo Lotem Finkelstein, VP de pesquisa da Check Point, o movimento e coordenado: “Nos ultimos meses o que observamos e que eles estao consolidando novamente e virando grandes grupos de ransomware.” Aiden Sinnott, principal threat researcher da Sophos, concorda e destaca que o Qilin foi o principal beneficiario da reorganizacao que se seguiu as operacoes de policiamento.
Por que o Qilin virou o novo padrao
A dominancia atual do Qilin nao e um acidente estatistico. E o resultado de quatro escolhas de produto que o grupo fez de forma agressiva enquanto competidores maiores caiam:
- Payout de afiliado alto: percentual acima da media do mercado, com pagamentos rapidos, o que atraiu afiliados orfaos das operacoes derrubadas.
- Infraestrutura madura: painel estavel, orquestracao multi-plataforma (Windows, Linux, VMware ESXi) e chat com vitima integrado.
- Inovacao tecnica continua: variantes com criptografia intermitente, evasao de EDR baseada em BYOVD (Bring Your Own Vulnerable Driver) e suporte nativo a ambientes de virtualizacao.
- Servicos de extorsao expandidos: vazamentos em ondas, contato com jornalistas do setor e ameacas a reguladores para pressionar vitimas em industrias criticas.
O Qilin virou dominante em grande parte porque foi o principal beneficiario da consolidacao do mercado apos as grandes acoes de policiamento.
Aiden Sinnott, principal threat researcher, Sophos X-Ops CTU
Ao mesmo tempo, o mercado nao virou monoproduto: o grupo Akira mantem forte presenca, o novato The Gentlemen se firma no top 3 em menos de um ano de atividade, e observadores como a Sophos e a Cybereason ja identificaram sinais de outros clones tentando replicar o modelo de produto do Qilin. A concentracao trouxe estabilidade operacional, nao necessariamente reduçao de risco.
Setores mais visados e impacto na cadeia
- Servicos profissionais e escritorios de advocacia, alvos preferenciais por deterem contratos sensiveis e clientes de alto valor.
- Saude e clinicas de medio porte, sujeitas a regulacao pesada e propensas a pagar para evitar exposicao regulatoria.
- Manufatura, com foco em empresas com automaçao OT e janela zero de tolerancia a parada.
- Provedores de servicos gerenciados (MSPs), usados como vetor de propagaçao para dezenas de clientes downstream em um unico intrusao.
- Empresas de midia e agencias, especialmente pelo apelo de vazamentos coordenados que pressionam pagamento.
Analise: consolidacao e um alerta, nao uma boa noticia
Quando o mercado de ransomware se fragmenta, defensores tem uma vantagem residual: cada grupo tem tecnicas proprias, mais falhas operacionais, e a curva de aprendizado dos afiliados aumenta o ruido. Quando ele consolida, a coisa muda. O Qilin de hoje tem playbook padronizado, engenharia de produto por tras da variante ransomware e uma comunidade de afiliados batida, treinada, competindo entre si por dwell time e volume. Isso significa intrusoes mais rapidas, mais silenciosas e com maior probabilidade de sucesso na etapa de exfiltracao antes do encrypter rodar.
Ha ainda um segundo efeito colateral: com um grupo dominante, atores estatais aproveitam a cortina de fumaca do RaaS para lancar operacoes destrutivas disfarcadas de ransomware. Ja vimos esse padrao com NotPetya em 2017 e HermeticRansom em 2022. Nao seria surpresa se em 2026 uma variante deployada por afiliado do Qilin se revele, na verdade, uma operaçao alinhada a um servico de inteligencia estrangeiro visando infraestrutura critica.
Para o Brasil, que ja e o segundo maior alvo de ransomware na America Latina segundo relatorios do primeiro trimestre, o recado e claro: a temporada de calmaria pos-LockBit acabou. E hora de rever runbooks e testes de recovery.
Recomendacoes praticas
- Priorizar deteccao de exfiltracao antes de encryption: monitore volumes anomalos de saida para serviços de cloud storage e HTTPS de longa duracao.
- Aplicar controles de BYOVD: bloquear drivers vulneraveis conhecidos via Microsoft Vulnerable Driver Blocklist e listas equivalentes em EDR.
- Segmentar ambientes VMware ESXi e proteger vCenter com autenticacao forte e monitoramento de comandos esxcli inusuais.
- Revisar acordos com MSPs para exigir MFA administrativa, isolamento de tenants e testes de resposta a incidente conjuntos.
- Testar restauracao de backup pelo menos trimestralmente, com metrica de RTO real, incluindo cenario de leak-only extortion.
- Estabelecer politica escrita sobre negociacao com atores de ameaca antes do incidente, incluindo participacao juridica e comunicaçao regulatoria.
- Enrolar times executivos em tabletop exercises com o playbook de extorsao expandida (jornalistas, reguladores, clientes).
Fonte: Infosecurity Magazine




