Qilin toma 16% do mercado de ransomware e sinaliza nova onda de consolidacao pos-LockBit

Relatorios da Check Point e da Sophos mostram que o Qilin absorveu afiliados orfaos das operaçoes contra LockBit e RansomHub e agora concentra o mercado de RaaS. Em 12 meses, o grupo listou 1.496 vitimas em seu leak site, quase 300 a mais que o segundo colocado.

Qilin domina o mercado de ransomware em 2026

O grupo Qilin ocupou o vacuo deixado pela derrubada de LockBit e RansomHub e se consolidou como o operador de ransomware-as-a-service (RaaS) mais dominante de 2026, detendo cerca de 16% do mercado cibercriminoso segundo o 2026 Cyber Security Report da Check Point. Em 12 meses, o Qilin listou 1.496 vitimas em seu site de vazamentos, deixando para tras Akira (1.205) e The Gentlemen (763). O ecossistema, fragmentado desde 2024, volta a se concentrar – e isso muda o calculo de risco para vitimas em potencial.

O que aconteceu

Duas fontes independentes cruzaram dados sobre o cenario de ransomware em julho de 2026 e chegaram a mesma conclusao: apos um breve periodo de fragmentacao provocado pelas operacoes policiais que desmontaram LockBit em 2024 e RansomHub no comeco de 2025, o mercado esta se reconcentrando, com o Qilin puxando a fila. O 2026 Cyber Security Report da Check Point atribui ao grupo cerca de 16% do share de mercado cibercriminoso, ao passo que a Sophos X-Ops Counter Threat Unit (CTU) confirmou o dado em analise dos leak sites publicos.

Ativo desde outubro de 2022, o Qilin comecou como um projeto de nicho, escrito em Rust, e amadureceu rapidamente. Hoje opera uma infraestrutura sofisticada, com painel afiliado, mecanismos de negociacao com vitimas, servicos ampliados de extorsao (chamadas ao suporte, contatos com jornalistas, ameacas de vazamento em fases) e um programa de payout considerado o mais generoso do mercado para afiliados de alto volume.

Segundo Lotem Finkelstein, VP de pesquisa da Check Point, o movimento e coordenado: “Nos ultimos meses o que observamos e que eles estao consolidando novamente e virando grandes grupos de ransomware.” Aiden Sinnott, principal threat researcher da Sophos, concorda e destaca que o Qilin foi o principal beneficiario da reorganizacao que se seguiu as operacoes de policiamento.

Por que o Qilin virou o novo padrao

A dominancia atual do Qilin nao e um acidente estatistico. E o resultado de quatro escolhas de produto que o grupo fez de forma agressiva enquanto competidores maiores caiam:

  • Payout de afiliado alto: percentual acima da media do mercado, com pagamentos rapidos, o que atraiu afiliados orfaos das operacoes derrubadas.
  • Infraestrutura madura: painel estavel, orquestracao multi-plataforma (Windows, Linux, VMware ESXi) e chat com vitima integrado.
  • Inovacao tecnica continua: variantes com criptografia intermitente, evasao de EDR baseada em BYOVD (Bring Your Own Vulnerable Driver) e suporte nativo a ambientes de virtualizacao.
  • Servicos de extorsao expandidos: vazamentos em ondas, contato com jornalistas do setor e ameacas a reguladores para pressionar vitimas em industrias criticas.

O Qilin virou dominante em grande parte porque foi o principal beneficiario da consolidacao do mercado apos as grandes acoes de policiamento.

Aiden Sinnott, principal threat researcher, Sophos X-Ops CTU

Ao mesmo tempo, o mercado nao virou monoproduto: o grupo Akira mantem forte presenca, o novato The Gentlemen se firma no top 3 em menos de um ano de atividade, e observadores como a Sophos e a Cybereason ja identificaram sinais de outros clones tentando replicar o modelo de produto do Qilin. A concentracao trouxe estabilidade operacional, nao necessariamente reduçao de risco.

Setores mais visados e impacto na cadeia

  • Servicos profissionais e escritorios de advocacia, alvos preferenciais por deterem contratos sensiveis e clientes de alto valor.
  • Saude e clinicas de medio porte, sujeitas a regulacao pesada e propensas a pagar para evitar exposicao regulatoria.
  • Manufatura, com foco em empresas com automaçao OT e janela zero de tolerancia a parada.
  • Provedores de servicos gerenciados (MSPs), usados como vetor de propagaçao para dezenas de clientes downstream em um unico intrusao.
  • Empresas de midia e agencias, especialmente pelo apelo de vazamentos coordenados que pressionam pagamento.

Analise: consolidacao e um alerta, nao uma boa noticia

Quando o mercado de ransomware se fragmenta, defensores tem uma vantagem residual: cada grupo tem tecnicas proprias, mais falhas operacionais, e a curva de aprendizado dos afiliados aumenta o ruido. Quando ele consolida, a coisa muda. O Qilin de hoje tem playbook padronizado, engenharia de produto por tras da variante ransomware e uma comunidade de afiliados batida, treinada, competindo entre si por dwell time e volume. Isso significa intrusoes mais rapidas, mais silenciosas e com maior probabilidade de sucesso na etapa de exfiltracao antes do encrypter rodar.

Ha ainda um segundo efeito colateral: com um grupo dominante, atores estatais aproveitam a cortina de fumaca do RaaS para lancar operacoes destrutivas disfarcadas de ransomware. Ja vimos esse padrao com NotPetya em 2017 e HermeticRansom em 2022. Nao seria surpresa se em 2026 uma variante deployada por afiliado do Qilin se revele, na verdade, uma operaçao alinhada a um servico de inteligencia estrangeiro visando infraestrutura critica.

Para o Brasil, que ja e o segundo maior alvo de ransomware na America Latina segundo relatorios do primeiro trimestre, o recado e claro: a temporada de calmaria pos-LockBit acabou. E hora de rever runbooks e testes de recovery.

Recomendacoes praticas

  • Priorizar deteccao de exfiltracao antes de encryption: monitore volumes anomalos de saida para serviços de cloud storage e HTTPS de longa duracao.
  • Aplicar controles de BYOVD: bloquear drivers vulneraveis conhecidos via Microsoft Vulnerable Driver Blocklist e listas equivalentes em EDR.
  • Segmentar ambientes VMware ESXi e proteger vCenter com autenticacao forte e monitoramento de comandos esxcli inusuais.
  • Revisar acordos com MSPs para exigir MFA administrativa, isolamento de tenants e testes de resposta a incidente conjuntos.
  • Testar restauracao de backup pelo menos trimestralmente, com metrica de RTO real, incluindo cenario de leak-only extortion.
  • Estabelecer politica escrita sobre negociacao com atores de ameaca antes do incidente, incluindo participacao juridica e comunicaçao regulatoria.
  • Enrolar times executivos em tabletop exercises com o playbook de extorsao expandida (jornalistas, reguladores, clientes).

Fonte: Infosecurity Magazine

Social Media Auto Publish Powered By : XYZScripts.com