O grupo Qilin ocupou o vacuo deixado pela derrubada de LockBit e RansomHub e se consolidou como o operador de ransomware-as-a-service (RaaS) mais dominante de 2026, detendo cerca de 16% do mercado cibercriminoso segundo o 2026 Cyber Security Report da Check Point. Em 12 meses, o Qilin listou 1.496 vitimas em seu site de vazamentos, deixando para tras Akira (1.205) e The Gentlemen (763). O ecossistema, fragmentado desde 2024, volta a se concentrar – e isso muda o calculo de risco para vitimas em potencial.
Duas fontes independentes cruzaram dados sobre o cenario de ransomware em julho de 2026 e chegaram a mesma conclusao: apos um breve periodo de fragmentacao provocado pelas operacoes policiais que desmontaram LockBit em 2024 e RansomHub no comeco de 2025, o mercado esta se reconcentrando, com o Qilin puxando a fila. O 2026 Cyber Security Report da Check Point atribui ao grupo cerca de 16% do share de mercado cibercriminoso, ao passo que a Sophos X-Ops Counter Threat Unit (CTU) confirmou o dado em analise dos leak sites publicos.
Ativo desde outubro de 2022, o Qilin comecou como um projeto de nicho, escrito em Rust, e amadureceu rapidamente. Hoje opera uma infraestrutura sofisticada, com painel afiliado, mecanismos de negociacao com vitimas, servicos ampliados de extorsao (chamadas ao suporte, contatos com jornalistas, ameacas de vazamento em fases) e um programa de payout considerado o mais generoso do mercado para afiliados de alto volume.
Segundo Lotem Finkelstein, VP de pesquisa da Check Point, o movimento e coordenado: “Nos ultimos meses o que observamos e que eles estao consolidando novamente e virando grandes grupos de ransomware.” Aiden Sinnott, principal threat researcher da Sophos, concorda e destaca que o Qilin foi o principal beneficiario da reorganizacao que se seguiu as operacoes de policiamento.
A dominancia atual do Qilin nao e um acidente estatistico. E o resultado de quatro escolhas de produto que o grupo fez de forma agressiva enquanto competidores maiores caiam:
O Qilin virou dominante em grande parte porque foi o principal beneficiario da consolidacao do mercado apos as grandes acoes de policiamento.
Aiden Sinnott, principal threat researcher, Sophos X-Ops CTU
Ao mesmo tempo, o mercado nao virou monoproduto: o grupo Akira mantem forte presenca, o novato The Gentlemen se firma no top 3 em menos de um ano de atividade, e observadores como a Sophos e a Cybereason ja identificaram sinais de outros clones tentando replicar o modelo de produto do Qilin. A concentracao trouxe estabilidade operacional, nao necessariamente reduçao de risco.
Quando o mercado de ransomware se fragmenta, defensores tem uma vantagem residual: cada grupo tem tecnicas proprias, mais falhas operacionais, e a curva de aprendizado dos afiliados aumenta o ruido. Quando ele consolida, a coisa muda. O Qilin de hoje tem playbook padronizado, engenharia de produto por tras da variante ransomware e uma comunidade de afiliados batida, treinada, competindo entre si por dwell time e volume. Isso significa intrusoes mais rapidas, mais silenciosas e com maior probabilidade de sucesso na etapa de exfiltracao antes do encrypter rodar.
Ha ainda um segundo efeito colateral: com um grupo dominante, atores estatais aproveitam a cortina de fumaca do RaaS para lancar operacoes destrutivas disfarcadas de ransomware. Ja vimos esse padrao com NotPetya em 2017 e HermeticRansom em 2022. Nao seria surpresa se em 2026 uma variante deployada por afiliado do Qilin se revele, na verdade, uma operaçao alinhada a um servico de inteligencia estrangeiro visando infraestrutura critica.
Para o Brasil, que ja e o segundo maior alvo de ransomware na America Latina segundo relatorios do primeiro trimestre, o recado e claro: a temporada de calmaria pos-LockBit acabou. E hora de rever runbooks e testes de recovery.
Fonte: Infosecurity Magazine
CVE-2026-50548 e CVE-2026-50549 (CVSS 9.8), batizadas de DuneSlide pela Cato Networks, permitem sair do sandbox…
Cluster suspeito de vinculo chines usa iscas do Imposto de Renda indiano para entregar DcRAT…
Gigante de dispositivos médicos notifica pacientes após grupo de extorsão ShinyHunters acessar sistemas corporativos e…
Max Schrems planeja contestar o Data Privacy Framework após corte permitir que presidentes demitam membros…
Grupo ligado ao Contagious Interview publicou 108 pacotes e extensões em npm, Packagist, Go e…
Grupo JadePuffer explorou vulnerabilidade crítica de autenticação ausente no framework Langflow (CVSS 9.8, na CISA…