Qilin toma 16% do mercado de ransomware e sinaliza nova onda de consolidacao pos-LockBit

O grupo Qilin ocupou o vacuo deixado pela derrubada de LockBit e RansomHub e se consolidou como o operador de ransomware-as-a-service (RaaS) mais dominante de 2026, detendo cerca de 16% do mercado cibercriminoso segundo o 2026 Cyber Security Report da Check Point. Em 12 meses, o Qilin listou 1.496 vitimas em seu site de vazamentos, deixando para tras Akira (1.205) e The Gentlemen (763). O ecossistema, fragmentado desde 2024, volta a se concentrar – e isso muda o calculo de risco para vitimas em potencial.

O que aconteceu

Duas fontes independentes cruzaram dados sobre o cenario de ransomware em julho de 2026 e chegaram a mesma conclusao: apos um breve periodo de fragmentacao provocado pelas operacoes policiais que desmontaram LockBit em 2024 e RansomHub no comeco de 2025, o mercado esta se reconcentrando, com o Qilin puxando a fila. O 2026 Cyber Security Report da Check Point atribui ao grupo cerca de 16% do share de mercado cibercriminoso, ao passo que a Sophos X-Ops Counter Threat Unit (CTU) confirmou o dado em analise dos leak sites publicos.

Ativo desde outubro de 2022, o Qilin comecou como um projeto de nicho, escrito em Rust, e amadureceu rapidamente. Hoje opera uma infraestrutura sofisticada, com painel afiliado, mecanismos de negociacao com vitimas, servicos ampliados de extorsao (chamadas ao suporte, contatos com jornalistas, ameacas de vazamento em fases) e um programa de payout considerado o mais generoso do mercado para afiliados de alto volume.

Segundo Lotem Finkelstein, VP de pesquisa da Check Point, o movimento e coordenado: “Nos ultimos meses o que observamos e que eles estao consolidando novamente e virando grandes grupos de ransomware.” Aiden Sinnott, principal threat researcher da Sophos, concorda e destaca que o Qilin foi o principal beneficiario da reorganizacao que se seguiu as operacoes de policiamento.

Por que o Qilin virou o novo padrao

A dominancia atual do Qilin nao e um acidente estatistico. E o resultado de quatro escolhas de produto que o grupo fez de forma agressiva enquanto competidores maiores caiam:

  • Payout de afiliado alto: percentual acima da media do mercado, com pagamentos rapidos, o que atraiu afiliados orfaos das operacoes derrubadas.
  • Infraestrutura madura: painel estavel, orquestracao multi-plataforma (Windows, Linux, VMware ESXi) e chat com vitima integrado.
  • Inovacao tecnica continua: variantes com criptografia intermitente, evasao de EDR baseada em BYOVD (Bring Your Own Vulnerable Driver) e suporte nativo a ambientes de virtualizacao.
  • Servicos de extorsao expandidos: vazamentos em ondas, contato com jornalistas do setor e ameacas a reguladores para pressionar vitimas em industrias criticas.

O Qilin virou dominante em grande parte porque foi o principal beneficiario da consolidacao do mercado apos as grandes acoes de policiamento.

Aiden Sinnott, principal threat researcher, Sophos X-Ops CTU

Ao mesmo tempo, o mercado nao virou monoproduto: o grupo Akira mantem forte presenca, o novato The Gentlemen se firma no top 3 em menos de um ano de atividade, e observadores como a Sophos e a Cybereason ja identificaram sinais de outros clones tentando replicar o modelo de produto do Qilin. A concentracao trouxe estabilidade operacional, nao necessariamente reduçao de risco.

Setores mais visados e impacto na cadeia

  • Servicos profissionais e escritorios de advocacia, alvos preferenciais por deterem contratos sensiveis e clientes de alto valor.
  • Saude e clinicas de medio porte, sujeitas a regulacao pesada e propensas a pagar para evitar exposicao regulatoria.
  • Manufatura, com foco em empresas com automaçao OT e janela zero de tolerancia a parada.
  • Provedores de servicos gerenciados (MSPs), usados como vetor de propagaçao para dezenas de clientes downstream em um unico intrusao.
  • Empresas de midia e agencias, especialmente pelo apelo de vazamentos coordenados que pressionam pagamento.

Analise: consolidacao e um alerta, nao uma boa noticia

Quando o mercado de ransomware se fragmenta, defensores tem uma vantagem residual: cada grupo tem tecnicas proprias, mais falhas operacionais, e a curva de aprendizado dos afiliados aumenta o ruido. Quando ele consolida, a coisa muda. O Qilin de hoje tem playbook padronizado, engenharia de produto por tras da variante ransomware e uma comunidade de afiliados batida, treinada, competindo entre si por dwell time e volume. Isso significa intrusoes mais rapidas, mais silenciosas e com maior probabilidade de sucesso na etapa de exfiltracao antes do encrypter rodar.

Ha ainda um segundo efeito colateral: com um grupo dominante, atores estatais aproveitam a cortina de fumaca do RaaS para lancar operacoes destrutivas disfarcadas de ransomware. Ja vimos esse padrao com NotPetya em 2017 e HermeticRansom em 2022. Nao seria surpresa se em 2026 uma variante deployada por afiliado do Qilin se revele, na verdade, uma operaçao alinhada a um servico de inteligencia estrangeiro visando infraestrutura critica.

Para o Brasil, que ja e o segundo maior alvo de ransomware na America Latina segundo relatorios do primeiro trimestre, o recado e claro: a temporada de calmaria pos-LockBit acabou. E hora de rever runbooks e testes de recovery.

Recomendacoes praticas

  • Priorizar deteccao de exfiltracao antes de encryption: monitore volumes anomalos de saida para serviços de cloud storage e HTTPS de longa duracao.
  • Aplicar controles de BYOVD: bloquear drivers vulneraveis conhecidos via Microsoft Vulnerable Driver Blocklist e listas equivalentes em EDR.
  • Segmentar ambientes VMware ESXi e proteger vCenter com autenticacao forte e monitoramento de comandos esxcli inusuais.
  • Revisar acordos com MSPs para exigir MFA administrativa, isolamento de tenants e testes de resposta a incidente conjuntos.
  • Testar restauracao de backup pelo menos trimestralmente, com metrica de RTO real, incluindo cenario de leak-only extortion.
  • Estabelecer politica escrita sobre negociacao com atores de ameaca antes do incidente, incluindo participacao juridica e comunicaçao regulatoria.
  • Enrolar times executivos em tabletop exercises com o playbook de extorsao expandida (jornalistas, reguladores, clientes).

Fonte: Infosecurity Magazine

TheNinja

Recent Posts

DuneSlide: duas CVEs criticas no Cursor abrem RCE zero-click via prompt injection em CI e MCP servers

CVE-2026-50548 e CVE-2026-50549 (CVSS 9.8), batizadas de DuneSlide pela Cato Networks, permitem sair do sandbox…

2 horas ago

Operation DragonReturn: hackers ligados a China usam falso app do fisco indiano para plantar DcRAT

Cluster suspeito de vinculo chines usa iscas do Imposto de Renda indiano para entregar DcRAT…

3 horas ago

Medtronic confirma vazamento de dados de 3,8 milhões de pacientes em ataque atribuído ao ShinyHunters

Gigante de dispositivos médicos notifica pacientes após grupo de extorsão ShinyHunters acessar sistemas corporativos e…

1 dia ago

Decisão da Suprema Corte dos EUA sobre agências independentes ameaça acordo de transferência de dados UE-EUA

Max Schrems planeja contestar o Data Privacy Framework após corte permitir que presidentes demitam membros…

1 dia ago

Hackers norte-coreanos publicam 108 pacotes maliciosos em npm, Go e Chrome na campanha PolinRider

Grupo ligado ao Contagious Interview publicou 108 pacotes e extensões em npm, Packagist, Go e…

1 dia ago

Ataque de ransomware agentico usa Langflow e explora CVE-2025-3248 com LLM narrando cada passo

Grupo JadePuffer explorou vulnerabilidade crítica de autenticação ausente no framework Langflow (CVSS 9.8, na CISA…

2 dias ago