Ransomware em 2026: criptografia pós-quântica, extorsão sem bloqueio de dados e mira no setor público e saúde
Novas famílias de ransomware adotam cifras resistentes a computadores quânticos enquanto criminosos migram para extorsão pura — sem criptografar arquivos — diante da queda nos pagamentos de resgate. Brasil segue como alvo prioritário, com saúde e setor público liderando os incidentes.
O cenário muda, mas o perigo cresce
O ransomware não recuou em 2026 — ele se reinventou. De acordo com análise publicada pelo Securelist, blog oficial da Kaspersky, a proporção de organizações atingidas por ataques de sequestro de dados apresentou leve queda em relação a 2024, mas especialistas alertam que a probabilidade de um incidente continua muito elevada para empresas de todos os portes e setores. Só no setor industrial, as perdas estimadas nos três primeiros trimestres de 2025 já ultrapassaram US$ 18 bilhões globalmente — um número que coloca em perspectiva o quanto o ecossistema criminoso se tornou sofisticado e rentável.
Quando a computação quântica vira arma dos criminosos
Uma das mudanças mais preocupantes identificadas pelo relatório é a adoção de cifras pós-quânticas por grupos de ameaça avançados. A família de malware PE32, por exemplo, passou a utilizar o padrão ML-KEM com o algoritmo Kyber1024 — uma especificação que oferece o chamado "Nível 5" de segurança criptográfica, equivalente em robustez ao AES-256. Na prática, isso significa que, mesmo que a vítima consiga recuperar os arquivos criptografados, não há esperança de deciframento sem a chave em posse dos atacantes. A barreira técnica para a recuperação independente chega perto do intransponível.
Ao mesmo tempo, ferramentas anti-defesa se tornaram peças padrão do arsenal dos operadores de ransomware. Os chamados "EDR-killers" — programas projetados para desativar soluções de detecção e resposta a endpoints — vêm sendo combinados com a técnica BYOVD (Bring Your Own Vulnerable Driver), que explora drivers legítimos e assinados para camuflar atividades maliciosas. O resultado é um ataque que, para os sistemas de segurança da vítima, pode parecer tráfego completamente normal.
Extorsão sem criptografia: o novo modelo de negócios do crime
Se antes o bloqueio dos dados era a espinha dorsal do ransomware, uma virada estratégica está em curso. Com a taxa de pagamento de resgates caindo para apenas 28% dos casos, muitos grupos abandonaram a etapa de criptografia e passaram a operar com extorsão pura: invadem a rede, exfiltram dados sensíveis e ameaçam divulgá-los publicamente caso a vítima não pague. A mudança é significativa porque, neste cenário, backups — a principal recomendação defensiva contra ransomware tradicional — não oferecem proteção alguma. A empresa pode restaurar seus sistemas integralmente e ainda assim estar sob coerção.
O modelo Ransomware-as-a-Service (RaaS) segue como motor dessa transformação. Plataformas criminosas alugam infraestrutura completa de ataque a operadores com conhecimento técnico limitado, democratizando ofensivas que antes exigiriam expertise de alto nível. Entre os grupos mais ativos em 2025 e início de 2026, o Qilin liderou em volume de ataques direcionados, seguido pelo Clop — especializado em comprometer cadeias de fornecimento — e pelo Akira, conhecido pela consistência operacional. Um entrante relevante é o grupo "The Gentlemen", que se destacou pela profissionalização extrema e pelo uso massivo de exploração em equipamentos de rede da Fortinet, SonicWall e Cisco ASA como vetores de entrada.
Brasil: 135 casos em 2024 e trajetória ascendente
No contexto brasileiro, os números revelam uma escalada preocupante. Segundo levantamento da ESET, o país registrou 51 vítimas documentadas de ransomware em 2023; esse total saltou para 135 casos em 2024. Até meados de 2025, o Brasil já acumulava 93 incidentes registrados — ritmo que, se mantido, superaria o ano anterior. Um dado estrutural agrava o quadro: cerca de 73% das organizações brasileiras ainda não contrataram qualquer forma de proteção cibernética dedicada, o que amplia consideravelmente a superfície de ataque disponível para os criminosos.
Saúde, setor público, educação e infraestrutura lideram o ranking de alvos no país, padrão consistente com o que se observa globalmente. O setor de saúde é particularmente vulnerável pela criticidade dos sistemas — interrupções podem colocar vidas em risco, o que aumenta a pressão sobre gestores para pagar o resgate rapidamente — e pelo histórico de subinvestimento em segurança da informação. O setor público, por sua vez, concentra volumes enormes de dados sensíveis de cidadãos, tornando-se alvo atrativo tanto para extorsão financeira quanto para operações de espionagem.
O que muda para as organizações
As tendências de 2026 redesenham as prioridades defensivas. A adoção de cifras pós-quânticas pelos atacantes antecipa em anos o prazo que muitas organizações estipulavam para modernizar sua criptografia. A extorsão sem criptografia exige que planos de resposta a incidentes vão além da restauração de backups e incluam protocolos robustos de contenção de exfiltração. E a proliferação de EDR-killers demanda revisão contínua das ferramentas de detecção em uso — uma solução eficaz hoje pode ser contornada amanhã.
O cenário não é de capitulação, mas de adaptação urgente. A queda nos pagamentos de resgate indica que mais organizações estão resistindo à pressão criminosa — seja por preparo maior, seja por orientação jurídica. O desafio é garantir que essa resistência venha acompanhada de infraestrutura técnica capaz de suportar ataques cada vez mais sofisticados.
Fonte: Securelist Brazil — State of Ransomware in 2026. Dados complementares: WeLiveSecurity/ESET — Ransomware no Brasil 2025.