ransomware - RunkIntel

# Ransomware > [!high] Visão Geral — Ransomware como Ameaça Transversal > Ransomware é a categoria de malware de maior impacto financeiro da última década. Este é um nó de conceito central que conecta as famílias específicas de ransomware documentadas no vault. Para perfis específicos, consulte as notas de cada família. ## Visão Geral Ransomware é uma categoria de malware que criptografa os dados da vítima e exige pagamento de resgate para fornecer a chave de descriptografia. O modelo evoluiu de ataques simples (CryptoLocker, 2013) para o sofisticado ecossistema de **Ransomware-as-a-Service (RaaS)** moderno, onde desenvolvedores licenciam o malware a afiliados que conduzem os ataques e dividem os lucros. O modelo contemporâneo de **dupla extorsão** — combinando criptografia com exfiltração e ameaça de públicação de dados — foi popularizado pelo Maze em 2019 e tornou-se padrão da indústria. Uma evolução posterior introduziu **tripla extorsão**, adicionando ataques DDoS como pressão adicional. O ransomware gerou receitas estimadas em mais de US$ 1 bilhão apenas em 2023, com o Brasil entre os países mais afetados da América Latina. Grupos documentados no vault incluem: [[conti-ransomware|Conti]], [[blackmatter-ransomware|BlackMatter]], [[exitium-ransomware|Exitium]], [[qilin-ransomware|Qilin]], e outros. > [!latam] Relevância para o Brasil e LATAM > O Brasil é o país mais visado por ransomware na América Latina, com centenas de organizações comprometidas anualmente. Setores prioritários para grupos ransomware no Brasil: [[healthcare|saúde]], [[government|governo]], [[financial|financeiro]] e [[agribusiness|agronegócio]]. A [[lgpd|LGPD]] exige notificação de incidentes que resultem em vazamento de dados pessoais — componente central do modelo de dupla extorsão. ## Famílias Documentadas no Vault - [[conti-ransomware|Conti]] — maior operação RaaS de 2019-2022, atacou Costa Rica - [[blackmatter-ransomware|BlackMatter]] — sucessor do DarkSide, ativo em 2021 - [[exitium-ransomware|Exitium]] — grupo emergente, atacou Brasil em 2026 - [[qilin-ransomware|Qilin]] — RaaS ativo em 2024-2025, entregue via NetXLoader - [[medusa-ransomware-payload|Medusa]] — 300+ vítimas em infraestrutura crítica em 2025 - [[bl00dy-ransomware-gang|Bl00dy]] — grupo oportunista usando builders vazados ## Referências - [CISA - Ransomware Guide (2020)](https://www.cisa.gov/stopransomware/ransomware-guide) - [FBI - Ransomware Prevention Tips](https://www.ic3.gov/Home/Ransomware) - [Ransomware.live - Active Groups Tracker](https://www.ransomware.live)