Em julho de 2025, o grupo Qilin foi responsável por 73 ataques de ransomware divulgados em seu site de vazamento de dados, o que representa cerca de 17% dos 423 incidentes registrados no mês. Essa marca consolida o Qilin como o grupo mais ativo no cenário global pelo terceiro mês entre os últimos quatro, superando o RansomHub, que anteriormente ocupava a liderança.
De acordo com dados da Cyble, o segundo grupo com maior número de vítimas foi o INC Ransom, com 59 ataques. Esse volume foi impulsionado por ataques direcionados a setores de infraestrutura crítica e por um aumento na divulgação de dados das vítimas.
Crescimento contínuo
Julho foi o terceiro mês consecutivo de crescimento no número de ataques. Em maio, haviam sido registrados 402 incidentes. Comparando com os dados anteriores, julho supera os meses de janeiro de 2023 (161 casos) e janeiro de 2024 (243 casos), mas permanece abaixo do pico de fevereiro de 2025, que registrou 854 incidentes, em grande parte atribuídos a grupos como CL0P e RansomHub.
Distribuição geográfica dos ataques
Os Estados Unidos foram o país mais afetado, com 223 vítimas oito vezes mais do que o Canadá, que ficou em segundo lugar. A América do Norte foi a região com maior incidência, seguida pela Europa. Nessa região, os países mais atingidos foram Itália, Reino Unido, Alemanha, França e Espanha.
Na região da Ásia-Pacífico, Tailândia, Japão e Singapura registraram seis incidentes cada. Índia e Filipinas também foram afetadas. No grupo EMEA (Europa, Oriente Médio e África), os países mais impactados foram Turquia e Arábia Saudita. Já na região ANZ (Austrália e Nova Zelândia), a Austrália foi o país com mais casos, totalizando cinco.
Setores mais impactados
Os setores de serviços profissionais e construção foram os mais atingidos, respondendo por mais de 25% dos incidentes. Outros setores com alta incidência foram manufatura, saúde e tecnologia da informação.
Os pesquisadores da Cyble identificaram 25 ataques a setores de infraestrutura crítica, incluindo governos, forças de segurança, energia, telecomunicações e serviços públicos. Além disso, foram registrados 20 casos com impacto na cadeia de suprimentos, devido a ataques a fornecedores de software.
Novas variantes e grupos emergentes
Durante o mês de julho, surgiram aproximadamente 40 novas variantes de ransomware, assim como novos grupos de cibercriminosos. Algumas das principais vulnerabilidades exploradas nesses ataques incluíram:
- CVE-2023-48788: falha de injeção SQL no Fortinet FortiClientEMS
- CVE-2019-18935: falha de desserialização no Progress Telerik UI para ASP.NET AJAX
- CVE-2025-5777: leitura fora dos limites no Citrix NetScaler ADC e Gateway
- CVEs-2025-53770, 53771, 49704 e 49706: falhas no Microsoft SharePoint
Essas vulnerabilidades permitiram acesso inicial aos sistemas e movimentação lateral para implantação de cargas maliciosas.
Principais incidentes do mês
Dentre os ataques com maior impacto registrados em julho estão:
- SafePay: violação a uma empresa global de tecnologia nos EUA, com exfiltração de 3,5 TB de dados e interrupção de sistemas de distribuição e APIs.
- Akira: ataque a uma contratada do setor de defesa nos EUA, com roubo de documentos sensíveis, como passaportes e contratos.
- INC Ransom: ofensiva contra empresas dos setores de automação predial, transmissão de energia, infraestrutura submarina e provedores de serviços gerenciados nos EUA e Canadá.
- Warlock: vazamento de dados de uma empresa do setor de manufatura na Índia.
- DevMan: invasão a uma agência governamental na Tailândia, utilizando objetos de política de grupo. O grupo foi rebatizado como DevMan 2.0, com novos ataques no Japão.
Grupos recém-formados como BEAST, D4RK4RMY, Payouts King e Sinobi lançaram novas plataformas de vazamento de dados. Esses grupos utilizam diferentes modelos operacionais, desde redes de afiliados até sistemas de acesso exclusivo por convite.
Ransomwares em destaque
As novas variantes introduzidas em julho incluíram AiLock, KaWaLocker, DeadLock, Crux e a edição Linux do ransomware Gunra. Essas variantes incorporaram recursos como:
- Criptografia multithread
- Esquemas híbridos (ChaCha20 com NTRUEncrypt ou RSA)
- Técnicas anti-análise
- Suporte multiplataforma
Essas características permitiram que os ataques ocorressem com mais velocidade e discrição.
A crescente sofisticação dos ataques de ransomware em julho de 2025 reforça a necessidade de estratégias de defesa cibernética mais eficazes. Adoção de arquitetura zero trust, segmentação de rede, backups imutáveis, gestão de vulnerabilidades e monitoramento contínuo são práticas fundamentais para mitigar os riscos.
