RansomHub desaparece e DragonForce assume: reorganização do ecossistema RaaS em 2025

Em 1 de abril de 2025, o RansomHub — que havia se tornado a operação RaaS mais ativa de 2024 ao absorver afiliados do LockBit e BlackCat após operações policiais — saiu do ar sem comunicado ou explicação. O encerramento abrupto deixou afiliados sem acesso à infraestrutura e forçou redistribuição para outros grupos.

O grupo DragonForce aproveitou o vácuo para anunciar controle da marca RansomHub e lançar um modelo de "cartel de ransomware" com serviço de white-label branding para afiliados — permitindo que grupos menores operem sob infraestrutura centralizada com suas próprias marcas. O DragonForce registrou aumento de 212,5% em ataques em junho de 2025.

A reorganização constante do ecossistema RaaS — com grupos surgindo, sendo derrubados por operações policiais ou simplesmente migrando de marca — demonstra a resiliência do modelo criminoso descentralizado. Em 2025, as operações policiais globais foram mais eficazes em reduzir pagamentos de resgate (queda de 35%) do que em eliminar os grupos permanentemente.

Organizações devem entender que a ameaça de ransomware persiste independentemente das mudanças no ecossistema criminoso. Preparação eficaz inclui: backups testados e imutáveis, plano de resposta a incidentes documentado, treinamento de conscientização de funcionários e testes de recuperação de desastres realizados regularmente.

Fonte: The Hacker News / BankInfoSecurity.