Uma análise realizada pelos nossos especialistas no fim de 2025 já apontava a evolução do ransomware como uma das tendências que mereciam atenção redobrada em 2026. O que vimos no primeiro trimestre do ano só confirma que essa ameaça continua no radar.
Com grupos já consolidados entre os mais ativos, como Qilin e Akira, e outros emergentes, como The Gentlemen, o número de vítimas ultrapassou a marca de 2 mil (um cenário semelhante ao observado no primeiro semestre de 2025).
A seguir, vamos analisar quais foram os setores mais atacados, os países mais afetados, o panorama da América Latina e a atuação de cada grupo.
Os grupos mais ativos no trimestre
Tem imagem que vale mais do que mil palavras, e a que mostra a atividade dos grupos de ransomware no primeiro trimestre de 2026 é um bom exemplo disso.
A imagem deixa claro que três grupos ditaram o ritmo dos ataques nesse período: Qilin, The Gentlemen e Akira. Juntos, eles somaram quase 900 vítimas, o que representa mais de 30% do total de ataques, cerca de 2.200, registrados nesses três meses.
O primeiro lugar ficou com o ransomware Qilin, com mais de 400 ataques ao longo do trimestre. Vale lembrar que esse grupo, que opera no modelo ransomware as a service e já havia liderado o ranking no ano passado, elevou o nível de profissionalização do cibercrime, oferecendo inclusive assessoria jurídica aos afiliados para aumentar a pressão nas negociações de resgate.
Na segunda posição, com quase 250 ataques, aparece o The Gentlemen, que no ano passado nem sequer figurava entre os 10 mais ativos. Esse grupo de RaaS representa uma nova fase: deixa de lado os ataques em massa para apostar em operações sob medida. É um modelo mais silencioso e muito mais perigoso, que redefine as regras do jogo com campanhas direcionadas e adaptativas.
O Akira completa o pódio, com mais de 200 ataques no período, muitos deles na América Latina. O crescimento foi tão expressivo que chegou a acender o alerta dos principais órgãos de cibersegurança do mundo, incluindo o FBI.
Os setores mais afetados
Em relação aos setores mais impactados por ransomware nos três primeiros meses de 2026, destacam-se manufatura, tecnologia e saúde. Logo atrás aparecem serviços empresariais, construção e serviços financeiros.
O que fica claro é que os cibercriminosos não escolhem suas vítimas ao acaso. Eles buscam organizações onde possam causar maior impacto ou senso de urgência, seja pela necessidade imediata de manter sistemas disponíveis, pela impossibilidade de longas paradas operacionais ou pelo fato de lidarem com dados críticos e sensíveis.
Os grupos de ransomware seguem focados em causar impacto econômico e prejuízos à reputação, mirando principalmente setores em processo de digitalização, mas que ainda apresentam menor maturidade em cibersegurança.
Os países mais atacados e o que acontece na América Latina
Com mais de 1 mil ataques registrados, os Estados Unidos foram, de longe, o país mais afetado por ransomware no primeiro trimestre de 2026.
Na sequência, aparecem países com números bem menores, na casa de 100 ataques ou menos, como Alemanha, Reino Unido e França. O Canadá completa o top 5.
No que diz respeito à América Latina, Brasil, com cerca de 50 ataques, e México, com aproximadamente 30, foram os países mais impactados. Ainda assim, também houve registros na Argentina, Chile, Peru, Paraguai, Equador, Venezuela, Colômbia, Guatemala, Panamá e República Dominicana.
O ransomware continua sendo uma tendência
O primeiro trimestre de 2026 confirma a tendência: o ransomware não é uma ameaça pontual nem está em queda, mas sim um fenômeno consolidado e em constante evolução.
A combinação de grupos altamente ativos, novos grupos cibercriminosos emergentes e ataques cada vez mais direcionados mostra que esse modelo continua sendo altamente lucrativo para o crime.
Olhando para frente, o foco deve estar em como as organizações podem fortalecer sua capacidade de prevenção, detecção e resposta, especialmente em setores críticos e em regiões onde a maturidade em cibersegurança ainda apresenta lacunas relevantes.
