Contexto: a paisagem pós-Operation Cronos

Em fevereiro de 2024, a Operation Cronos, operação policial coordenada por Europol, FBI e NCA do Reino Unido, perturbou significativamente a infraestrutura do LockBit, o então líder do mercado de ransomware. A operação resultou em 4 detenções, apreensão de 34 servidores e chaves de desencriptação disponibilizadas gratuitamente.

O efeito, no entanto, foi temporário. O mercado de ransomware respondeu com fragmentação, dezenas de grupos menores surgiram para ocupar o vácuo deixado pelo LockBit 3.0. Grupos como RansomHub emergiram como líderes temporários, mas o próprio RansomHub colapsou em abril de 2025 após uma série de traições internas e operações de law enforcement.

O DragonForce como operador de marketplace

O DragonForce distingue-se dos grupos tradicionais de ransomware por ter adotado desde 2025 um modelo de "white-label ransomware", oferecendo a sua infraestrutura como serviço a outros grupos criminosos, funcionando como um marketplace de crime-as-a-service.

O cartel anunciado em novembro de 2025 expande este modelo:

  • Infraestrutura partilhada: Servidores C2, painéis de gestão de vítimas e serviços de negociação são partilhados entre os três grupos.
  • Pool de afiliados: Afiliados podem escolher qual dos três "brands" usar para um ataque específico, dependendo do setor e da região.
  • Partilha de TTPs: Técnicas de acesso inicial, evasão e movimento lateral são partilhadas transversalmente.
  • Convite aberto: O cartel anunciou publicamente o convite a outros grupos para adesão, funcionando como uma "câmara de comércio" do ransomware criminal.

Implicação operacional: Um ataque que usa um indicador de comprometimento (IOC) do LockBit pode na realidade ser um ataque do Qilin, e vice-versa. Estratégias de defesa baseadas em blacklists de IOCs específicos de um grupo perdem eficácia num ecossistema com infraestrutura partilhada.

Implicações para o planeamento de resposta a incidentes NIS2

A formação do cartel tem consequências práticas para as organizações que desenvolvem planos de resposta a incidentes ao abrigo do Art. 21.º do DL 125/2025:

Generalização dos indicadores

Os playbooks de resposta a ransomware devem ser construídos em torno de TTPs genéricos (movimentos laterais, uso de RMM tools, exfiltração para serviços cloud legítimos) em vez de IOCs específicos de um grupo. A análise comportamental em EDR/XDR torna-se mais relevante que bases de dados de hash de malware.

Preparação para dupla extorsão generalizada

Todos os três grupos do cartel operam dupla extorsão (encriptação + exfiltração). Os planos de resposta devem incluir procedimentos para:

  • Avaliação rápida do volume e sensibilidade de dados potencialmente exfiltrados.
  • Notificação preventiva ao CNCS e CNPD (violação de dados pessoais).
  • Gestão de comunicação com stakeholders incluindo clientes e parceiros cujos dados possam estar comprometidos.

Exercícios de tabletop com cenários multi-grupo

Os exercícios de simulação devem cobrir cenários onde o mesmo atacante usa TTPs de múltiplos grupos, e onde a atribuição é ambígua ou deliberadamente enganosa, refletindo a realidade operacional do cartel.

Referência NIS2 (Art. 21.º alínea b): O DL 125/2025 exige "tratamento de incidentes" como medida obrigatória, incluindo a capacidade de deteção, análise e resposta. A complexidade crescente dos ataques reforça a necessidade de planos robustos e regularmente testados.