Números de fevereiro de 2026

680Vítimas em Fev 2026 (total mercado)
54Grupos de ransomware ativos
367+Vítimas Qilin YTD Abr 2026
#1Ranking global Qilin, Fev 2026

Ascensão do Qilin: cronologia

O Qilin surgiu em meados de 2022 como operação RaaS (Ransomware-as-a-Service) em Go/Rust, com um modelo de partilha de receita com afiliados. A sua ascensão ao topo do mercado acelerou após vários eventos:

  • Junho 2024: Ataque ao Synnovis (fornecedor de análises clínicas do NHS britânico), com roubo de 400GB de dados de pacientes e interrupção de transfusões sanguíneas em vários hospitais de Londres.
  • Novembro 2025: Formação do cartel com LockBit 5.0 e DragonForce, partilhando infraestrutura, listas de afiliados e TTPs. O cartel adota uma abordagem de "marketplace" onde diferentes grupos podem usar a infraestrutura partilhada.
  • Janeiro–Fevereiro 2026: Escalada de operações para liderar o ranking global de vítimas reivindicadas.

Modelo operacional: double extortion RaaS

O Qilin opera um modelo de dupla extorsão sofisticado:

  1. Acesso inicial: Via credentials comprometidas (phishing, credential stuffing) ou exploração de VPNs vulneráveis.
  2. Persistência e reconhecimento: Permanência média de 14 dias antes de encriptação, período usado para exfiltração de dados sensíveis.
  3. Exfiltração: Upload de dados para infraestrutura controlada pelo grupo, especialmente documentos de RH, dados financeiros e propriedade intelectual.
  4. Encriptação: Ransomware em Go/Rust com capacidade de encriptação de ambientes VMware ESXi e NAS.
  5. Extorsão dupla: Pressão simultânea para pagamento do resgate (para decifrar) e não publicação dos dados exfiltrados no leak site.

Setores mais afetados

Com base na análise do leak site do Qilin e relatórios de investigadores de threat intelligence:

  • Saúde (25%): Hospitais, laboratórios, prestadores de serviços médicos, alvo preferencial pela criticidade e pressão para pagamento.
  • Retalho e e-commerce (18%): Dados de clientes com valor elevado para extorsão secundária.
  • Manufactura (16%): Propriedade intelectual e continuidade de produção como alavancas de extorsão.
  • Serviços profissionais (14%): Escritórios de advogados, consultoras, dados confidenciais de clientes.
  • Setor público (12%): Municípios e organismos governamentais com recursos limitados de resposta.

Implicações para exercícios de tabletop: As entidades NIS2 que realizem exercícios de teste de planos de resposta a incidentes (obrigatórios pelo Art. 21.º) devem usar cenários baseados no Qilin, especificamente o duplo vetor de encriptação + exfiltração pré-encriptação, que invalida estratégias de resposta baseadas apenas em recuperação de backups.

Controlos prioritários contra ransomware avançado

  1. MFA phishing-resistant em todos os acessos remotos e portais de email, elimina o principal vetor de acesso inicial.
  2. Backups imutáveis 3-2-1-1-0: 3 cópias, 2 meios, 1 off-site, 1 air-gapped, 0 erros testados, a única defesa contra encriptação completa.
  3. EDR/XDR em todos os endpoints e servidores: Deteção comportamental é essencial para identificar o período de reconhecimento (14 dias) antes da encriptação.
  4. Hunting proativo de TTPs Qilin: Procurar indicadores de Cobalt Strike, uso anómalo de ferramentas de administração remota (RMM), comunicações C2 por HTTPS/DNS.
  5. Segmentação de rede: Limitar o raio de impacto da encriptação lateralizando o acesso entre segmentos críticos.

RTO/RPO agressivos: Face ao modelo de dupla extorsão, a estratégia de resposta não pode ser apenas "restaurar backups". É necessário assumir que dados foram exfiltrados e ativar planos de gestão de violação de dados (notificação CNCS, CNPD) em paralelo com a recuperação operacional.