As táticas de ransomware mudaram radicalmente em 2026. Em vez de depender apenas de e-mails maliciosos ou arquivos infectados, grupos criminosos passaram a explorar vulnerabilidades críticas de infraestrutura, abusar de ferramentas legítimas de administração remota e até usar drivers vulneráveis para desativar soluções de segurança no nível do kernel.
O cenário atual mostra uma clara industrialização do crime digital. Operações de Ransomware como Serviço (RaaS) oferecem suporte técnico, afiliados, painéis de controle e campanhas coordenadas contra empresas de todos os portes. Entre os nomes que mais chamaram atenção nos relatórios recentes estão Anubis, The Gentlemen e a aliança VECT/TeamPCP.
Neste artigo, vamos analisar como esses grupos operam, por que a falha Citrix Bleed 2 (CVE-2025-5777) se tornou um alvo prioritário e como técnicas como BYOVD (Bring Your Own Vulnerable Driver) representam um dos maiores desafios para administradores de sistemas e equipes de segurança.
Anubis e a vulnerabilidade Citrix Bleed 2
O grupo Anubis ganhou notoriedade ao explorar a falha CVE-2025-5777, apelidada de Citrix Bleed 2. A vulnerabilidade afeta dispositivos NetScaler ADC e NetScaler Gateway e recebeu pontuação CVSS 9,3, indicando risco crítico.
O problema permite o roubo de sessões e credenciais, abrindo caminho para invasões sem a necessidade de autenticação tradicional. Em ambientes corporativos, isso significa que um gateway VPN desatualizado pode se tornar a porta de entrada para todo o domínio.
Após o acesso inicial, o Anubis evita ferramentas claramente maliciosas e passa a usar softwares legítimos de RMM (Remote Monitoring and Management), como:
- ScreenConnect
- Zoho Assist
- MeshAgent
Essas ferramentas permitem movimentação lateral via RDP e PsExec com muito menos chance de gerar alertas, já que muitas empresas utilizam esses aplicativos no dia a dia.

A armadilha do WIPEMODE
O aspecto mais preocupante do Anubis é o módulo WIPEMODE. Diferentemente de um ransomware tradicional, que criptografa os arquivos para posterior recuperação mediante pagamento, o WIPEMODE destrói os dados permanentemente.
Os arquivos são sobrescritos e reduzidos a 0 KB, tornando a recuperação praticamente impossível. Em outras palavras, a vítima pode pagar o resgate e ainda assim perder tudo.
Essa estratégia desmonta a narrativa de que “pagar resolve o problema” e reforça a importância de backups imutáveis e offline.
The Gentlemen e as novas táticas de ransomware com BYOVD
Outro grupo em destaque é o The Gentlemen, que apostou fortemente na técnica BYOVD (Bring Your Own Vulnerable Driver).
O conceito é simples e extremamente perigoso: o invasor instala um driver legítimo, porém vulnerável, para obter privilégios elevados no kernel do Windows. Como o driver possui assinatura válida, ele pode contornar diversas proteções modernas.
Com acesso ao kernel, os criminosos conseguem:
- Desabilitar antivírus
- Encerrar agentes EDR
- Manipular processos protegidos
- Ocultar atividades maliciosas
O caso do driver ktapi.sys
O relatório aponta o uso do driver ktapi.sys, associado a um componente de terceiros da Kontron. O grupo explorou uma vulnerabilidade de dia zero para derrubar soluções como:
- Microsoft Defender
- ESET
- SentinelOne
O ataque ocorre antes da criptografia, garantindo que as ferramentas de proteção estejam inoperantes quando o ransomware for executado.
Backdoor em Go e proxy SOCKS
Além do BYOVD, o The Gentlemen utiliza um backdoor desenvolvido em Go com comunicação bidirecional via proxy SOCKS.
Isso permite que os operadores mantenham persistência, encaminhem tráfego interno e controlem máquinas comprometidas de forma mais discreta.
A industrialização do crime: VECT e TeamPCP
As táticas de ransomware também evoluíram para atingir a cadeia de suprimentos de software. A parceria entre VECT e TeamPCP demonstra como grupos criminosos estão tentando distribuir malware em larga escala.
Os relatórios citam tentativas de comprometimento envolvendo ferramentas populares do ecossistema de desenvolvimento e containers, como Trivy e LiteLLM.
O objetivo é simples: em vez de invadir uma empresa por vez, comprometer um componente amplamente utilizado e atingir centenas de organizações simultaneamente.
Erros de código que destroem dados
Curiosamente, nem todos os grupos demonstram competência técnica. O ransomware associado à VECT apresentou um bug grave que corrompia arquivos maiores que 128 KB.
Na prática, os próprios criminosos destruíam dados que pretendiam usar como moeda de troca. O problema gerou atritos com a TeamPCP e expôs disputas internas típicas do mercado clandestino de RaaS.
Isso revela um ponto importante: mesmo quando há intenção de restaurar os arquivos após o pagamento, falhas de engenharia podem tornar a recuperação impossível.
Como se proteger contra o ransomware moderno
Diante desse cenário, a defesa precisa ir além do antivírus tradicional. Relatórios da Arctic Wolf, Kaspersky e Sophos convergem em algumas recomendações essenciais.
Medidas prioritárias para administradores:
- Aplicar patches imediatamente: Atualize dispositivos VPN, Gateway e NetScaler, especialmente contra a CVE-2025-5777.
- Auditar ferramentas RMM: Mapeie o uso de ScreenConnect, Zoho Assist, MeshAgent e outras soluções de acesso remoto.
- Implementar listas de bloqueio de drivers vulneráveis: Ative políticas de Microsoft Vulnerable Driver Blocklist e mantenha-as atualizadas.
- Usar backups imutáveis: Mantenha cópias offline e testadas regularmente.
- Monitorar comportamento anômalo: Crie alertas para PsExec, criação de serviços remotos e instalação de drivers.
- Segmentar a rede: Limite a movimentação lateral entre servidores, estações e ambientes críticos.
Conclusão e visão geral
O panorama de 2026 mostra que as táticas de ransomware estão cada vez mais sofisticadas e perigosas. Grupos como Anubis, The Gentlemen e VECT/TeamPCP combinam exploração de vulnerabilidades críticas, abuso de ferramentas legítimas e ataques no nível do kernel para maximizar o impacto.
Ao mesmo tempo, os próprios relatórios revelam uma verdade desconfortável: pagar o resgate não garante recuperação. Seja pelo uso deliberado de módulos destrutivos como o WIPEMODE ou por falhas de programação nos criptografadores, os dados podem ser perdidos permanentemente.
Para administradores e equipes de segurança, a prioridade deve ser reduzir a superfície de ataque, acelerar a aplicação de patches, controlar ferramentas RMM e bloquear drivers vulneráveis. A era do ransomware oportunista está dando lugar a operações altamente profissionais, e a preparação preventiva nunca foi tão importante.