A mais recente edição do Ransomware Roundup, publicada pela Fortinet através da sua unidade FortiGuard Labs, diz-nos que o ecossistema de ransomware está longe de abrandar. Pelo contrário, está a fragmentar-se, sofisticar-se e a demonstrar uma resiliência preocupante. A estrela do relatório de março de 2025 é o VanHelsing — uma variante emergente que personifica a nova geração de ataques de extorsão digital, marcados pela exposição pública e pela falta de discrição na escolha de alvos.

Ao longo dos últimos anos, o ransomware evoluiu de ferramentas rudimentares de encriptação para armas digitais altamente orquestradas, que exploram falhas humanas e técnicas em igual medida. O VanHelsing não foge à regra. Detetado pela primeira vez em meados de março em plataformas de verificação de ficheiros, o malware segue um modelo duplo de extorsão — bloqueio de dados e ameaça pública de divulgação — operando através de um site na rede TOR, onde expõe as informações sensíveis das vítimas.

O relatório da Fortinet identifica sete vítimas conhecidas até abril, espalhadas por quatro geografias distintas. Metade dos ataques conhecidos ocorreu nos Estados Unidos, com os restantes distribuídos entre Itália, França e Austrália. Esta dispersão revela uma característica crítica dos operadores de VanHelsing: não há uma preferência clara por localizações, nem barreiras éticas na definição de alvos.

A evidência mais preocupante é a presença de uma organização governamental municipal norte-americana entre as vítimas — sinal claro de que o grupo por trás do ransomware não hesita em atingir infraestruturas críticas ou entidades públicas. A indústria transformadora surge como o setor mais impactado, com dois casos confirmados, espelhando uma tendência mais ampla: o regresso dos operadores de ransomware a setores com operações complexas, sistemas legados e margens reduzidas para interrupções operacionais.

Um ponto particularmente relevante nas conclusões do FortiGuard Labs é a indicação de que o número real de vítimas pode ser superior ao detetado. As empresas que optaram por pagar o resgate poderão ter sido removidas do site de data leak do grupo, ocultando a verdadeira extensão do impacto. Este comportamento sublinha um dilema crescente enfrentado por organizações atacadas: ceder à extorsão em troca de visibilidade mínima ou enfrentar repercussões públicas e legais.

O que distingue o VanHelsing não é apenas o seu modus operandi técnico — ainda que eficaz — mas a forma como se posiciona num mercado de ameaças cada vez mais fragmentado, onde grupos com capacidades intermédias podem alugar toolkits sofisticados, explorar redes de afiliação e agir com impunidade relativa. A acessibilidade das ferramentas, a infraestrutura TOR e os canais de pagamento em criptoativos continuam a alimentar esta economia paralela da extorsão digital.

[Ouça aqui o PODCAST “Seguros Nunca Estamos”]

Face a estas ameaças, a resposta das organizações não pode ser apenas reativa. A Fortinet destaca a importância de soluções integradas de cibersegurança com capacidades de deteção de comportamento, sandboxing, segmentação de rede e resposta automatizada. A aposta em inteligência de ameaças baseada em OSINT, combinada com sistemas de proteção com IA e machine learning, é hoje um requisito, não uma vantagem competitiva.

Importa ter também atenção, para o controlo de acessos, a proteção de endpoints, a atualização sistemática de infraestruturas e a formação contínua de colaboradores são camadas essenciais para mitigar o impacto de variantes como o VanHelsing — que não são apenas mais numerosas, mas também mais astutas na exploração de falhas humanas e arquitetónicas.

O VanHelsing não representa apenas uma nova ameaça. É um espelho de um cenário mais vasto em que a sofisticação dos cibercriminosos cresce mais depressa do que a maturidade cibernética de muitas organizações. Estamos assim perante um risco é real, com um impacto é transversal e a resposta tem de ser estrutural e contínua. Para as empresas, o tempo para preparar a defesa é antes do ataque. E esse tempo é agora.