Apesar das operações policiais, o nível de atividade mantém-se historicamente elevado. As ações das autoridades enfraquecem grandes redes, mas os atacantes adaptam-se rapidamente, dispersando-se por múltiplos grupos menores, mais ágeis e menos preocupados com a reputação. Apenas 56% das vítimas foram atribuídas aos 10 principais grupos, face a 71% no início do ano, confirmando a descentralização do modelo Ransomware-as-a-Service (RaaS).

Destaques do Trimestre:

• Qilin consolida-se como o grupo mais ativo de 2025, duplicando a sua atividade (média de 75 vítimas/mês) e sendo responsável por uma série de ataques ao setor financeiro sul-coreano. O seu modelo RaaS oferece até 85% dos lucros aos afiliados.
• Regresso do LockBit: Após ser dado como desmantelado, o grupo regressou em setembro de 2025 com o LockBit 5.0, uma versão multiplataforma (Windows, Linux, ESXi) e mecanismos avançados. Este regresso sugere uma possível recentralização do mercado em torno de marcas estabelecidas.
• DragonForce destaca-se pelo seu marketing agressivo e inovações como "auditoria de dados roubados", triplicando as vítimas no trimestre.

Distribuição:

• Geográfica: Os Estados Unidos continuam a ser o principal alvo (metade dos ataques globais), seguidos por Alemanha, Reino Unido, Canadá e, pela primeira vez no Top 10, Coreia do Sul.
• Setorial: Indústria transformadora e serviços empresariais foram os mais afetados (10% cada), com o setor financeiro em forte crescimento.

O relatório conclui que o ransomware de 2025 é mais fragmentado, resiliente e competitivo do que nunca, comportando-se como uma "economia paralela". A CPR recomenda que as organizações reforcem defesas, mantenham backups imutáveis, invistam em formação e monitorizem ativamente as infraestruturas RaaS, sugerindo que apenas uma abordagem preventiva baseada em IA conseguirá acompanhar o ritmo das ameaças.