A recente decisão contra um jovem cidadão russo marca outra página na longa luta entre a justiça e as redes que alimentam o ransomware. Aleksei Olegovich Volkov foi sentenciado nos Estados Unidos a 81 meses de prisão depois de admitir sua participação como fornecedor de acessos iniciais — o que é conhecido como gíria initial access correto — para grupos criminosos que, em seguida, desencadeiam ransomware contra empresas e organizações norte-americanas.
De acordo com o Ministério Público, Volkov não era o autor direto das encriptação, mas quem abria portas: encontrava e explorava falhas ou vias de entrada em redes de empresas e vendia esse acesso a bandas como Yanluowang. Esses acessos eram a matéria-prima que depois grupos extorsionadores convertevam em ataques que cifravam dados, paralisavam operações e exigiam resgates em criptomoeda. A ação em que Volkov participou produziu mais de 9 milhões de dólares em perdas reais e mais de 24 milhões em danos previstos, segundo o Departamento de Justiça (DoJ).
Volkov foi preso na Itália em 18 de janeiro de 2024 e posteriormente extraditado para os Estados Unidos. Depois de se declarar culpado em novembro de 2025, aceitou, além da pena de prisão, responsabilidades econômicas: deveria restituir às vítimas pelo menos 9.167.198 dólares pelas perdas comprovadas e entregar as ferramentas empregadas nos crimes. Na sua acusação incluem-se acusações que vão desde o tráfico de informações de acesso e fraude informática até o roubo agravado de identidade e conspiração para o branqueamento de dinheiro.
O caso de Volkov ilustra como o mercado criminoso digital foi especializado. As operações de ransomware modernas costumam funcionar como cadeias de fornecimento: atuam encontrando e vendendo acessos; outros adaptam malware ou administram extorsão e negociação; outros se encarregam de cobrar e branquear os fundos. Cada pagamento de resgate, segundo as autoridades, terminava relatando uma porção de dinheiro para Volkov e seus co-conspiradores, e muitas vezes as somas exigidas alcançavam números multimilionários.
Paralelamente, os promotores norte-americanos têm aberto e levado adiante outras investigações relacionadas a atores que operam em papéis distintos, mas complementares dentro do ecossistema da extorsão digital. Nos últimos meses foi imputado a um indivíduo mais por agir como negociador de resgates para o grupo BlackCat (também conhecido como ALPHV). Nesse caso, as autoridades confiscaram aproximadamente 9.2 milhões de dólares em várias criptomoedas e bens de alto valor, e perseguem responsabilidades penais que poderiam acarretar até décadas de prisão; o processo está disponível em registros judiciais públicos como CourtListener.
A indústria de resposta a incidentes e as empresas que oferecem serviços de negociação também foram salpicadas. Na cobertura do caso BlackCat, a empresa DigitalMint negou qualquer apoio a essas práticas e explicou que despediu funcionários envolvidos, destacando que sua política e ética profissionais proíbem a colaboração criminosa com bandas de ransomware. The Record documenta estas declarações e os detalhes das pesquisas aqui.
Que ensino deixa tudo isto para empresas e administrações? Primeiro, que a prevenção de invasões precoces é chave: bloqueios de acesso remoto mal configurados, adesivos sem aplicar e credenciais comprometidas são a porta de entrada que buscam esses intermediários. Segundo, que uma vez ocorrida a intrusão a cadeia criminal pode escalar rapidamente a magnitude do dano. E terceiro, que a cooperação internacional e a pressão legal sobre atores em todos os eslabões — desde os que vendem acessos até aqueles que negociam os resgates — estão começando a dar frutos com apreensão e condenação.
Se a sua organização quiser aprofundar medidas concretas de proteção e resposta, existem guias práticas e recursos oficiais que ajudam a reduzir a superfície de ataque e a preparar a reação perante um incidente. A campanha Stop Ransomware CISA e materiais da Procuradoria e agências de cibersegurança oferecem checklist, planos de resposta e recomendações para cópias de segurança, segmentação de redes e gestão de acessos privilegiados.
A batalha contra o ransomware é tanto técnica como legal e econômica. Os casos como o de Volkov evidenciam que não apenas os operadores de malware são perseguiveis: aqueles que facilitam, negociam e branqueam resultados ilícitos também terminam no mira da justiça. Castigar aos intermediários reduz a oferta criminosa e aumenta o custo de operar para essas redes, mas ao mesmo tempo exige esforços sustentados de vigilância, cooperação internacional e melhorias contínuas em segurança por parte de organizações públicas e privadas.
Enquanto as autoridades continuam a desarticular peças destas estruturas e a recuperar ativos, a lição para responsáveis por TI e diretores é clara: a resiliência contra o ransomware depende tanto de boas práticas técnicas como da preparação para o inesperado. Os processos de detecção precoce, resposta coordenada e transparência com as autoridades são hoje ferramentas tão importantes como qualquer firewall ou sistema de cópia de segurança.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...