Três dos maiores nomes do cibercrime mundial, LockBit, Qilin e DragonForce, anunciaram uma aliança estratégica que pode redefinir completamente o equilíbrio de poder no ecossistema de ransomware. Essa nova aliança de ransomware surge como um verdadeiro “supergrupo” digital, combinando recursos, infraestrutura e expertise técnica de alguns dos grupos mais temidos do planeta.
Neste artigo, analisamos em profundidade essa união: quem são esses atores, por que decidiram se unir agora e o que essa consolidação de forças significa para empresas, governos e profissionais de segurança cibernética.
A formação dessa coalizão representa uma resposta direta à crescente pressão policial internacional e à necessidade de adaptação frente à repressão de grandes operações, como a Operação Cronos, que quase desmantelou o LockBit em 2024. O movimento também reflete a profissionalização crescente do cibercrime, que se organiza cada vez mais como um ecossistema corporativo — com hierarquias, modelos de negócio e parcerias estratégicas.
Um novo eixo do mal no ciberespaço
O anúncio da aliança de ransomware entre LockBit, Qilin e DragonForce foi interpretado por analistas da ReliaQuest como um marco decisivo na evolução das ameaças cibernéticas globais. A união visa compartilhar infraestrutura de comando e controle (C2), técnicas de evasão de detecção, e até afiliados especializados em engenharia social e exfiltração de dados.
A lógica é simples: juntos, esses grupos ampliam seu alcance e resiliência, tornando mais difícil para as autoridades rastreá-los e desmantelar suas operações. Essa cooperação entre organizações antes concorrentes representa uma transição de um modelo de competição isolada para um modelo de cartel cibernético.
Segundo especialistas, essa aliança aumenta a capacidade de execução de ataques mais coordenados e sofisticados, especialmente contra infraestruturas críticas e setores financeiros. Além disso, ela pode servir como um sinal para outros grupos menores, estimulando novas colaborações e fusões criminosas no submundo digital.
Os titãs da aliança: quem é quem neste trio?
LockBit: a Fênix do ransomware tentando renascer
Após o duro golpe sofrido na Operação Cronos em 2024, que levou à apreensão de servidores, chaves de criptografia e domínios da organização, o LockBit parecia ter perdido sua hegemonia. No entanto, como uma verdadeira Fênix do cibercrime, o grupo tenta renascer das cinzas com o lançamento do LockBit 5.0, prometendo uma infraestrutura mais descentralizada e segura.
A adesão à aliança é vista como uma tentativa de restaurar sua reputação e reconquistar afiliados perdidos. O LockBit aposta que, ao unir forças com parceiros poderosos como Qilin e DragonForce, poderá recuperar o prestígio de outrora e consolidar-se novamente como um dos líderes do Ransomware-as-a-Service (RaaS).
Qilin: o líder implacável do momento
Entre os três grupos, o Qilin é atualmente o mais ativo e dominante. Nos últimos meses, ele se destacou por um número crescente de ataques bem-sucedidos, afetando desde hospitais até empresas de tecnologia e indústrias pesadas.
Sua estrutura operacional altamente profissionalizada, com suporte técnico e dashboards dedicados aos afiliados, transformou o Qilin em um dos principais provedores de RaaS do mundo. Essa capacidade faz dele o pilar central da aliança — e possivelmente o grupo com maior poder de influência dentro dessa nova coalizão.
Com o Qilin no comando, a expectativa é que a aliança opere com métodos de ataque mais rápidos, automatizados e direcionados, tornando-se ainda mais perigosa para as defesas corporativas.
DragonForce: o parceiro estratégico na consolidação
O terceiro membro da coalizão, o DragonForce, pode não ter a mesma fama de LockBit ou Qilin, mas seu papel é estratégico. Conhecido por sua origem em comunidades hacktivistas e por ataques motivados por causas políticas, o grupo agora parece adotar uma postura mais pragmática e lucrativa.
Ao integrar-se à aliança, o DragonForce oferece capacidade de mobilização e propaganda, expandindo o alcance do cartel cibernético e ajudando a mascarar suas verdadeiras intenções sob pretextos ideológicos. Sua inclusão completa o trio e transforma a coalizão em uma força multifacetada — combinando experiência técnica, infraestrutura robusta e influência digital.
O ecossistema de ransomware em ebulição
A ascensão de novos modelos de RaaS como o ShinySp1d3r
A aliança entre LockBit, Qilin e DragonForce não é um evento isolado, mas parte de uma tendência mais ampla de consolidação e inovação no submundo do ransomware. Um exemplo disso é o surgimento do ShinySp1d3r, uma nova plataforma de Ransomware-as-a-Service criada pelo grupo Scattered Spider — o primeiro modelo desse tipo operado por uma equipe que fala inglês.
Essas novas iniciativas indicam uma diversificação do mercado de cibercrime, com diferentes idiomas, culturas e especializações entrando no jogo. O resultado é um cenário em que novas alianças e franquias criminosas podem surgir a qualquer momento, aumentando a complexidade das defesas necessárias.
A expansão geográfica: além dos alvos tradicionais
Outra tendência que se intensifica é a expansão geográfica dos ataques. Os grupos de ransomware, antes focados principalmente em Estados Unidos, Canadá e Europa, agora miram países emergentes, como Egito, Tailândia e Colômbia.
Essa mudança de estratégia tem dois objetivos: evitar o escrutínio de forças policiais internacionais e explorar regiões com defesas cibernéticas menos maduras. Além disso, o aumento do uso de criptomoedas regionais e mixers descentralizados facilita o fluxo financeiro das operações, tornando ainda mais difícil rastrear os lucros ilícitos.
A aliança LockBit-Qilin-DragonForce pode aproveitar exatamente essas brechas para expandir seu império digital, buscando alvos estratégicos em mercados menos protegidos.
Conclusão: o que esperar desta aliança e como se proteger
A formação da aliança de ransomware entre LockBit, Qilin e DragonForce representa uma nova era de ameaças digitais. A consolidação de grupos experientes e bem estruturados em um mesmo eixo de cooperação aumenta exponencialmente o risco de ataques coordenados, com campanhas mais sofisticadas e impacto global.
Na prática, isso significa que infraestruturas críticas, empresas privadas e até organizações do setor público podem enfrentar ondas de ataques com táticas híbridas, mesclando criptografia de dados, roubo de informações e extorsão dupla.
Para as empresas, a mensagem é clara: esta não é uma ameaça distante. O cenário global de cibersegurança está se tornando mais hostil, e a prevenção é a única resposta eficaz.
Reforce políticas de backup, implemente autenticação multifator, mantenha sistemas atualizados e invista em treinamento contínuo de conscientização de segurança. A guerra digital está em curso — e a aliança entre LockBit, Qilin e DragonForce é apenas o início de um novo capítulo nesse campo de batalha invisível.
