WatchGuard identifica nova tática do ransomware DeadLock para ampliar pressão sobre vítimas

Evolução da estratégia de dupla extorsão

O grupo DeadLock está ativo desde meados de 2025. Os primeiros registros públicos surgiram em julho daquele ano e, já em setembro, pesquisadores identificaram sinais de que a quadrilha havia adotado a dupla extorsão, modelo no qual os criminosos não apenas criptografam os arquivos das vítimas, mas também roubam informações sensíveis para ameaçar sua divulgação.

Até recentemente, porém, havia poucas evidências sobre como essa estratégia estava sendo operacionalizada. A nova análise da WatchGuard, realizada em uma amostra compilada no início de junho de 2026, esclarece essa questão ao revelar que os operadores do DeadLock passaram a embutir o próprio portal de vazamento de dados dentro da nota de resgate.

Nova interface reforça pressão psicológica sobre as vítimas

A investigação confirma diversos comportamentos já documentados anteriormente por pesquisadores da Cisco Talos, Group-IB e ThreatScene, incluindo o uso de contratos inteligentes na blockchain Polygon para armazenar endereços proxy e a adoção de um algoritmo proprietário de criptografia de arquivos. No entanto, a principal novidade está na evolução da interface utilizada para interagir com as vítimas.

As primeiras versões da nota de resgate mencionavam apenas a criptografia dos dados. Posteriormente, passaram a informar que informações também haviam sido exfiltradas. Em uma terceira evolução, os criminosos passaram a prometer relatórios de segurança detalhando como o ataque ocorreu, uma prática cada vez mais comum entre grupos de ransomware para conferir maior credibilidade às ameaças.

Na versão mais recente analisada pela WatchGuard, a nota de resgate em HTML apresenta três seções integradas:

• “About”, com informações gerais sobre o incidente e as exigências dos criminosos;
• “Chat”, que oferece um canal de comunicação autenticado entre os operadores e a vítima;
• “Blog”, que reproduz integralmente o portal de vazamento de dados utilizado pelo grupo.

Segundo os pesquisadores, a funcionalidade permite que as vítimas visualizem imediatamente as publicações realizadas pelo grupo sem precisar acessar um site externo, aumentando a eficácia da pressão psicológica exercida durante a negociação.

“A evolução observada no DeadLock mostra como os grupos de ransomware estão refinando continuamente suas estratégias para aumentar a pressão sobre as vítimas e acelerar as negociações. Ao incorporar o portal de vazamento de dados diretamente na nota de resgate, os criminosos eliminam barreiras de acesso às informações roubadas e tornam a ameaça mais imediata e visível. Essa abordagem reforça a importância de as organizações adotarem uma postura proativa de segurança, com monitoramento contínuo, proteção em camadas, gestão de vulnerabilidades e planos de resposta a incidentes bem definidos para reduzir os riscos associados a ataques de dupla extorsão.“, diz Renato Marchi, Sales Engineer Manager LATAM da WatchGuard.

Europa concentra maior parte das vítimas divulgadas

A análise também identificou que o portal de vazamento do DeadLock contém atualmente 23 páginas de publicações. A maioria das vítimas divulgadas está localizada na Europa, com destaque para Espanha, Itália, Polônia e Turquia. Os setores mais afetados são engenharia e manufatura, embora haja registros de organizações de diversos segmentos.

Entre as supostas vítimas listadas pelo grupo estão um grande conglomerado de Angola, uma instituição financeira do Gabão, uma agência governamental de Papua-Nova Guiné, um grande fabricante de eletrônicos de Taiwan e uma empresa farmacêutica veterinária com atuação internacional.

Outro aspecto relevante observado pela WatchGuard é que o grupo hospeda seu portal de vazamento na internet convencional (clearnet), dispensando o uso da dark web. A versão atual da nota de resgate em formato TXT inclui um link direto para esse portal público.

Apesar dos avanços na compreensão do funcionamento do ransomware, ainda existem poucas informações sobre os vetores de invasão utilizados pelo DeadLock. Pesquisas anteriores da Cisco Talos indicam o uso de técnicas BYOVD (Bring Your Own Vulnerable Driver) para desabilitar mecanismos de proteção, enquanto a ThreatScene identificou ferramentas empregadas para movimentação lateral dentro das redes comprometidas. No entanto, os métodos de acesso inicial permanecem desconhecidos.

Crescente sofisticação exige estratégias de defesa em múltiplas camadas

Para a WatchGuard, a evolução observada demonstra como grupos de ransomware continuam aprimorando suas operações para maximizar o impacto dos ataques e aumentar as chances de pagamento dos resgates. 

A incorporação do portal de vazamento diretamente na nota de resgate representa mais um exemplo da sofisticação crescente das campanhas de dupla extorsão e da necessidade de estratégias de defesa em múltiplas camadas para proteger organizações contra ameaças avançadas.

Para mais informações sobre a análise técnica da descoberta, acesse o blog da WatchGuard. 

Sobre a WatchGuard Technologies, Inc.

A WatchGuard® Technologies, Inc. é líder global em cibersegurança unificada. Nossa abordagem Unified Security Platform® é projetada de maneira única para provedores de serviços gerenciados oferecerem segurança de classe mundial que aumenta a escala e a velocidade de seus negócios, ao mesmo tempo em que melhora a eficiência operacional. Confiados por mais de 17.000 revendedores de segurança e provedores de serviços para proteger mais de 250.000 clientes, os produtos e serviços premiados da empresa abrangem segurança e inteligência de rede, proteção avançada de endpoint, autenticação multifatorial e Wi-Fi seguro. Juntos, eles oferecem cinco elementos críticos de uma plataforma de segurança: segurança abrangente, conhecimento compartilhado, clareza e controle, alinhamento operacional e automação. A empresa tem sede em Seattle, Washington, com escritórios em toda a América do Norte, Europa, Ásia-Pacífico e América Latina. Para saber mais, visite https://www.watchguard.com/.