Ataques de ransomware contra organizações europeias subiram 55,1% nos primeiros quatro meses de 2026, com uma média de 171 incidentes mensais e cadeias de suprimentos como principal vetor de entrada. Levantamento da Black Kite sobre 2.066 incidentes em 31 países revela que quase 70% dos ataques se concentraram em cinco países — Alemanha, Reino Unido, França, Itália e Espanha — e que o grupo Qilin foi o mais ativo, atingindo 26 nações.
Dados do relatório Black Kite
A convergência entre aceleração do ransomware, dependência de fornecedores e regulações como NIS2 e DORA coloca as organizações europeias sob pressão sem precedentes para demonstrar controle sobre riscos que começam fora do próprio perímetro.
Principais grupos e estratégias
O grupo Qilin liderou como ransomware mais ativo, com presença em 26 dos 31 países analisados — um “generalista” sem concentração geográfica. Operando como Ransomware-as-a-Service (RaaS), Qilin se distingue pela capacidade de adaptar táticas a diferentes setores e regiões, o que torna sua detecção e defesa mais complexa para organizações com presença multinacional.
Já o SafePay, terceiro mais ativo, direcionou mais da metade de seus ataques à Alemanha, demonstrando uma estratégia de nicho geográfico. O Qilin e o SafePay representam dois extremos do mesmo ecossistema: o generalista que maximiza alcance e o especialista que concentra força em mercados específicos.
| Grupo | Estratégia | Alvos principais |
|---|---|---|
| Qilin | Generalista global | 26 de 31 países europeus |
| SafePay | Nicho geográfico | Foco na Alemanha |
Supply chain como porta de entrada
Os dados da Black Kite corroboram uma tendência que se tornou dominante em 2026: o comprometimento de fornecedores como método inicial para acessar organizações de maior porte. Em vez de atacar a vítima final diretamente, os grupos invadem prestadores de serviços com segurança mais fraca e usam essa posição para se mover lateralmente até o alvo pretendido. A técnica permite escalar um único breach em dezenas de vítimas downstream.
A vulnerabilidade do ecossistema de fornecedores é agravada pela lentidão na notificação. O relatório de terceiros de 2026 da Black Kite registrou uma espera média de 117 dias entre a ocorrência de um breach de fornecedor e a notificação ao parceiro afetado. Esse gap temporal dá aos atacantes uma janela ampla para explorar a posição conquistada e realizar movimentação lateral sem detecção.
O relatório destaca que os incidentes mais significativos da Europa em 2026 não foram definidos pela vítima inicial, mas pela escala do impacto downstream — um padrão que reflete a natureza interconectada dos ecossistemas corporativos modernos. Um único fornecedor comprometido pode gerar efeito cascata em múltiplos setores simultaneamente.
Regulações e resiliência
Os marcos regulatórios NIS2 (Network and Information Security Directive 2) e DORA (Digital Operational Resilience Act) estão redefinindo as expectativas sobre gestão de risco cibernético em cadeias de suprimentos na Europa. Organizações passaram a ter obrigações legais de avaliar e supervisionar riscos em seu ecossistema de fornecedores — não apenas os de nível 1, mas também fornecedores indiretos (N-tier). A fiscalização desses marcos está em fase de amadurecimento, e as multas por não conformidade podem atingir milhões de euros.
- NIS2: Exige que organizações em setores críticos implementem medidas de segurança em toda a cadeia, com notificação em até 24 horas para incidentes significativos.
- DORA: Focada no setor financeiro, estabelece requisitos rigorosos de resiliência digital operacional para terceiros que prestam serviços a instituições financeiras.
Como fortalecer a cadeia
- Mapeie o ecossistema de fornecedores até o terceiro nível (N3) — risco invisível é risco não gerenciado.
- Exija controles mínimos de segurança em contratos: MFA, criptografia, planos de resposta a incidentes.
- Implemente monitoramento contínuo de superfície de ataque de fornecedores (certificados, exposição, histórico de breaches).
- Reduza privilégios de acesso de terceiros ao mínimo necessário e revise permissões trimestralmente.
- Estabeleça SLAs de notificação de incidentes com fornecedores — 24 horas para criticidade alta, 72 horas para demais.