Um novo relatório da Sophos indica que o setor industrial vem conseguindo conter ataques de ransomware com mais eficiência antes da criptografia dos dados, mas enfrenta uma escalada preocupante no roubo de informações e nas tentativas de extorsão. De acordo com o estudo Sophos State of Ransomware in Manufacturing and Production 2025, apenas 40% dos ataques contra a indústria resultaram em criptografia, o menor índice registrado nos últimos cinco anos, reflexo direto de mecanismos de detecção e resposta mais maduros.
CONTEÚDO RELACIONADO – Sophos cresce 26% na América Latina após aquição e aumento da capacidade regional
O levantamento, baseado em entrevistas com 332 organizações industriais afetadas por ransomware no último ano, mostra que os criminosos ajustaram suas estratégias diante do avanço das defesas. Em vez de depender exclusivamente da criptografia, os ataques passaram a explorar com mais intensidade o roubo de dados e a ameaça de vazamento como forma de pressão. Os chamados ataques de “somente extorsão” chegaram a 10% dos casos, ante 3% no ano anterior.
Mesmo quando a criptografia ocorre, o impacto segue elevado. Em 39% dos incidentes no setor industrial, além do bloqueio dos sistemas, houve exfiltração de dados, uma das taxas mais altas entre todos os segmentos analisados. Ainda assim, metade das empresas conseguiu interromper o ataque antes da criptografia, mais que o dobro do índice registrado em 2024, evidenciando ganhos em capacidade de resposta.
Apesar desses avanços, os pagamentos de resgate continuam frequentes. Mais da metade das organizações industriais que tiveram dados criptografados optaram por pagar aos atacantes, com um valor médio de US$ 1 milhão, próximo da quantia inicialmente exigida. Os custos de recuperação, excluindo o pagamento do resgate, também permanecem relevantes, embora tenham caído 24% em relação ao ano anterior, alcançando uma média de US$ 1,3 milhão. Em contrapartida, o tempo de retomada melhorou: 58% das empresas conseguiram se recuperar totalmente em até uma semana.
O relatório também aponta fatores internos que contribuem para o sucesso dos ataques, como a falta de especialistas em segurança, brechas desconhecidas e proteção insuficiente. Em média, as organizações identificaram três fragilidades internas associadas aos incidentes. O impacto humano também é significativo: quase metade das empresas relatou aumento do estresse nas equipes de TI e segurança, além de maior pressão da liderança e até mudanças na alta gestão após os ataques.
Segundo Alexandra Rose, diretora de Pesquisa de Ameaças da Sophos Counter Threat Unit, a dependência da indústria de sistemas altamente interconectados torna o setor especialmente vulnerável à pressão dos criminosos. Mesmo com a redução da taxa de criptografia, os valores pagos e os custos de recuperação seguem elevados, reforçando a necessidade de defesas em camadas, visibilidade contínua e planos de resposta bem testados.
No monitoramento conduzido pelo Sophos X-Ops, foram identificados 99 grupos distintos de ransomware que atacaram organizações industriais no último ano. Entre os mais ativos estão Akira, Qilin e PLAY, frequentemente associados a operações de dupla extorsão, em que os dados são criptografados e, ao mesmo tempo, ameaçados de divulgação em sites de vazamento.
Diante desse cenário, a Sophos recomenda uma abordagem de longo prazo baseada na eliminação de vulnerabilidades, proteção abrangente de endpoints, planejamento contínuo de resposta a incidentes, uso consistente de backups e monitoramento 24 horas por dia. Para empresas com equipes enxutas, o apoio de serviços de detecção e resposta gerenciadas (MDR) surge como alternativa para ampliar a resiliência frente a um ambiente de ameaças cada vez mais sofisticado.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e X