As empresas brasileiras seguem pagando resgate após ataques cibernéticos, mas os montantes pagos tanto para o atacante para reaver os dados, como para recuperar a operação após o ransomware caíram. O estudo sobre estado ransomware deste 2025 publicado pela Sophos apontou que dois terços (66%) do que tiveram dados criptógrafos pagaram o resgate, enquanto três quarto (73%) utilizaram backups — e muitas organizações usaram mais de um método para recuperar seus dados.

Em coletiva de imprensa nesta terça-feira (1/7), André Carneiro, diretor-sênior de vendas e líder da Sophos para o Brasil, explicou que o porcentual das empresas brasileiras que pagam o resgate está similar ao do ano passado. E ele fez um alerta: “o backup segue muito importante; o criminoso pensa em comprometer o backup antes e, se tiver êxito em atacar o backup, sabe que pagamento de resgate vai vir”. 

O estudo sobre ransomware deste ano entrevistou 110 organizações brasileiras afetadas no último ano, com as entrevistas sendo feitas entre janeiro e março últimos.

Além disso, muitas vezes, o backup não tem ligação com a área de segurança, o que acaba comprometendo ainda mais  os dados das empresas. Mais da metade dos ataques (54%) às organizações brasileiras resulta na criptografia dos dados. Para a recuperação desses dados criptografados, 66% pagaram o resgate e recuperaram os dados e 73% usaram backups para recuperar os dados.

Com relação ao montante pago, a mediana da exigência de resgate no Brasil foi de US$ 393 mil, abaixo da média global de US$ 1 milhão e dos US$ 840 mil de 2024. Mas um dado chama a atenção: o pagamento efetivo ficou na casa dos US$ 400 mil, mostrando que, ao tentar negociar o resgate, as empresas, em média, acabaram desembolsando uma quantia maior que a primeiramente exigida.

Além do pagamento do resgate, as empresas precisam arcar com a recuperação do ataque, um custo que ficou na média de US$ 1,19 milhão no Brasil, abaixo da média global de US$ 1,53 milhão e dos US$ 2,73 milhões registrados em 2024.

Das 36 organizações que pagaram o resgate, 55% dos pagamentos foram inferiores ao pedido inicial; 11% corresponderam à demanda inicial e 13% foram superiores. Todo mundo que entra em fase de resgate já está suscetível a pagar; se faz troca de comunicação com atacante, já dá indício de que vai pagar, explica o diretor, ressaltando que o Brasil é um país que paga muito resgate.

Ele explicou que existem alternativas de ações preventivas que se pode buscar antes de sofrer um ataque, como ter um plano de recuperação, usar soluções de detecção, verificar backup, e existem planos de recuperação como resposta a incidentes para tentar fazer antes de pagar o resgate. “A empresa tem de ter consciência de que não basta voltar o backup, mas tem de remover o atacante da rede para não sofrer de novo. Se pagar o resgate e não resolver o problema, se não tirar ele, ele vai buscar recorrência — é preocupante”, alertou.  

Causa raiz dos ataques 
Foi identificado que a exploração de vulnerabilidade ainda é grande ponto que leva as firmas a se tornarem vítimas de ataques, com 44% dos entrevistados dizendo que a vulnerabilidade exploradas são a causa raiz. Os sistemas são vulneráveis e não tem controle, se não fizer gestão rigorosa dos sistemas e de redes, assinalou Carneiro.

Outra causa é o uso de credenciais prometidas, apontado por 20% dos pesquisados. Cada vez mais os atacantes estão usando credenciais válidas, por meio do vazamento de senhas. É preocupante, porque muita vezes a senha do corporativo é a mesma usada no pessoal, explicou o diretor.

E-mails maliciosos (18%) vêm na sequência e um fato chama bastante a atenção: por causa da adoção de ferramentas de inteligência artificial para escrever os correios simulando outras pessoas, os ataques por e-mail devem apresentar um forte crescimento. Fecham a lista phishing (14%), ataques de força bruta (4%) e download (1%). 

Para além da técnica, lacuna de segurança conhecida, uma fragilidade na defesa que a organização conhecia, mas não tinha corrigido, é o motivo mais comum pelo qual as firmas brasileiras se tornaram vítimas, seguido pela falta de pessoas e capacidades. A brecha de segurança conhecida foi apontada por 47%, enquanto que a falta de pessoal e/ou capacidade por 39%, erro humano por 35%, mesmo porcentual de qualidade fraca de proteção, brecha não conhecida de segurança e falta de expertise.

Pensar que só 30% entenderam porque o ataque originou é um porcentual bem forte, assinalou Carneiro, ao comentar que para 57% a causa raiz operacional dos ataques foram problemas de proteção; para 64% problemas de recursos e para 70% lacuna de segurança, seja ela conhecida ou não.