A Sophos anunciou novas descobertas do relatório “Sophos State of Ransomware in Manufacturing and Production 2025”. O levantamento mostra que o setor industrial tem conseguido barrar um número maior de ataques de ransomware antes da criptografia dos dados. A pesquisa mostra que mesmo assim, os criminosos migraram para estratégias mais agressivas: intensificaram o roubo de informações e passaram a apostar em táticas de extorsão para manter pressão sobre as vítimas. Como resultado, mais da metade das organizações industriais afetadas pagaram o resgate, apesar dos avanços nas medidas de defesa.
O estudo se baseia em uma pesquisa independente com 332 organizações industriais atingidas por ransomware no último ano e revelou que as taxas de criptografia estão caindo, mas os atacantes mudaram de tática. Além de que mais organizações estão interrompendo ataques antes da criptografia, 50% das empresas do setor industrial conseguiram barrar a ação antes que os dados fossem criptografados, mais do que o dobro dos 24% registrados no ano anterior.
E a falta de expertise e proteção insuficiente alimentam os ataques, já que a ausência de especialistas foi apontada por 42,5% das organizações. Brechas de segurança desconhecidas foram citadas por 41,6% e falta de proteção por 41%. Em média, os entrevistados identificaram três fatores internos que contribuíram para o ataque.
Outro fator apontado na análise foi que os custos e prazos de recuperação estão melhorando. O custo médio para se recuperar de um ataque – desconsiderando o pagamento do resgate – caiu 24%, para US$ 1,3 milhão. Além disso, 58% das empresas se recuperaram totalmente em até uma semana, comparadas a 44% no ano passado.
O relatório mostra acidentes de ransomware impactam equipes de TI e segurança, 47% das empresas industriais relataram aumento de estresse nas equipes após a criptografia de dados. Para 44%, a pressão da liderança cresceu, e 27% afirmaram ter ocorrido mudanças na alta gestão em decorrência do ataque.
“A indústria depende de sistemas interconectados, em que até mesmo uma breve interrupção pode paralisar a produção e gerar efeitos em toda a cadeia de suprimentos”, afirma Alexandra Rose, diretora de Pesquisa de Ameaças da Sophos Counter Threat Unit (CTU). “Os criminosos exploram essa pressão: mesmo com a taxa de criptografia caindo para 40%, o valor mediano pago em resgates ainda chegou a US$ 1 milhão. Embora metade das empresas tenha conseguido interromper o ataque antes da criptografia, os custos de recuperação permanecem altos – em média, US$ 1,3 milhão – e a pressão da liderança continua elevada. Defesas em camadas, visibilidade contínua e planos de resposta bem testados são essenciais para reduzir tanto o impacto operacional quanto o risco financeiro.”
No último ano, a organização monitorou a atividade de ransomware em sites de vazamento e identificou 99 grupos distintos de cibercriminosos que miraram o setor industrial. Entre os mais ativos, com base nessas observações, estão GOLD SAHARA (Akira), GOLD FEATHER (Qilin) e GOLD ENCORE (PLAY). Acompanhando as tendências reveladas no relatório, em mais da metade dos incidentes de ransomware em que a equipe de Resposta a Incidentes de Emergência da Sophos foi acionada, os invasores roubaram e criptografaram dados, reforçando o uso da tática de dupla extorsão – quando as informações são sequestradas e, simultaneamente, ameaçadas de divulgação em sites de vazamento.
