Empresas brasileiras que sofreram ataques de ransomware neste ano pagaram, em média, US$ 400 mil (R$ 2,2 milhões) para obter seus dados de volta. Das companhias que tiveram seus dados criptografados por softwares maliciosos, 66% pagaram resgate para restaurar o acesso. Os números fazem parte do sexto relatório anual State of Ransomware, da Sophos, corporação britânica especializada em cibersegurança. “O Brasil é muito pagador de resgate de ransomware”, afirmou André Carneiro, country manager da Sophos no Brasil, durante a apresentação do estudo, nesta terça-feira (1). E o pior: um a cada seis resgates pagos não resultou na recuperação dos dados.
Para o executivo, isso é um problema iminente, pois caracteriza um ambiente de ataque considerado bem-sucedido pelos cibercriminosos. “É propício para explorar novamente. Eles avaliam que terão muito mais sucesso ao realizar um novo ataque no Brasil do que no Japão, por exemplo”, declarou Carneiro. “Dessa forma, o País é visado como um local que, infelizmente, motiva o crime a continuar.”
Os US$ 400 mil pagos em resgates por empresas no Brasil geram prejuízos colaterais ainda maiores, que chegam a US$ 1,19 milhão por ataque (R$ 6,5 milhões), em média. No ano passado, o custo total era ainda mais alto, na casa dos US$ 2,73 milhões (R$ 15 milhões).
O valor pedido para empresas brasileiras é inferior à média global. Enquanto no Brasil o pagamento médio é de US$ 400 mil, no mundo esse valor sobe para US$ 1 milhão (R$ 5,5 milhões).
O estudo da Sophos revelou ainda que 100% das companhias que iniciaram negociação com os cibercriminosos para recuperar seus dados efetivaram o pagamento ao final do processo. “Isso significa que não houve recuo, nem por parte dos atacantes, nem por parte das empresas. Mostra que todos que entraram na fase de pagamento estavam, de fato, aptos a pagar”, explicou Carneiro.
Entre as empresas que pagaram o resgate, 55% desembolsaram menos do que o valor inicialmente exigido, 13% pagaram mais, e 11% pagaram exatamente o valor pedido.
Em relação ao tempo de recuperação dos dados, a pesquisa aponta que 55% das empresas conseguiram restaurar totalmente as informações em até uma semana — uma evolução significativa em relação aos 28% de 2024. Neste ano, 20% das empresas atacadas levaram entre um e seis meses para recuperar o acesso, ante 38% no ano passado.
Um fator preocupante, segundo Carneiro, está nas ações pós-ataque em relação às equipes das empresas. Cerca de 42% relataram mudanças na equipe ou na estrutura organizacional.
Entre os executivos que responderam à pesquisa e foram alvo de ataques, 41% afirmaram sentir culpa por não terem conseguido impedir a ação criminosa. Outros 41% deixaram a empresa ou se afastaram temporariamente por problemas de saúde mental.
Para 36%, houve aumento da pressão por parte dos superiores. “O colaborador não pode deixar isso acontecer, mas não tem ferramentas, não tem arquitetura, não tem soluções, não tem processos na empresa que impeçam outro ataque”, destacou Carneiro. “Vem a pressão, mas não vem a ferramenta para reduzir essa pressão.”
Segundo o estudo, 31% das empresas aumentaram a prioridade da equipe de segurança e o foco na proteção contra possíveis ataques.
De acordo com o country manager da Sophos no Brasil, há ao menos quatro recomendações essenciais para evitar que as empresas fiquem vulneráveis a ataques de ransomware:
Na prevenção: abordar causas técnicas e operacionais com gestão de riscos; uso de provedores de serviços gerenciados (MSPs) e de detecção e resposta gerenciadas (MDRs); implementação de autenticação multifator (MFA); adoção do acesso de confiança zero (Zero Trust Network Access – ZTNA), que permite acesso remoto seguro a aplicativos e recursos; e, por fim, treinamento contínuo dos colaboradores.
Nesse sentido, Carneiro alerta que os e-mails têm sido cada vez mais utilizados por cibercriminosos para invadir sistemas. “Vão usar isso para iludir as pessoas. Utilizarão ferramentas cada vez mais idênticas às originais. É preciso monitorar isso com mais rigor, especialmente na segurança dos e-mails corporativos”, alertou.
Na proteção: os chamados endpoints (dispositivos conectados à rede, como computadores, laptops, smartphones, tablets e servidores) são os principais alvos dos agentes de ransomware.
Na detecção e resposta: recomenda-se o uso de ferramentas e equipes de monitoramento 24 horas por dia. “Os atacantes costumam agir nos fins de semana, quando as empresas estão mais vulneráveis, pois só se protegem durante a semana”, comentou Carneiro.
No planejamento e preparação: é essencial ter um plano antecipado para reagir a possíveis ocorrências. Segundo o executivo, é necessário manter bons backups e realizar simulações periódicas para acelerar a recuperação dos dados.
Os dados do relatório State of Ransomware 2025 são provenientes de uma pesquisa independente, sem vínculo com fornecedores, realizada com 3.400 líderes de TI e cibersegurança de organizações que foram afetadas por ransomware no ano anterior. As organizações entrevistadas têm entre 100 e 5.000 funcionários e estão distribuídas em 17 países. A pesquisa foi conduzida entre janeiro e março de 2025, e os entrevistados foram questionados sobre suas experiências com ransomware nos 12 meses anteriores.
