O cenário das ameaças de ransomware entrou numa nova fase em 2025. Outrora um modelo de negócio criminoso altamente fiável, assente na encriptação de ficheiros e na cobrança de resgates, este método encontra-se agora sob forte pressão financeira. As taxas de pagamento atingiram mínimos históricos, as exigências médias caíram de forma abrupta e as organizações estão a recuperar dos ataques com maior eficácia. No entanto, os piratas informáticos não estão a recuar, mas sim a adaptar as suas tácticas para tornar as operações mais difíceis de travar.
O declínio financeiro e a mudança de alvos
A quebra nos lucros é evidente. Segundo dados da CoveWare e da Sophos, as taxas de pagamento de resgates chegaram a um mínimo histórico no final de 2025, com as exigências médias a descer de dois milhões de dólares em 2024 para 1,34 milhões. Quase metade das vítimas conseguiu restaurar os sistemas a partir de cópias de segurança, um salto significativo face aos 11% registados em 2022. Esta capacidade de recuperação enfraqueceu o poder de negociação dos criminosos. Para contornar esta realidade, os atacantes começaram a focar-se em empresas de menor dimensão, a afastar-se das grandes organizações que contam com defesas mais robustas. A equipa de analistas da Google Cloud, através de investigações conduzidas pela Mandiant, identificou estes padrões ao analisar incidentes em várias regiões do globo.
O roubo de dados como nova prioridade
Uma das mudanças mais notórias documentadas nas investigações de 2025 foi o aumento substancial da exfiltração de dados como principal alavanca de extorsão. A Google observou o roubo de informação em cerca de 77% das intrusões, um aumento acentuado em relação aos 57% do ano anterior. Os atacantes roubam agora ficheiros sensíveis antes de iniciar a encriptação e ameaçam publicar os dados em sites de fugas de informação caso a vítima se recuse a pagar, mesmo que esta consiga restaurar os sistemas. Para transferir a informação, os criminosos usam ferramentas comuns. O Rclone e o WinRAR marcaram presença em cerca de 23% dos incidentes, com plataformas na cloud como o OneDrive e o Azure a servir de destino para a exfiltração. Ameaças recentes mostram que o perigo é cada vez mais complexo.
Reconfiguração do panorama de ameaças
O cenário do cibercrime também passou por grandes perturbações. Operações conhecidas como LockBit, ALPHV e RansomHub foram desmanteladas ou enfraquecidas devido à pressão das autoridades. Contudo, o vazio foi rapidamente preenchido. A análise da Google Cloud revelou que o REDBIKE é agora a família de ransomware mais prevalente, a representar quase 30% de todos os incidentes observados, a superar os picos anteriores do LockBit. Grupos como Qilin e Akira também ganharam terreno.
Estratégias de defesa recomendadas
Com a diminuição dos lucros, a Google alerta que alguns grupos podem virar-se para fontes de rendimento alternativas, como campanhas de phishing ou a venda de acessos a redes comprometidas. Para mitigar estes riscos, as empresas devem implementar controlos rigorosos de prevenção de perda de dados e monitorizar o tráfego de saída para detectar transferências de ficheiros invulgares. Manter registos detalhados de acesso ao armazenamento na cloud é fundamental para obter avisos antecipados. A nível individual e corporativo, os utilizadores podem começar por passos simples ao consultar a nossa dica do dia sobre como activar a protecção contra ransomware do Windows, para garantir uma camada extra de segurança nos sistemas operativos.
