Há apenas alguns anos, a imagem clássica do ransomware era a de um cartel digital: muitos ataques, muitas vítimas pagando e um fluxo constante de dinheiro para criminosos. Os últimos dados públicos, no entanto, pintam um panorama mais complexo e, de certa forma, mais preocupante. De acordo com a análise da plataforma de inteligência em blockchain Chainalysis, a proporção de vítimas que acabam por pagar aos extorsionadores caiu até 28% no ano passado, a percentagem mais baixa registada até à data, embora o volume de ataques reclamados tenha sido disparado.
A queda da taxa de pagamento — quase 79% em 2022 a apenas 28% recentemente — não significa que o ransomware tenha sido derrotado. O que mostra é uma economia criminosa em transformação: mais atores, táticas mais refinadas e uma capacidade para extrair mais dinheiro de menos vítimas. Chainalysis estima que, à data dos seus últimos registros, os pagamentos em cadeia por ransomware em 2025 somavam cerca de 820 milhões de dólares, e adverte que esse valor poderia se aproximar ou mesmo superar 900 milhões à medida que se identifiquem mais incidentes e transações. Você pode consultar o relatório e os seus números em detalhes no site da Chainalysis: Chainalysis — Relatório sobre ransomware.
Há um paradoxo claro: enquanto o número de ataques anunciados aumentou cerca de 50% anuais, o número de pagamentos totais permaneceu relativamente estável. Isso significa que os criminosos mudaram a sua abordagem. Em vez de depender de um grande número de pagamentos pequenos, alguns grupos concentram-se em vítimas que podem pagar somas muito maiores. De fato, a mediana do resgate pago cresceu de forma notável: segundo Chainalysis, subiu 368%, desde cerca de 12.738 dólares em 2024 até cerca de 59.556 dólares em 2025. Menos vítimas pagam, mas as que pagam entregam quantidades muito maiores.
Por trás desta mudança há múltiplos fatores. Chainalysis aponta para melhorias na resposta a incidentes por parte de empresas e equipamentos de cibersegurança, uma maior pressão regulatória e operacional por parte de autoridades nacionais e internacionais, e uma fragmentação do mercado do ransomware que já fez não só existir uma ou duas famílias dominantes, mas dezenas de grupos ativos. Esta observação está alinhada com relatórios de outras consultoras como Coveware, que também documentaram a redução sustentada das taxas de pagamento em 2025.
Um dado marcante do relatório é o número de grupos extorsionadores ativos: 85 identificados em 2025, diante da dinâmica anterior em que poucas bandas controlavam grande parte do mercado através de plataformas de RaaS (ransomware-as-a-service). Essa fragmentação, paradoxalmente, eleva o risco para as organizações porque multiplica as variantes e os vetores de ataque. Chainalysis também destaca incidentes de alto impacto que continuam a demonstrar que o potencial destrutivo do ransomware não diminuiu: desde lacunas que afetam grandes empresas e expõem milhões de registros até ataques que geram danos econômicos multimilionários.
Outro elo essencial nesta cadeia criminal são os chamados initial access corretos (IABs), atores que se especializam em vender acesso a redes comprometidas. Em 2025, os rendimentos dos IABs foram relativamente modestos em comparação com o total do negócio do ransomware — cerca de 14 milhões de dólares, apenas 1,7% —, mas a sua atividade parece funcionar como um indicador avançado: os picos nas entradas de pagamento para IABs costumam preceder um aumento nos pagamentos por resgates e nas publicações com dados filtrados quatro semanas depois. Além disso, o preço médio por acesso a uma rede caiu de forma sustentada, sugerindo que a automação, o uso de ferramentas assistidas por IA e o excesso de oferta de credenciais filtradas reduziram esse mercado. Chainalysis registou uma queda de cerca de 1.427 dólares no primeiro trimestre de 2023 a cerca de 439 dólares no primeiro trimestre de 2026.
O que significa tudo isso para uma organização preocupada com sua cibersegurança? Primeiro, o risco não é medido apenas na probabilidade de ser atacado, mas na capacidade do atacante para infligir danos reais e monetários. Embora hoje menos vítimas paguem, as que o fazem podem enfrentar demandas de resgate muito mais elevadas e consequências regulatórias, contratuais e reputacionais relevantes. Neste contexto, a prevenção continua a ser crucial: boas práticas de apoio, segmentação de redes, detecção precoce e planos de resposta bem testados reduzem a probabilidade de uma intrusão terminar em extorsão. Para orientação prática e recursos, as agências públicas oferecem guias atualizadas: a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. EUA (CISA) mantém materiais sobre ransomware e resposta a incidentes. https://www.cisa.gov/ransomware, e a Europol publica análises sobre ameaças cibernéticas e tendências no seu portal de relatórios.
Além disso, a pressão conjunta dos reguladores e das forças da ordem contribuiu para reduzir a vontade de pagamento: operações internacionais, sanções e a capacidade de seguir fluxos de dinheiro em blockchain aumentaram o custo operacional para os criminosos. No entanto, os pesquisadores da Chainalysis alertam que isso não significa que o ransomware vai desaparecer; mais bem está em uma fase de adaptação. Os grupos estão refinando suas técnicas: seleciones de vítimas mais precisas, extorsões combinadas (bloqueio + filtragem de dados) e demandas maiores para garantir que a negociação vale a pena.
Do ponto de vista defensiva isso implica duas lições claras. A primeira é que a resiliência organizacional — capacidade para detectar, conter, recuperar e comunicar — é mais valiosa do que nunca. A segunda, talvez a mais dura, é que o custo de um ataque bem-sucedido está se deslocando: importa tanto reduzir a probabilidade de intrusão como minimizar o impacto económico e operacional quando o pior cenário ocorre.
Se você procura aprofundar os números e metodologias por trás destas conclusões, o relatório da Chainalysis oferece uma repartição de pagamentos em cadeia, grupos ativos, incidentes significativos e tendências de mercado, enquanto empresas especializadas em resposta a incidentes como Coveware Publicam análises sobre preços de resgate, dinâmicas do mercado e casos reais. Complementar esses estudos com as recomendações de organismos como CISA e os relatórios de agências internacionais ajudam a construir uma estratégia de segurança mais holística e resiliente.
Em suma, a descida na taxa de pagamento não é motivo de relaxamento. É o sinal de uma transformação do ecossistema criminosa: menos vítimas pagando, resgates mais altos para quem o fazem, e um mercado mais fragmentado e automatizado que obriga empresas e responsáveis pela segurança a atualizar suas defesas com urgência. A batalha contra o ransomware não terminou; mudou de forma, e exige uma mistura de preparação técnica, resposta coordenada e colaboração com as autoridades para mitigar seus impactos.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...