Ransomware bate novo recorde em 2025

O cibercrime organizado entrou numa nova fase. O ransomware (código malicioso que encripta sistemas e exige resgate para os libertar) deixou de ser exclusivo de grupos altamente especializados para se tornar uma ameaça sistémica e acessível a atacantes com recursos técnicos limitados. Os dados do relatório da NCC Group revelam que 2025 foi o ano mais grave alguma vez registado neste domínio. O número de ataques de ransomware registados no último ano atingiu 7.874 incidentes a nível global, um aumento de 50% face a 2024.

Os meses de fevereiro e dezembro concentraram os picos de atividade mais elevados do ano, refletindo uma tendência de campanhas coordenadas de alto impacto, especialmente direcionadas a organizações com cadeias de abastecimento complexas e elevada dependência de sistemas digitais integrados. A sazonalidade dos ataques não é aleatória, ou seja, corresponde a períodos de menor vigilância operacional ou de maior pressão financeira sobre as vítimas, dois fatores que aceleram negociações de resgate.

O panorama dos principais grupos de cibercrime sofreu uma reconfiguração significativa em 2025. O Qilin emergiu como o grupo mais ativo a nível global, com 1.022 ataques registados, o equivalente a 13% do total. Seguiram-se o Akira, com 755 incidentes, e o CL0P, com 517. Em contrapartida, o LockBit 3.0 — anteriormente um dos mais prolíficos — saiu do top 10 na sequência de operações coordenadas pelas autoridades internacionais que desestabilizaram as suas infraestruturas.

Cibercrime mais descentralizado

Simultaneamente, o ecossistema do cibercrime sofreu uma transformação estrutural: ferramentas baseadas em inteligência artificial, frameworks de automação e kits de ransomware “prontos a usar” reduziram significativamente as barreiras de entrada para novos atacantes. O resultado é um mercado de cibercrime mais descentralizado, com maior volume de operadores e menor exigência de conhecimento técnico especializado. «O que é verdadeiramente diferente agora é a industrialização do ransomware. Ferramentas baseadas em IA e kits prontos a usar reduziram drasticamente as barreiras de entrada, permitindo que os atacantes escalem e se adaptem com muito mais rapidez», alerta Matt Hull, VP of Cyber Intelligence and Response, NCC Group.

O caso do Scattered Spider é paradigmático desta nova lógica: apesar de não figurar entre os dez grupos mais ativos em volume, os seus ataques, incluindo os incidentes que afetaram retalhistas britânicos como Marks & Spencer, Co-op e Harrods, provocaram danos económicos e reputacionais desproporcionais relativamente ao número de incidentes.

Com 2.190 ataques registados, o setor industrial foi o mais afetado em 2025, representando 28% do total global e registando um aumento de 54% face ao ano anterior. A lógica dos atacantes é clara: as cadeias de abastecimento globais altamente interligadas amplificam o impacto operacional de qualquer disrupção, tornando estas organizações alvos de elevada rentabilidade. Vários ataques a fabricantes de grande dimensão e a empresas de logística resultaram em paragens operacionais que duraram dias ou semanas.

Europa é das mais atacadas

O setor do retalho foi o segundo mais visado, com 1.774 ataques. O incidente que afetou o grupo sul-coreano Coupang exemplificou como as vulnerabilidades operacionais e reputacionais são exploradas em simultâneo. A combinação de interdependência sistémica com grandes volumes de dados de consumidores torna o retalho um alvo especialmente atrativo. A escolha dos alvos parece seguir um racional económico, ou seja, quanto maior a pressão financeira causada pela interrupção do serviço, mais rápida tende a ser a cedência ao pagamento do resgate.

A distribuição geográfica dos ataques manteve o padrão dos anos anteriores, com a América do Norte a concentrar 56% dos incidentes registados em 2025. A Europa ficou em segundo lugar, com 22%, seguida pela Ásia, com 12%. A elevada concentração de grandes empresas, infraestruturas críticas e serviços públicos digitalizados continua a tornar a América do Norte o território mais atrativo para operadores de ransomware. Em 2025, foram registados ataques a agências do estado norte-americano do Nevada, e o incidente que afetou a Collins Aerospace perturbou operações em aeroportos de vários países europeus.

«Muitos dos incidentes que observámos recorreram a técnicas conhecidas há anos, como roubo de credenciais, engenharia social e abuso de acesso confiável. A diferença não foi só na inovação, foi na quantidade de danos que estas técnicas podem agora ter em organizações complexas e interligadas», destaca Matt Hull.

Apesar de ao longo de 2025, as autoridades policiais de vários países terem intensificado as operações contra infraestruturas de ransomware. Centenas de servidores e domínios maliciosos foram desmantelados, e foram emitidos mandados de captura internacionais contra afiliados de grupos como o Scattered Spider. Estas ações tornaram as operações mais fragmentadas e arriscadas para os atacantes, mas não eliminaram a atividade criminosa, que, pelo contrário, continua em expansão. «Quase 8.000 ataques de ransomware num único ano mostram que este nível de disrupção está a tornar-se normal. Os principais grupos podem mudar, mas a ameaça está a acelerar e não a diminuir», acrescenta Matt Hull.

---