Empresas desistem de pagar resgate em ataques de ransonware; entenda por que
Por Jones Oliveira |
Apenas 23% das empresas vítimas de ataques de ransomware pagaram resgates aos cibercriminosos no terceiro trimestre de 2025, segundo levantamento da Coveware. O índice representa a menor taxa de pagamento já registrada e consolida uma tendência de queda que vem sendo observada nos anos, sinalizando uma mudança no comportamento corporativo diante de extorsões digitais.
Os números refletem um endurecimento na postura das organizações. Enquanto no primeiro trimestre de 2024 a taxa de pagamento era de 28%, a resistência crescente das vítimas em ceder às exigências dos criminosos vem apertando o cerco financeiro sobre grupos de ransomware, que dependem diretamente desses recursos para manter suas operações. A média dos valores pagos também despencou 66% em relação ao segundo trimestre de 2025, caindo para US$ 376 mil, enquanto a mediana recuou 65%, para US$ 140 mil.
Especialistas em segurança digital, autoridades policiais e profissionais do direito veem os dados como validação de um progresso coletivo. "Cada pagamento evitado restringe o oxigênio (Bitcoin) dos ciberatacantes", afirma a Coveware em seu relatório.
Da criptografia simples à dupla extorsão
Quando o ransomware se consolidou como ameaça corporativa há cerca de uma década, os ataques eram relativamente simples: os criminosos criptografavam dados e exigiam pagamento em troca da chave de descriptografia. Naquela época, o acesso inicial era abundante e barato, e os grupos criminosos operavam com estruturas enxutas, desenvolvendo o próprio código malicioso, executando os ataques e conduzindo as negociações.
A evolução das defesas empresariais, com melhorias nos sistemas de backup e higiene digital, forçou os atacantes a adaptarem suas táticas. Surgiu então o modelo de dupla extorsão: além de criptografar os dados, os criminosos passaram a roubá-los e ameaçar com vazamentos públicos caso o resgate não fosse pago. Essa mudança permitia manter a pressão mesmo sobre empresas com backups robustos.
A estratégia se mostrou tão eficaz que mais de 76% dos ataques observados no terceiro trimestre de 2025 envolveram exfiltração de dados, hoje o principal objetivo da maioria dos grupos. Ironicamente, porém, quando analisados isoladamente os ataques que apenas roubam dados sem criptografá-los, a taxa de pagamento cai ainda mais: apenas 19% das vítimas cedem à chantagem.
Por que as empresas estão dizendo "não"
A resistência crescente aos pagamentos tem múltiplas causas. Grandes empresas estão revisando suas políticas e reconhecendo que os recursos são melhor investidos no fortalecimento de defesas contra futuros ataques do que em alimentar a economia criminosa. Diversos casos de alto perfil recentes demonstraram que pagar para suprimir vazamentos de dados tem utilidade mínima ou nula.
A postura dos advogados especializados também mudou nesse meio tempo. "Está se tornando prática codificada durante incidentes de exfiltração de dados começar de uma posição de não pagamento como cenário base", destaca o relatório da Coveware. Até mesmo o conceito de "pagamento por incômodo" (nuisance payment) está sendo questionado, já que mesmo pequenos pagamentos perpetuam a economia da extorsão.
Campanhas de conscientização de autoridades policiais e pressão regulatória também têm peso significativo nessa equação. O entendimento de que cada pagamento financia novos ataques e sofistica as operações criminosas ganhou força entre executivos e conselhos administrativos, que passaram a avaliar o custo-benefício de ceder às chantagens de forma mais crítica.
Criminosos mudam de alvo e táticas
A queda nos lucros está forçando os grupos de ransomware a repensarem suas estratégias. O modelo tradicional de Ransomware-as-a-Service (RaaS) — no qual desenvolvedores recrutam afiliados para distribuir o malware em grande volume — está se mostrando menos lucrativo à medida que os custos operacionais aumentam e a taxa de conversão de ataques em pagamentos despenca.
Grupos como Akira e Qilin, que juntos representaram 44% de todos os ataques registrados no terceiro trimestre de 2025, adotaram uma abordagem de alto volume focada em médias empresas. Essas organizações são mais vulneráveis devido a orçamentos de segurança mais limitados e ao mesmo tempo mais propensas a pagar valores menores de resgate. "Akira mantém quantidade sobre qualidade", explica a Coveware, referindo-se à estratégia de maximizar o número total de ataques independentemente do porte da vítima.
Mas há também um movimento contrário: alguns grupos estão partindo para ataques mais sofisticados contra grandes corporações, na esperança de obter resgates tão grandes que compensam os custos elevados dessas operações. O compromisso de acesso remoto permaneceu como o vetor de ataque dominante, presente em mais da metade dos incidentes, frequentemente através de credenciais roubadas em VPNs, gateways de nuvem e integrações SaaS.
Investimento em segurança não é opcional
A melhor defesa contra ransomwares continua sendo a prevenção. A mediana de funcionários das empresas afetadas no terceiro trimestre foi de 362 colaboradores, aumento de 27% em relação ao trimestre anterior, desafiando a suposição de que alvos maiores garantem ganhos maiores para os criminosos.
Organizações de todos os portes precisam implementar camadas robustas de proteção: autenticação multifator forte, backups regulares e testados, monitoramento contínuo de acessos suspeitos e treinamento constante de funcionários para reconhecer tentativas de engenharia social. A detecção precoce, sobretudo durante as fases de reconhecimento e movimentação lateral dos atacantes, pode interromper um ataque antes que dados sejam roubados.
"Cada evitação de pagamento valida o progresso coletivo", reforça a Coveware. O objetivo é levar a taxa de pagamentos ao zero, privando completamente os grupos criminosos dos recursos necessários para sustentar suas operações. Isso requer esforço contínuo de todos os participantes do ecossistema de segurança.
Futuro dos ataques de ransomware
As tendências apontam para transformações significativas em como ocorrem os ataques de ransomware. Margens de lucro cada vez mais estreitas devem forçar os criminosos a serem menos oportunistas e mais seletivos na escolha de alvos, focando em "baleias brancas" — organizações de grande porte e alto valor que possam pagar resgates milionários.
Um caso recente envolvendo um funcionário da BBC ilustra essa evolução: um membro do grupo Medusa ofereceu 15% de um resgate em troca de acesso à rede corporativa através do computador de trabalho do funcionário. Esse tipo de abordagem — subornar colaboradores internos — é um desvio muito específico e notável do manual oportunista tradicional da maioria das operações de ransomware.
A convergência entre acesso remoto e engenharia social também deve se intensificar. Técnicas de phishing que visam equipes de suporte, abuso de processos de help desk e manipulação de tokens OAuth já estão sendo amplamente adotadas, borrando as linhas entre vetores técnicos e psicológicos de ataque. "O acesso remoto moderno é tanto psicológico quanto técnico", alerta a Coveware.
Empresas precisarão reavaliar a maturidade de seus programas de ameaças internas (insider threats), não apenas para mitigar roubo não autorizado de dados, mas também para prevenir a preparação e execução de ataques de ransomware completos facilitados por colaboradores corrompidos. À medida que grandes organizações fortalecem suas defesas técnicas, criminosos devem recorrer cada vez mais a esse tipo de abordagem.
Leia mais no Canaltech