Os dados deste ano apresentam algumas discrepâncias surpreendentes em relação aos padrões dos relatórios anteriores sobre o Estado do Ransomware. As vulnerabilidades exploradas perderam a posição de principal causa raiz, que ocupavam há três anos. Os valores médios das exigências e dos pagamentos de resgate diminuíram, mas o custo médio da recuperação continuou a subir. Além disso, as pequenas organizações (de 100 a 250 funcionários) estão ficando cada vez mais para trás em relação às grandes empresas no quesito mais importante: impedir o ataque antes que os dados sejam criptografados.
O sétimo relatório anual da Sophos sobre o Estado do Ransomware baseia-se numa pesquisa imparcial com 2.158 líderes de TI e segurança cujas organizações foram atingidas por ransomware nos últimos 12 meses.
O e-mail é a nova principal causa raiz.
Pela primeira vez em quatro anos, a exploração de vulnerabilidades deixou de ser a principal forma de invasão. O ranking deste ano:
- E-mails maliciosos (26%) e phishing (24%) juntos representam metade de todos os incidentes.
- As credenciais comprometidas (23%) mantiveram-se estáveis em terceiro lugar.
- As vulnerabilidades exploradas (18%) diminuíram 14 pontos percentuais em relação ao ano anterior.
- Os ataques de força bruta (6%) permaneceram estáveis.
A mensagem principal para os profissionais de segurança é clara: aplicar patches por si só não resolverá o problema. Proteção avançada de e-mail, DMARC, DKIM e SPF, além de treinamento de conscientização do usuário, devem estar no topo da lista de investimentos para 2026.

Atualmente, a maioria dos incidentes de ransomware são motivados por ataques baseados em identidade.
79% dos ataques de ransomware começaram com uma abordagem baseada em identidade, e 67% das vítimas confirmaram que o incidente de ransomware que sofreram foi o mesmo que o ataque de identidade mais significativo que já enfrentaram. Essa descoberta também foi apresentada em nosso relatório State of Identity Security 2026, publicado no início do ano.

O Relatório de Adversários Ativos da Sophos de 2026 , baseado na análise de incidentes reais solucionados pelas equipes de defesa da Sophos, chega à mesma conclusão. Em 661 casos de resposta a incidentes (IR) e detecção e resposta gerenciadas (MDR), 67% das causas raiz estavam relacionadas à identidade, e a autenticação multifator (MFA) estava ausente onde era necessária em 59% dos casos.
A autenticação multifator (MFA) está implementada, mas não em todos os lugares.
Em 97% dos casos em que credenciais comprometidas foram a causa principal, a autenticação multifator (MFA) estava habilitada de alguma forma no momento do ataque. As lacunas de cobertura são onde o dano ocorre. O Relatório de Adversários Ativos observou o mesmo padrão: contas SaaS frequentemente tinham MFA, mas VPNs, consoles de administração de firewall e aplicativos legados não.

Onde começam os ataques de ransomware
Pela primeira vez, o relatório deste ano mapeia onde os entrevistados disseram que seus comprometimentos iniciais ocorreram em seus ambientes de TI. Em ataques que começaram com a exploração de uma vulnerabilidade, credenciais comprometidas ou força bruta, estes foram os locais onde as vítimas relataram que os ataques começaram:
- Aplicações e sistemas expostos : 38%
- Dispositivos do usuário : 30%
- Firewalls : 21%
- VPNs: 8%
- Dispositivos IoT: 3%

As violações de firewall acarretam um impacto financeiro desproporcional, pois o firewall ocupa uma posição privilegiada em toda a infraestrutura da organização. Quando os invasores exploram com sucesso uma vulnerabilidade no firewall, geralmente obtêm amplo acesso a toda a empresa, e as exigências de resgate resultantes refletem essa vantagem.
Quando os ataques de ransomware começam com a exploração de uma vulnerabilidade no firewall, 59% das exigências são de US$ 1 milhão ou mais. Isso é mais do que a média de 48% de exigências acima de US$ 1 milhão em todos os ataques.
As coisas estão melhorando, mas o ransomware ainda é devastador.
Algumas tendências econômicas favoreceram os defensores neste ano, mas o panorama é misto. Ter dados criptografados em um ataque de ransomware continua sendo um evento grave.
A boa notícia:
- Valor médio do resgate exigido: US$ 698.000 , uma queda de 65% em dois anos.
- Valor médio do resgate: US$ 769.000 , uma queda em relação ao US$ 1 milhão do ano passado.
- 51% das organizações pagadoras negociaram um valor inferior ao solicitado.
- Apenas 32% das empresas varejistas efetuaram o pagamento, o menor percentual entre todos os setores.
- A recuperação baseada em backups saltou para 66% dos casos de dados criptografados, um aumento de 12 pontos percentuais em relação a 2025.
A má notícia:
- Custo médio de recuperação: US$ 1,7 milhão por incidente, um aumento de 11% em relação ao ano anterior.
- 56% dos ataques ainda conseguiram criptografar os dados, um aumento em relação aos 50% do ano passado.
- 48% das vítimas de criptografia pagaram o resgate , em linha com a média de quatro anos de aproximadamente 50%.
- 72% das organizações governamentais locais e estaduais pagaram, a porcentagem mais alta de todos os setores.
- O Reino Unido registrou o maior valor mediano de resgate exigido entre todos os países, chegando a US$ 2,5 milhões.
A disparidade entre os tamanhos das organizações é gritante: apenas 34% das pequenas empresas (100 a 250 funcionários) conseguiram impedir ataques antes da criptografia ou extorsão, um número bem inferior à taxa de sucesso de 46% observada em organizações com 3.001 a 5.000 funcionários. A escala está gerando resultados defensivos reais, e as pequenas empresas estão arcando com uma parcela desproporcional dos prejuízos.
Leia o relatório
Os dados de 2026 apontam para um tema consistente em todas as seções: os resultados melhoram quando as defesas de identidade, e-mail, endpoint e rede operam como um sistema integrado, em vez de isoladamente. Reduzir a lacuna nos ataques da era da IA dependerá menos da adição de ferramentas e mais da integração das que já estão em uso.
Faça o download do relatório para obter as conclusões completas, análises setoriais e recomendações.
Por: Mitch Pronschinske publicado por Sophos
Clique e fale com representante oficial Netwrix Endpoint Protector
Veja também:
- Por que a transformação digital falha quando as pessoas não mudam o jeito de trabalhar
- IA agêntica: três prioridades inegociáveis para CISOs
- Brasil ultrapassa 4 mil ciberataques semanais por organização
- Shadow AI avança nas empresas e expõe novo desafio de governança corporativa
- Dados de 500mil pacientes vaza na Organização Social ISAC
- ALERTA DE CIBERINTELIGÊNCIA: Suposto Incidente Crítico no Setor de Meios de Pagamento no Brasil
- Percepções de projetos de avaliação de comprometimento
- Alerta sobre ciberataques “industrializados”
- 10 melhores soluções criptográficas pós-quânticas em 2026
- Melhores ferramentas de pentest para testes internos versus externos
- Alerta sobre uma falha crítica no Splunk Enterprise
- Monitoramento de Conformidade reduz risco de Segurança Cibernética

Be the first to comment