Estado do Ransomware em 2026

O Estado do Ransomware em 2026: Os pagamentos estão diminuindo, mas a criptografia está aumentando

Informações obtidas de 2.158 líderes de TI e cibersegurança em 17 países cujas organizações foram atingidas por ransomware no último ano.
 

Os dados deste ano apresentam algumas discrepâncias surpreendentes em relação aos padrões dos relatórios anteriores sobre o Estado do Ransomware. As vulnerabilidades exploradas perderam a posição de principal causa raiz, que ocupavam há três anos. Os valores médios das exigências e dos pagamentos de resgate diminuíram, mas o custo médio da recuperação continuou a subir. Além disso, as pequenas organizações (de 100 a 250 funcionários) estão ficando cada vez mais para trás em relação às grandes empresas no quesito mais importante: impedir o ataque antes que os dados sejam criptografados.

sétimo relatório anual da Sophos sobre o Estado do Ransomware baseia-se numa pesquisa imparcial com 2.158 líderes de TI e segurança cujas organizações foram atingidas por ransomware nos últimos 12 meses. 

 

O e-mail é a nova principal causa raiz.

Pela primeira vez em quatro anos, a exploração de vulnerabilidades deixou de ser a principal forma de invasão. O ranking deste ano:

  • E-mails maliciosos (26%) e phishing (24%) juntos representam metade de todos os incidentes.
  • As credenciais comprometidas (23%) mantiveram-se estáveis ​​em terceiro lugar.
  • As vulnerabilidades exploradas (18%) diminuíram 14 pontos percentuais em relação ao ano anterior.
  • Os ataques de força bruta (6%) permaneceram estáveis.

A mensagem principal para os profissionais de segurança é clara: aplicar patches por si só não resolverá o problema. Proteção avançada de e-mail, DMARC, DKIM e SPF, além de treinamento de conscientização do usuário, devem estar no topo da lista de investimentos para 2026.

 

sophos-technical-root-cause-of-ransomware-attacks-2023–2026.png

 

Atualmente, a maioria dos incidentes de ransomware são motivados por ataques baseados em identidade.

79% dos ataques de ransomware começaram com uma abordagem baseada em identidade, e 67% das vítimas confirmaram que o incidente de ransomware que sofreram foi o mesmo que o ataque de identidade mais significativo que já enfrentaram. Essa descoberta também foi apresentada em nosso relatório State of Identity Security 2026, publicado no início do ano.

Diagrama de Venn da conexão de ransomware de identidade.png

Relatório de Adversários Ativos da Sophos de 2026 , baseado na análise de incidentes reais solucionados pelas equipes de defesa da Sophos, chega à mesma conclusão. Em 661 casos de resposta a incidentes (IR) e detecção e resposta gerenciadas (MDR), 67% das causas raiz estavam relacionadas à identidade, e a autenticação multifator (MFA) estava ausente onde era necessária em 59% dos casos.

 

A autenticação multifator (MFA) está implementada, mas não em todos os lugares.

Em 97% dos casos em que credenciais comprometidas foram a causa principal, a autenticação multifator (MFA) estava habilitada de alguma forma no momento do ataque. As lacunas de cobertura são onde o dano ocorre. O Relatório de Adversários Ativos observou o mesmo padrão: contas SaaS frequentemente tinham MFA, mas VPNs, consoles de administração de firewall e aplicativos legados não.

sophos-mfa-methods-enabled-at-the-time-of-attack.png

Onde começam os ataques de ransomware

Pela primeira vez, o relatório deste ano mapeia onde os entrevistados disseram que seus comprometimentos iniciais ocorreram em seus ambientes de TI. Em ataques que começaram com a exploração de uma vulnerabilidade, credenciais comprometidas ou força bruta, estes foram os locais onde as vítimas relataram que os ataques começaram:

  • Aplicações e sistemas expostos : 38%
  • Dispositivos do usuário : 30%
  • Firewalls : 21%
  • VPNs: 8%
  • Dispositivos IoT: 3%
sophos-ransomware-attack-locations.png

As violações de firewall acarretam um impacto financeiro desproporcional, pois o firewall ocupa uma posição privilegiada em toda a infraestrutura da organização. Quando os invasores exploram com sucesso uma vulnerabilidade no firewall, geralmente obtêm amplo acesso a toda a empresa, e as exigências de resgate resultantes refletem essa vantagem. 

Quando os ataques de ransomware começam com a exploração de uma vulnerabilidade no firewall, 59% das exigências são de US$ 1 milhão ou mais. Isso é mais do que a média de 48% de exigências acima de US$ 1 milhão em todos os ataques.

As coisas estão melhorando, mas o ransomware ainda é devastador.

Algumas tendências econômicas favoreceram os defensores neste ano, mas o panorama é misto. Ter dados criptografados em um ataque de ransomware continua sendo um evento grave.

A boa notícia:

  • Valor médio do resgate exigido: US$ 698.000 , uma queda de 65% em dois anos.
  • Valor médio do resgate: US$ 769.000 , uma queda em relação ao US$ 1 milhão do ano passado.
  • 51% das organizações pagadoras negociaram um valor inferior ao solicitado.
  • Apenas 32% das empresas varejistas efetuaram o pagamento, o menor percentual entre todos os setores.
  • A recuperação baseada em backups saltou para 66% dos casos de dados criptografados, um aumento de 12 pontos percentuais em relação a 2025.

A má notícia:

  • Custo médio de recuperação: US$ 1,7 milhão por incidente, um aumento de 11% em relação ao ano anterior.
  • 56% dos ataques ainda conseguiram criptografar os dados, um aumento em relação aos 50% do ano passado.
  • 48% das vítimas de criptografia pagaram o resgate , em linha com a média de quatro anos de aproximadamente 50%.
  • 72% das organizações governamentais locais e estaduais pagaram, a porcentagem mais alta de todos os setores.
  • O Reino Unido registrou o maior valor mediano de resgate exigido entre todos os países, chegando a US$ 2,5 milhões.

A disparidade entre os tamanhos das organizações é gritante: apenas 34% das pequenas empresas (100 a 250 funcionários) conseguiram impedir ataques antes da criptografia ou extorsão, um número bem inferior à taxa de sucesso de 46% observada em organizações com 3.001 a 5.000 funcionários. A escala está gerando resultados defensivos reais, e as pequenas empresas estão arcando com uma parcela desproporcional dos prejuízos.

Leia o relatório

Os dados de 2026 apontam para um tema consistente em todas as seções: os resultados melhoram quando as defesas de identidade, e-mail, endpoint e rede operam como um sistema integrado, em vez de isoladamente. Reduzir a lacuna nos ataques da era da IA ​​dependerá menos da adição de ferramentas e mais da integração das que já estão em uso.

Faça o download do relatório para obter as conclusões completas, análises setoriais e recomendações.

Por: Mitch Pronschinske publicado por Sophos 

Clique e fale com representante oficial Netwrix Endpoint Protector

Veja também:

About mindsecblog 3667 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!