Empresas reduzem pagamentos de ransomware e deixam cibercriminosos com menor lucro em seis anos

Palavra-chave principal: ransomware

O universo do ransomware registrou uma inflexão inédita entre julho e setembro de 2025. Levantamento da Coveware, que há seis anos acompanha a reação das vítimas a esse tipo de crime, revela que o número de empresas que cedem à chantagem diminuiu 23% no terceiro trimestre. Ao mesmo tempo, o montante médio pago quando há acordo foi reduzido em 66%, ficando em US$ 376 mil, pouco mais de R$ 2 milhões.

Queda inédita nas negociações com criminosos

O estudo indica que a taxa de pagamentos nunca esteve tão baixa no período analisado pela consultoria. A retração não se limita a ataques que envolvem bloqueio completo de sistemas; mesmo nas ofensivas que consistem apenas no roubo de informações, sem criptografia dos dispositivos, a proporção de vítimas que desembolsam dinheiro caiu para 19%. O resultado reforça uma mudança de postura das organizações, que parecem mais dispostas a enfrentar as consequências do incidente a sustentar financeiramente o ciclo de extorsão.

Valores médios encolhem no terceiro trimestre

Além de menos frequentes, as transações tornaram-se menos lucrativas para os agentes ilícitos. A média de US$ 376 mil registrada no terceiro trimestre contrasta com valores do trimestre anterior e consolida o menor patamar do período de seis anos pesquisado. O recuo, apontado como recorde pela Coveware, sugere que, quando a vítima decide pagar, a quantia aceita ou negociada é substancialmente inferior à praticada meses antes.

Continuidade da atividade RaaS apesar do recuo financeiro

A retração nos pagamentos não significa redução de tentativas de invasão. A modalidade ransomware-as-a-service (RaaS), na qual operadores “alugam” kits de ataque a afiliados, permaneceu ativa, e diversas empresas sofreram incidentes recentes. A manutenção desse modelo ilustra que, embora o retorno financeiro por ataque tenha caído, a infraestrutura criminosa continua funcional e disponível no submundo digital.

Novas portas de entrada favorecem acesso remoto não autorizado

A Coveware identifica alteração nos vetores que antecedem o sequestro de dados. Técnicas de phishing e engenharia social, durante anos predominantes, foram ultrapassadas pelo acesso remoto não autorizado. Intermediários, como serviços de VPN, recursos de nuvem e aplicações de terceiros vulneráveis, tornaram-se pontos preferenciais de infiltração. Paralelamente, intensificou-se o cenário em que grupos oferecem parte do lucro a um colaborador interno em troca de credenciais privilegiadas, ampliando o risco de comprometimento facilitado de dentro para fora.

Participação de Akira e Qilin no cenário recente

Duas operações continuaram mais ativas no período. O grupo Akira respondeu por 34% dos casos verificados, enquanto o Qilin apareceu em 10%. Mesmo em protagonismo, essas organizações convivem com perspectivas de concorrência fragmentada. As barreiras para converter ataques em pagamentos estimulam o surgimento de operadores independentes, não necessariamente vinculados às marcas mais conhecidas, que buscam alternativas para driblar a queda de receita.

Fatores que desmotivam o pagamento de resgates

A Coveware destaca uma combinação de elementos que colaborou para a diminuição dos desembolsos:

Avanço na proteção interna — Grandes companhias reforçaram rotinas de backup e aprimoraram a segurança, concluindo que pagar não garante devolução completa dos dados nem evita vazamentos posteriores.

Inexperiência de afiliados — Operadores que contratam ferramentas RaaS costumam fixar valores excessivos e demonstram pouca habilidade de negociação, inviabilizando acordos.

Foco apenas em exfiltração — Certos grupos passaram a se limitar ao roubo de informações, sem bloquear sistemas. A ausência de paralisação operacional reduz a urgência da vítima em pagar.

Seleção mais criteriosa de alvos — Diante das dificuldades financeiras, criminosos buscam alvos com maior potencial de retorno, diminuindo o volume geral de ataques mas tentando ampliar a precisão.

Orientação de consultores — Advogados e especialistas contratados após o incidente mostram crescente resistência em aconselhar o pagamento, reforçando o desestímulo.

Segmentos que permanecem no radar dos atacantes

A pesquisa indica provável direcionamento do crime para dois perfis de alvo. No primeiro, empresas de médio porte, por vezes com equipes reduzidas de segurança, seguem vulneráveis principalmente a afiliados de RaaS. No segundo, grandes corporações — os chamados “peixes grandes” — podem ser pressionadas pelo alto custo de paralisação prolongada e, portanto, avaliadas como mais propensas a negociar valores elevados.

Embora o estudo aponte um cenário alentador para as vítimas, a persistência da atividade de ransomware, sua adaptabilidade e o interesse econômico por trás dos ataques mostram que a ameaça continua relevante. A tendência de queda nos pagamentos, porém, demonstra que políticas internas de prevenção e orientação especializada vêm surtindo efeito tangível contra a economia do cibercrime.