Em março de 2026, organizações brasileiras sofreram em média 3.711 ataques cibernéticos por semana. Crescimento de 29% em relação ao mesmo período do ano anterior, acima da média latino-americana.
O Brasil não é vítima por azar. É alvo por escolha.
O que é ransomware
Ransomware é um tipo de malware que criptografa os arquivos e sistemas de uma organização e exige pagamento, geralmente em criptomoeda, para restaurar o acesso. O nome vem de ransom, palavra em inglês para resgate.
Quando o ataque funciona, a operação para. Arquivos ficam inacessíveis. Sistemas internos bloqueados. A empresa não consegue faturar, atender clientes, ou acessar dados históricos. A pressão para pagar é imediata.
O custo médio de recuperação de um incidente de ransomware no Brasil ultrapassou R$6,2 milhões em 2025, somando resgate, paralisação operacional, investigação forense e custos legais. E pagar o resgate não garante solução. Empresas que pagaram voltaram a ser alvo em percentual relevante dos casos documentados.
Como o ataque acontece na prática
Ransomware não aparece do nada. Ele segue etapas previsíveis, e cada etapa é uma oportunidade de detecção que a maioria das empresas perde.
Acesso inicial
A porta de entrada mais comum é credencial roubada. Não vulnerabilidade zero-day, não ataque sofisticado. Login e senha válidos comprados num fórum da dark web ou obtidos via phishing.
Em 2025, 85% dos alertas de segurança acionáveis no Brasil envolviam comprometimento de identidade, nuvem ou credenciais, segundo a SonicWall. A senha roubada é a arma preferida do atacante porque funciona. E 98% das contas em nuvem de empresas brasileiras operam sem autenticação multifator.
Reconhecimento e movimentação lateral
Com acesso a uma conta, o atacante não criptografa imediatamente. Ele passa dias mapeando a rede. Identifica backups, sistemas críticos, credenciais de administrador. O tempo médio entre acesso inicial e criptografia caiu para menos de 24 horas em campanhas recentes, mas a fase de reconhecimento pode durar semanas antes disso.
Exfiltração de dados
Antes de criptografar, o atacante copia os dados mais sensíveis. Isso alimenta a dupla extorsão: além de pagar pelo descriptador, a empresa precisa pagar para que os dados não sejam publicados. Em 2025, 87% dos ataques de ransomware envolviam dupla extorsão.
Criptografia
Quando o atacante executa o payload, a criptografia acontece em minutos. Arquivos recebem extensões desconhecidas. O readme.txt aparece em cada pasta com as instruções de pagamento.
Por que o Brasil é alvo preferencial
A escolha não é aleatória. O Brasil combina três fatores que grupos criminosos procuram:
Economia digital em crescimento com segurança em atraso. O país digitalizou operações rapidamente, mas a maturidade de segurança não acompanhou. 73% das empresas brasileiras já foram vítimas de ransomware, segundo a Sophos. Em empresas de pequeno e médio porte, 88% das violações envolveram ransomware em 2025.
Marcos regulatórios menos rígidos. A LGPD existe, mas a pressão regulatória ainda é menor que nos Estados Unidos e União Europeia. Isso reduz o custo jurídico do ataque para o criminoso.
Déficit de profissionais. Estimativa de 30 mil vagas abertas em segurança da informação no Brasil. Empresas sem time de segurança são alvos mais fáceis.
Ransomware-as-a-Service: por que qualquer empresa virou alvo
O modelo RaaS transformou ransomware num negócio estruturado. Grupos criminosos desenvolvem a plataforma de ataque e a alugam para afiliados, que executam as campanhas e dividem o lucro.
O resultado: qualquer pessoa com dinheiro suficiente para pagar pelo acesso consegue executar um ataque de ransomware sem conhecimento técnico profundo. A barreira de entrada caiu. O volume de ataques subiu.
Esses grupos têm suporte técnico para as vítimas pagantes, serviços jurídicos para proteger operadores em caso de prisão, e times especializados em negociação de resgate. É uma empresa criminosa com estrutura operacional completa.
O que casos reais mostram
Lojas Renner (2021). Ataque derrubou o site de e-commerce e sistemas internos por vários dias em pleno período de vendas. Impacto estimado em dezenas de milhões de reais.
Porto de Santos (2023). Sistemas de controle portuário comprometidos, causando atrasos em operações de importação e exportação. Infraestrutura crítica demonstrou vulnerabilidade.
Grupo Jorge Batista (2025). Setor farmacêutico. Ransomware Gunra criptografou sistemas, paralisou vendas, gerou rompimento de contratos e multas. Perdas estimadas em R$400 milhões.
Esses casos compartilham um padrão. Em todos, a investigação pós-incidente revelou vulnerabilidades conhecidas e não corrigidas como vetor de entrada.
O que reduz o risco
Não existe proteção absoluta. Existe redução de superfície de ataque e capacidade de resposta.
Os pontos que mais aparecem nas investigações pós-incidente como ausentes:
Autenticação multifator em todos os acessos remotos. VPN sem MFA é porta aberta. RDP exposto na internet sem MFA é convite.
Backup isolado e testado. Backup na mesma rede que os sistemas operacionais é criptografado junto com tudo. Backup imutável, offsite, testado periodicamente, é o que diferencia uma empresa que para uma semana de uma que para seis meses.
Princípio do menor privilégio. 91% das contas em nuvem de empresas brasileiras operam com privilégios excessivos. Uma conta comprometida com privilégios de administrador global compromete tudo.
Segmentação de rede. Quando o atacante ganha acesso a um segmento, segmentação limita a movimentação lateral. Uma rede plana deixa tudo exposto a partir do primeiro ponto comprometido.
Monitoramento de comportamento. Ferramentas que detectam acesso fora do horário, volume anormal de leitura de arquivos, ou exfiltração de dados permitem interrupção antes da criptografia.
▌ Note que: patches pendentes continuam sendo vetor de entrada relevante. O Log4j, vulnerabilidade divulgada em 2021, gerou 824,9 milhões de tentativas de exploração em 2025. Quatro anos depois.
Ransomware não é problema de grandes empresas. É problema de qualquer empresa com dados que valem alguma coisa. A pergunta não é se sua organização vai ser alvo. É se ela vai estar preparada quando for.