Ataques ransomware crescem 49% em 2025

A atividade de ransomware voltou a intensificar-se em 2025, com um aumento de 49% nos ataques divulgados publicamente face ao ano anterior. Os dados constam do 2025 State of Ransomware Report, da BlackFog, que analisou incidentes divulgados e não divulgados entre janeiro e dezembro de 2025.

No total, foram registados 1.174 incidentes públicos, um valor recorde e quase quatro vezes superior ao registado em 2020. Paralelamente, os ataques não divulgados cresceram 37% entre 2024 e 2025.

Segundo o relatório, baseado na análise em dados recolhidos através da consola de monitorização da empresa, com principal foco em eventos de exfiltração de dados a partir de endpoints, 86% dos ataques ransomware identificados nunca são reportados publicamente.

Em 2025, grupos criminosos anunciaram 7.079 vítimas em sites de leak na dark web, refletindo o crescimento da extorsão baseada em exfiltração de dados. Além disso, o estudo conclui que a combinação de automatização, velocidade e foco na extração de informação sensível está a redefinir o panorama de ransomware.

Grupos ativos e crescimento de novos operadores

Ao longo de 2025, e de acordo com a anális realizada, 130 grupos de ransomware estiveram ativos, incluindo 52 novos grupos que surgiram durante o ano, um aumento de 9% face a 2024.

O grupo Qilin destacou-se como o mais ativo, reclamando 1.115 vítimas em ataques divulgados e não divulgados. O Akira surge em segundo lugar em ataques públicos e terceiro em atividade não divulgada, com 776 incidentes atribuídos. O grupo Play representou 5% dos ataques públicos anuais, enquanto o INC foi o segundo mais ativo no segmento não divulgado, com 66 vítimas reclamadas.

Ataques em larga escala com IA

O relatório identifica também a emergência de ataques de grande escala apoiados por Inteligência Artificial (IA). Um dos casos analisados envolveu a utilização indevida de um modelo de linguagem para executar autonomamente fases de reconhecimento, exploração e exfiltração de dados, marcando um novo patamar de automação no ciclo de ataque.

Segundo Darren Williams, fundador e CEO da BlackFog, os atacantes estão a privilegiar roubo de dados em detrimento da disrupção operacional tradicional. O responsável afirma que os criminosos utilizam IA para acelerar operações e contornar mecanismos clássicos de deteção.

Saúde lidera em volume e retalho ganha visibilidade

Em termos setoriais, a saúde voltou a ser o setor mais visado, representando 22% dos ataques divulgados. No entanto, o retalho registou maior exposição mediática, com incidentes a afetar marcas internacionais de grande visibilidade.

A maioria dos setores registou aumento de ataques, destacando-se a indústria de serviços, que duplicou o volume face ao ano anterior, com um crescimento de 118%. A educação foi o único setor a registar uma descida, com redução aproximada de 12%.

Impacto global 

O relatório indica que, em 2025, organizações em 135 países, equivalente a 69% do total mundial, foram afetadas por ransomware. Entre os ataques tornados públicos, os EUA concentraram 58% dos incidentes registados, seguidos pela Austrália e pelo Reino Unido.

Nos ataques não divulgados, os Estados Unidos da América voltaram a liderar, com 3.768 incidentes, seguidos do Canadá, que representam 6%, e da Alemanha, com 4%.

O relatório destaca ainda campanhas nacionais concentradas, incluindo uma ofensiva prolongada do grupo Qilin contra organizações sul-coreanas.

O relatório recomenda reforço dos mecanismos de prevenção de exfiltração de dados, maior visibilidade sobre endpoints e redução de exposição a acessos indevidos, numa altura em que os atacantes privilegiam furtividade e escala.