Falhas de segurança desconhecidas impulsionam ataques de ransomware no retalho

A quinta edição do estudo anual Sophos State of Ransomware in Retail 2025 mostra que 46% dos incidentes de ransomware no setor tiveram origem em falhas de segurança ainda não identificadas, um indicador claro das dificuldades de visibilidade sobre a superfície de ataque. A Sophos destaca ainda que 58% das organizações recorreram ao pagamento de resgates após a encriptação dos seus dados.

A empresa sublinha que, do ponto de vista operacional, estas falhas desconhecidas foram o principal ponto de entrada para os cibercriminosos, enquanto as vulnerabilidades conhecidas continuam a ser a principal causa técnica, pelo terceiro ano consecutivo. O relatório também mostra que a encriptação ocorreu em apenas 48% dos casos, o valor mais baixo em cinco anos, apesar de o pedido mediano de resgate ter duplicado para dois milhões de dólares. Já o pagamento médio subiu 5%, atingindo um milhão de dólares.

No último ano, a equipa Sophos X-Ops identificou quase 90 grupos de cibercriminosos a atacar empresas de retalho, com Akira, Cl0p, Qilin, PLAY e Lynx a destacarem-se entre os mais ativos. O ransomware continua a dominar, mas o comprometimento de contas surge como o segundo incidente mais comum, seguido pelos ataques BEC que procuram desviar pagamentos.

Em comunicado, Chester Wisniewski, Director, Global Field CISO da Sophos, avisa que os retalhistas “estão a enfrentar um panorama de ameaças cada vez mais complexo”, marcado pela exploração de vulnerabilidades especialmente em acessos remotos e equipamento exposto à internet. O responsável nota que os pedidos de resgate estão em máximos históricos e reforça a necessidade de estratégias de segurança abrangentes para evitar disrupções operacionais e danos reputacionais.

A falta de competências internas é outro obstáculo significativo, com 45% dos retalhistas a identificá-la como fator operacional relevante, logo atrás das falhas desconhecidas. A isto juntam-se lacunas de cobertura de proteção, referidas por 44% das organizações. Apesar destas limitações, há sinais de evolução, já que a percentagem de ataques travados antes da encriptação atingiu o valor mais elevado em cinco anos.

A tendência de resistência aos pedidos de resgate também começa a ganhar expressão, visto que apenas 29% das vítimas pagaram exatamente o valor exigido; 59% negociaram montantes inferiores. O estudo revela ainda que os custos médios de recuperação, excluindo o resgate, caíram 40%, alcançando 1,65 milhões de dólares, o valor mais baixo em três anos.

De acordo com o estudo anual independente, conduzido junto de líderes de IT e cibersegurança em 16 países, o impacto humano não é negligenciável, com 47% das equipas de IT e segurança a reportarem aumento de pressão após incidentes que levaram à encriptação dos dados, enquanto 26% das organizações substituíram equipas de liderança na sequência de um ataque.

O relatório destaca ainda a adaptação dos adversários, já que o número de ataques exclusivamente de extorsão triplicou com a queda da encriptação. Paralelamente, só 62% das vítimas conseguiram recuperar dados a partir de cópias de segurança, o valor mais baixo dos últimos quatro anos.

Na avaliação da Sophos, a resiliência a longo prazo depende de medidas consistentes que eliminem causas de raiz, reforcem a proteção de endpoints, incluam testes regulares de planos de resposta a incidentes e assegurem visibilidade contínua, sobretudo através de serviços MDR para organizações sem recursos internos.