Analysis

Maioria dos ataques de ransomware começam com identidades comprometidas

Quase oito em cada dez ataques de ransomware têm origem em identidades comprometidas, revela o mais recente relatório “State of Ransomware 2026” da Sophos

15/07/2026

Maioria dos ataques de ransomware começam com identidades comprometidas
dody / AdobeStock

As identidades comprometidas tornaram-se o principal vetor de acesso inicial nos ataques de ransomware, substituindo pela primeira vez em quatro anos a exploração de vulnerabilidades como principal ponto de entrada. A conclusão consta da sétima edição do relatório “State of Ransomware 2026”, da Sophos, baseado num inquérito a mais de dois mil responsáveis de IT e cibersegurança em 17 países.

Segundo o estudo, 79% dos ataques de ransomware tiveram origem em credenciais roubadas ou comprometidas. Paralelamente, os emails maliciosos (26%) e as campanhas de phishing (24%) ultrapassaram a exploração de vulnerabilidades entre os métodos iniciais de compromisso mais frequentes. Ainda assim, quando os ataques começam pela exploração de falhas em firewalls, 59% dos pedidos de resgate atingem ou ultrapassam um milhão de dólares, acima da média global de 48%.

Ross McKerchar, Chief Information Security Officer da Sophos, alerta, em comunicado, que a utilização crescente de inteligência artificial pelos cibercriminosos poderá acelerar ainda mais a capacidade para identificar vulnerabilidades e comprometer identidades. O responsável considera que as equipas de segurança não podem depender apenas da aplicação de atualizações de software, defendendo uma estratégia que combine redução da superfície de exposição, proteção de endpoints e monitorização contínua.

O relatório revela ainda que 56% das organizações vítimas de ransomware tiveram os seus dados encriptados, invertendo a tendência de redução registada nos dois anos anteriores. Entre estas, 16% sofreram simultaneamente encriptação e roubo de dados. Além disso, dois terços das organizações (67%) identificaram o incidente de ransomware como o ataque de identidade mais grave sofrido.

Quando os dados são encriptados, a probabilidade de pagamento do resgate continua elevada: 48% das organizações optaram por pagar, mantendo a média dos últimos quatro anos em cerca de 50%. As pequenas empresas revelam maior dificuldade em travar os ataques antes da fase de encriptação ou extorsão: apenas 34% conseguiram impedir o incidente, face a 46% das organizações com entre 3.001 e cinco mil colaboradores.

Apesar de 97% dos incidentes baseados em credenciais comprometidas envolverem organizações com autenticação multifator (MFA) implementada de alguma forma, a Sophos conclui que esta medida, isoladamente, não é suficiente para impedir ataques de ransomware, sobretudo quando existem lacunas de cobertura.

O estudo mostra também sinais positivos na recuperação. Mais de metade das organizações (55%) consegue restaurar a operação numa semana e 16% recuperam em menos de um dia, reflexo do investimento crescente em infraestruturas de backup. Entre as empresas que optaram por pagar o resgate, 51% conseguiram negociar um valor inferior ao inicialmente exigido pelos atacantes. Ainda assim, o custo médio de recuperação após um incidente aumentou para 1,7 milhões de dólares.

Perante este cenário, a Sophos recomenda uma abordagem integrada baseada na proteção das identidades, reforço das infraestruturas de backup e recuperação, gestão contínua da exposição a vulnerabilidades e utilização da telemetria das firewalls para detetar ataques numa fase precoce, complementando estas medidas com capacidades de deteção e resposta assistidas por inteligência artificial.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº31 AGOSTO 2026

IT SECURITY Nº31 AGOSTO 2026

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.