Analysis
Quase oito em cada dez ataques de ransomware têm origem em identidades comprometidas, revela o mais recente relatório “State of Ransomware 2026” da Sophos
15/07/2026
|
As identidades comprometidas tornaram-se o principal vetor de acesso inicial nos ataques de ransomware, substituindo pela primeira vez em quatro anos a exploração de vulnerabilidades como principal ponto de entrada. A conclusão consta da sétima edição do relatório “State of Ransomware 2026”, da Sophos, baseado num inquérito a mais de dois mil responsáveis de IT e cibersegurança em 17 países. Segundo o estudo, 79% dos ataques de ransomware tiveram origem em credenciais roubadas ou comprometidas. Paralelamente, os emails maliciosos (26%) e as campanhas de phishing (24%) ultrapassaram a exploração de vulnerabilidades entre os métodos iniciais de compromisso mais frequentes. Ainda assim, quando os ataques começam pela exploração de falhas em firewalls, 59% dos pedidos de resgate atingem ou ultrapassam um milhão de dólares, acima da média global de 48%. Ross McKerchar, Chief Information Security Officer da Sophos, alerta, em comunicado, que a utilização crescente de inteligência artificial pelos cibercriminosos poderá acelerar ainda mais a capacidade para identificar vulnerabilidades e comprometer identidades. O responsável considera que as equipas de segurança não podem depender apenas da aplicação de atualizações de software, defendendo uma estratégia que combine redução da superfície de exposição, proteção de endpoints e monitorização contínua. O relatório revela ainda que 56% das organizações vítimas de ransomware tiveram os seus dados encriptados, invertendo a tendência de redução registada nos dois anos anteriores. Entre estas, 16% sofreram simultaneamente encriptação e roubo de dados. Além disso, dois terços das organizações (67%) identificaram o incidente de ransomware como o ataque de identidade mais grave sofrido. Quando os dados são encriptados, a probabilidade de pagamento do resgate continua elevada: 48% das organizações optaram por pagar, mantendo a média dos últimos quatro anos em cerca de 50%. As pequenas empresas revelam maior dificuldade em travar os ataques antes da fase de encriptação ou extorsão: apenas 34% conseguiram impedir o incidente, face a 46% das organizações com entre 3.001 e cinco mil colaboradores. Apesar de 97% dos incidentes baseados em credenciais comprometidas envolverem organizações com autenticação multifator (MFA) implementada de alguma forma, a Sophos conclui que esta medida, isoladamente, não é suficiente para impedir ataques de ransomware, sobretudo quando existem lacunas de cobertura. O estudo mostra também sinais positivos na recuperação. Mais de metade das organizações (55%) consegue restaurar a operação numa semana e 16% recuperam em menos de um dia, reflexo do investimento crescente em infraestruturas de backup. Entre as empresas que optaram por pagar o resgate, 51% conseguiram negociar um valor inferior ao inicialmente exigido pelos atacantes. Ainda assim, o custo médio de recuperação após um incidente aumentou para 1,7 milhões de dólares. Perante este cenário, a Sophos recomenda uma abordagem integrada baseada na proteção das identidades, reforço das infraestruturas de backup e recuperação, gestão contínua da exposição a vulnerabilidades e utilização da telemetria das firewalls para detetar ataques numa fase precoce, complementando estas medidas com capacidades de deteção e resposta assistidas por inteligência artificial. |