Quase metade das empresas paga o resgate em ataques de ransomware

Quase 50% das empresas afetadas por ataques de ransomware optaram por pagar o resgate para recuperar os seus dados, de acordo com a edição de 2025 do relatório State of Ransomware, da Sophos. Este valor representa a segunda taxa mais elevada de pagamento dos últimos seis anos, segundo o estudo baseado num inquérito a 3.400 líderes de IT e cibersegurança em 17 países.

Ainda assim, mais de metade (53%) das organizações conseguiu negociar um valor inferior ao inicialmente exigido pelos atacantes. Em 71% dos casos em que foi pago um montante mais baixo, a redução foi conseguida por via de negociação direta ou com recurso a terceiros especializados.

O pagamento mediano dos resgates fixou-se nos 861 mil euros, embora os pedidos iniciais variem consideravelmente. Para empresas com receitas superiores a mil milhões de dólares, os valores pedidos ultrapassaram frequentemente os cinco milhões. Já entre as organizações com receitas até 250 milhões, os pedidos situaram-se, em média, abaixo dos 350 mil dólares.

O relatório revela também uma evolução positiva no controlo dos ataques: 44% das empresas conseguiram travar o ransomware antes de os dados serem encriptados – o valor mais elevado desde que a Sophos iniciou esta análise anual. Em linha com essa tendência, apenas metade das vítimas reportou que os seus dados foram efetivamente encriptados, o valor mais baixo em seis anos.

Apesar disso, a principal causa técnica dos ataques mantém-se: a exploração de vulnerabilidades desconhecidas. Quatro em cada dez organizações afetadas apontam essa falha como ponto de entrada dos atacantes. Globalmente, 63% referem que a escassez de recursos foi um fator determinante para o sucesso do ataque, com destaque para a falta de competências nas organizações de maior dimensão e a escassez de pessoal nas estruturas de média dimensão.

“O ransomware tornou-se uma realidade com que muitas empresas já contam”, afirma Chester Wisniewski, Director, Field CISO da Sophos. “A boa notícia é que, com essa normalização, veio também a preparação. Muitas organizações estão a adotar serviços de deteção e resposta geridas (MDR), a recorrer ao ciberseguro e a contratar especialistas em resposta a incidentes, o que permite não só reduzir os pagamentos, mas também acelerar a recuperação e até impedir que os ataques se concretizem”, acrescenta.

Custos e tempos de recuperação em queda

Os dados indicam igualmente uma redução nos custos de recuperação: em média, uma empresa afetada por ransomware gastou cerca de 1,32 milhões de euros, valor inferior aos 2,35 milhões registados em 2024. O valor médio dos resgates pagos caiu 50% num ano, acompanhando a queda nos pedidos dos atacantes.

Por setor, a administração pública foi a que mais pagou em média (2,15 milhões de euros), ao passo que o setor da saúde registou o menor valor, com cerca de 129 mil euros. Paralelamente, as empresas estão a recuperar mais rapidamente: 53% voltaram à normalidade em menos de uma semana, um aumento expressivo face aos 35% do ano anterior. Apenas 18% precisou de mais de um mês.

A tendência descendente no uso de backups também chamou a atenção. Apenas 54% das organizações utilizaram esta via para recuperar os dados – a percentagem mais baixa desde o início do estudo. A Sophos alerta para os riscos desta diminuição e recomenda que as cópias de segurança continuem a ser uma prioridade.

Como boas práticas, a empresa sublinha a importância de eliminar as causas técnicas e operacionais dos ataques, proteger todos os endpoints com soluções anti-ransomware dedicadas, e garantir a existência e teste regular de planos de resposta a incidentes. Para as empresas sem recursos internos adequados, a recomendação passa pela contratação de serviços de MDR.

Os dados do relatório State of Ransomware 2025 resultam de um inquérito independente a organizações que têm entre cem e cinco mil colaboradores e receitas entre dez milhões e cinco mil milhões de dólares. Ao longo do ano, vão ser publicadas mais conclusões sobre este relatório, de acordo com a Sophos.