Setor da indústria transformadora bloqueia mais ataques de ransomware, mas sofre aumento do roubo de dados

A indústria transformadora registou uma melhoria na deteção precoce de ataques de ransomware, com apenas 40% dos incidentes a resultarem em encriptação de dados, o valor mais baixo dos últimos cinco anos, segundo o relatório “Sophos State of Ransomware in Manufacturing and Production 2025”.

Contudo, os atacantes desta área intensificaram as táticas de roubo de dados e extorsão, elevando de 3% para 10% os ataques que consistem apenas em extorsão, enquanto 39% das empresas afetadas por encriptação sofreram também roubo de dados, uma das taxas mais elevadas entre os setores analisados.

O relatório baseia-se num inquérito a 332 organizações do setor transformador alvo de ransomware no último ano e demonstra que 50% destas empresas conseguiram travar os ataques antes que os dados fossem encriptados, mais do dobro dos 24% registados no ano anterior.

Entre os principais grupos de ransomware identificados a atacar o setor destacam-se o Akira, Qilin e PLAY, conforme monitorizado pela equipa Sophos X-Ops, que detetou 99 grupos distintos de ameaças nos últimos 12 meses. Em mais de metade dos casos que envolveram intervenção da equipa de Resposta a Incidentes de Emergência da Sophos, os atacantes recorreram a táticas de dupla extorsão, roubando e encriptando dados simultaneamente.

O estudo aponta ainda que as lacunas internas nas organizações alimentam os ataques, com 42,5% das empresas a reportarem falta de especialização, 41,6% a indicarem lacunas desconhecidas em segurança, e 41% a relatarem proteção insuficiente, identificando em média três fatores internos que contribuíram para a ocorrência do ataque.

Apesar dos avanços na defesa, 51% das organizações cujos dados foram encriptados acabaram por pagar o resgate, com o valor mediano pago a rondar os 860 mil euros, inferior à exigência mediana de 1,03 milhões de euros.

Os custos e tempos de recuperação revelam melhorias, com o custo médio de recuperação a diminuir 24%, fixando-se em 1,12 milhões de euros, e 58% das empresas a recuperarem completamente em menos de uma semana — uma subida face aos 44% registados no ano anterior.

Os incidentes de ransomware afetam significativamente as equipas de tecnologia e segurança, com 47% das empresas a reportarem aumento de stress nas suas equipas após a encriptação, 44% a sentirem maior pressão da liderança, e 27% a registarem mudanças na liderança como consequência direta do ataque.

Alexandra Rose, directora de Threat Research da Sophos Counter Threat Unit, destaca, em comunicado, que “a indústria transformadora depende de sistemas interligados, onde até uma breve paragem pode interromper a produção e afetar toda a cadeia de abastecimento. Os atacantes exploram esta pressão: apesar das taxas de encriptação terem caído para 40%, o valor mediano do resgate pago manteve-se em cerca de 860 mil euros, ou 1 milhão de dólares. Embora metade das empresas tenha travado os ataques antes da encriptação, os custos de recuperação rondam os 1,12 milhões de euros (1,3 milhões de dólares) e o stress nas equipas de liderança permanece elevado. As defesas em camadas, a visibilidade contínua e os planos de resposta bem treinados são essenciais para reduzir tanto o impacto operacional como o risco financeiro”.

A Sophos recomenda várias boas práticas para reforçar as defesas no setor transformador: eliminar as causas raiz das vulnerabilidades técnicas e operacionais através de medidas proativas e soluções específicas; proteger todos os endpoints com defesas anti-ransomware dedicadas; estabelecer e testar regularmente planos abrangentes de resposta a incidentes, garantindo backups fiáveis e praticar recuperação; e assegurar monitorização contínua 24/7, seja internamente ou através de fornecedores especializados em deteção e resposta geridas (MDR).

Estas recomendações visam antecipar-se às ameaças, minimizando o impacto dos ataques de ransomware e assegurando a continuidade das operações, essenciais para um setor estruturado em sistemas interligados e que não pode suportar longos períodos de interrupção.