João Miguel Mesquita
O mais recente relatório Sophos State of Ransomware in Manufacturing and Production 2025 analisa o impacto do ransomware na indústria transformadora com base num inquérito independente a 332 organizações que foram alvo deste tipo de ataque no último ano. Os dados revelam uma mudança clara no padrão das ameaças, com menos encriptação direta, mas maior recurso à extorsão baseada no roubo de dados.
A taxa de ataques que resultaram em encriptação de dados caiu para 40%, o valor mais baixo dos últimos cinco anos, uma descida significativa face aos 74% registados no ano anterior. Ao mesmo tempo, os ataques exclusivamente focados em extorsão subiram para 10%, quando em 2024 representavam apenas 3%, sinal de que os atacantes estão a adaptar as suas estratégias para contornar as melhorias defensivas das organizações.
Apesar dessa evolução positiva na prevenção, o roubo de dados continua a ser um dos principais problemas do setor. Em 39% das empresas que sofreram encriptação, os dados também foram exfiltrados, uma das percentagens mais elevadas entre todos os setores analisados no estudo.
Metade das empresas conseguiu travar o ataque antes da encriptação, mais do dobro dos 24% registados no ano anterior. Este dado aponta para melhorias nas capacidades de deteção e resposta, mas não elimina o impacto financeiro e operacional dos incidentes que conseguem avançar.
Mais de metade das organizações cujos dados foram encriptados acabaram por pagar o resgate, num total de 51%. O valor mediano pago situou-se nos 860 mil euros, abaixo da exigência inicial média, que rondou os 1,03 milhões de euros. Mesmo quando o resgate não é considerado, o custo médio de recuperação de um ataque continua elevado, fixando-se em 1,12 milhões de euros, apesar de representar uma redução de 24% face ao ano anterior.
Os prazos de recuperação também melhoraram. Cerca de 58% das empresas recuperaram totalmente em menos de uma semana, quando em 2024 esse valor era de 44%. Ainda assim, o impacto humano permanece significativo. Quase metade das organizações reportou aumento do stress nas equipas de TI e segurança, 44% sentiram maior pressão por parte da liderança e mais de um quarto indicou mudanças ao nível da gestão como consequência direta do ataque.
O relatório identifica também as fragilidades internas que continuam a facilitar os ataques, com destaque para a falta de especialização, referida por 42,5% das empresas, a existência de lacunas de segurança desconhecidas, apontadas por 41,6%, e a proteção insuficiente, mencionada por 41%. Em média, cada organização reconheceu três fatores internos que contribuíram para o incidente.
A análise operacional da Sophos ao longo dos últimos 12 meses identificou 99 grupos distintos de ransomware ativos contra o setor transformador, com destaque para grupos como Akira, Qilin e Play. Em mais de metade dos incidentes acompanhados pelas equipas de resposta a incidentes, os atacantes recorreram a táticas de dupla extorsão, combinando encriptação e ameaça de divulgação pública dos dados roubados.
Perante este cenário, importa que as empresas tenham uma abordagem estrutural à segurança, que passe pela correção das causas raiz das vulnerabilidades, proteção consistente de todos os endpoints, planeamento e testes regulares de resposta a incidentes, bem como monitorização contínua. Para organizações sem capacidade interna suficiente, o recurso a serviços de detecção e resposta geridas surge como uma opção para garantir vigilância e resposta permanente.
