Menos criptografia, mais vazamento: por que o KPI de ransomware enganou todos em 2025
Relatórios recentes sobre ransomware na indústria manufatureira mostram uma queda expressiva na taxa de criptografia: os ataques que efetivamente chegaram a criptografar dados caíram de 74% em 2024 para 40% em 2025, a menor marca em cinco anos. Ao mesmo tempo, metade dos incidentes passou a ser interrompida antes da criptografia, mais que o dobro do observado no ano anterior, sinalizando que controles de detecção e resposta estão mais eficientes na “ponta visível” do ataque. A queda na taxa de criptografia deve ser interpretada como um indicador de impacto final reduzido, e não necessariamente como evidência direta de menor taxa de intrusão. Indicadores de detecção e indicadores de impacto medem estágios distintos do ciclo de ataque e não são intercambiáveis. A leitura apressada desses números levou muita liderança a concluir que “o problema do ransomware está diminuindo”, mas o quadro real é bem diferente. Em paralelo à queda da criptografia, cresceu o número de casos em que os invasores simplesmente roubam dados sensíveis e usam a ameaça de exposição pública, multas e perda de contratos como principal mecanismo de extorsão. Em 2025, 10% dos ataques à manufatura já foram de “extorsão pura”, sem qualquer criptografia, contra apenas 3% no ano anterior, e em 39% dos episódios que ainda envolvem criptografia também há roubo de dados. Neste contexto, exfiltração não se limita à transferência massiva de dados para fora do ambiente, mas inclui atividades de staging, agregação, compressão e preparação de informações sensíveis, frequentemente realizadas com ferramentas legítimas do próprio sistema (living-off-the-land), antes da movimentação externa propriamente dita. Em outras palavras, o ataque “bem‑sucedido” para o criminoso já não depende de paralisar o ambiente: basta exfiltrar propriedade intelectual, informações de clientes, contratos estratégicos ou dados de produção e chantagear a organização a partir daí. Em ambientes de manufatura, dados como fórmulas, parâmetros de produção, contratos de fornecimento e desenhos industriais frequentemente possuem valor estratégico maior do que a indisponibilidade temporária de sistemas, o que torna a exfiltração um vetor de extorsão particularmente eficaz. Essa virada faz com que indicadores focados apenas em criptografia contem apenas metade da história e deixem de capturar o que realmente determina o tamanho do prejuízo. Análises recentes indicam que o padrão mais recorrente nos relatórios de incidentes cibernéticos deixou de ser a indisponibilidade de sistemas e passou a ser a exploração silenciosa de ambientes digitais, com ênfase em fraudes financeiras e ataques orientados a dados. Esse movimento evidencia a vulnerabilidade de ecossistemas financeiros e transacionais não apenas a interrupções técnicas, mas, sobretudo, à exfiltração de informações e ao abuso de confiança em fluxos digitais legítimos. Entre os temas mais frequentemente observados, destacam-se: Esses eventos reforçam que o impacto financeiro e reputacional ocorre, em muitos casos, antes de qualquer ação visível, como indisponibilidade ou criptografia, ampliando de forma significativa o risco regulatório, contratual e operacional. Diante desse cenário, torna-se crítico reforçar não apenas controles reativos, mas principalmente a detecção precoce, a correlação de sinais de pré-exfiltração e a governança de identidades, elementos centrais para reduzir o dwell time e limitar o potencial de prejuízo em ataques modernos. Por que medir apenas criptografia virou um risco de negócio Quando o ransomware era primordialmente sinônimo de criptografia, fazia sentido acompanhar métricas como “quantos ataques chegaram a cifrar dados” ou “quanto tempo levamos para restaurar sistemas”.Hoje, com a combinação de exfiltração e extorsão, o impacto financeiro e reputacional passa a ocorrer antes do estágio em que o dado é bloqueado. Em ataques modernos de ransomware, especialmente orientados à extorsão por dados, surge um estágio crítico de pré-impacto, situado entre a intrusão inicial e qualquer ação visível como criptografia. É nesse intervalo que ocorre a maior parte da coleta de credenciais, mapeamento de dados sensíveis e preparação para exfiltração. Relatórios especializados indicam que, em 2025, a maioria dos incidentes de ransomware envolveu algum grau de exfiltração de dados antes da criptografia, transformando praticamente todo ataque em um vazamento em potencial. O aumento de ataques interrompidos antes da criptografia é consistente com maior capacidade de detecção e resposta, mas também com uma mudança deliberada de tática dos atacantes, que buscam maximizar retorno antes de gerar ruído operacional. Ambos os fatores devem ser considerados na análise. Além de aumentar a alavancagem dos criminosos, essa mudança amplia o escopo da crise: entra em cena o risco regulatório (por conta de legislações de proteção de dados), o risco contratual (cláusulas de SLA e confidencialidade) e o risco de danos irreversíveis à marca. Ao mesmo tempo, a economia do crime também mudou: a média de demandas de resgate caiu cerca de 20% entre 2024 e 2025, de 1,5 milhão para 1,2 milhão de dólares, enquanto o percentual de organizações que aceitam pagar vem diminuindo, essa redução de pagamentos não indica menor pressão criminosa, mas sim a migração para modelos de chantagem baseados em dados roubados, inclusive com pressão indireta sobre fornecedores, parceiros e clientes, mesmo que aquelas que pagam tendam a desembolsar uma fração maior do valor exigido.Isso indica que atacantes compensam a queda na proporção de pagamentos ampliando o uso de chantagem baseada em dados roubados, inclusive pressionando terceiros ligados à vítima principal, como fornecedores e clientes. Se o board olha apenas para “menos dados criptografados” e “menos resgates pagos”, pode inferir que a estratégia atual é suficiente, quando na prática o risco real está migrando para um ponto que os KPIs tradicionais não capturam. Para a liderança, isso é crítico: significa que o indicador confortável pode estar mascarando uma superfície de ataque ainda ampla, dwell time elevado e um ambiente pronto para um vazamento de alto impacto. O que muda nos KPIs de segurança em 2026 Diante desse cenário, o desafio não é só bloquear a criptografia, mas impedir que o atacante permaneça tempo suficiente no ambiente para localizar, agrupar e exfiltrar dados valiosos. Isso exige que os KPIs de segurança sejam recalibrados para acompanhar o ciclo completo do ataque, da intrusão inicial à movimentação lateral, escalada de privilégios e extração silenciosa de informações. Algumas métricas passam a ser decisivas para uma visão
