Relatórios recentes sobre ransomware na indústria manufatureira mostram uma queda expressiva na taxa de criptografia: os ataques que efetivamente chegaram a criptografar dados caíram de 74% em 2024 para 40% em 2025, a menor marca em cinco anos. Ao mesmo tempo, metade dos incidentes passou a ser interrompida antes da criptografia, mais que o dobro do observado no ano anterior, sinalizando que controles de detecção e resposta estão mais eficientes na “ponta visível” do ataque.
A queda na taxa de criptografia deve ser interpretada como um indicador de impacto final reduzido, e não necessariamente como evidência direta de menor taxa de intrusão. Indicadores de detecção e indicadores de impacto medem estágios distintos do ciclo de ataque e não são intercambiáveis.
A leitura apressada desses números levou muita liderança a concluir que “o problema do ransomware está diminuindo”, mas o quadro real é bem diferente. Em paralelo à queda da criptografia, cresceu o número de casos em que os invasores simplesmente roubam dados sensíveis e usam a ameaça de exposição pública, multas e perda de contratos como principal mecanismo de extorsão. Em 2025, 10% dos ataques à manufatura já foram de “extorsão pura”, sem qualquer criptografia, contra apenas 3% no ano anterior, e em 39% dos episódios que ainda envolvem criptografia também há roubo de dados.
Neste contexto, exfiltração não se limita à transferência massiva de dados para fora do ambiente, mas inclui atividades de staging, agregação, compressão e preparação de informações sensíveis, frequentemente realizadas com ferramentas legítimas do próprio sistema (living-off-the-land), antes da movimentação externa propriamente dita.
Em outras palavras, o ataque “bem‑sucedido” para o criminoso já não depende de paralisar o ambiente: basta exfiltrar propriedade intelectual, informações de clientes, contratos estratégicos ou dados de produção e chantagear a organização a partir daí. Em ambientes de manufatura, dados como fórmulas, parâmetros de produção, contratos de fornecimento e desenhos industriais frequentemente possuem valor estratégico maior do que a indisponibilidade temporária de sistemas, o que torna a exfiltração um vetor de extorsão particularmente eficaz. Essa virada faz com que indicadores focados apenas em criptografia contem apenas metade da história e deixem de capturar o que realmente determina o tamanho do prejuízo.
Análises recentes indicam que o padrão mais recorrente nos relatórios de incidentes cibernéticos deixou de ser a indisponibilidade de sistemas e passou a ser a exploração silenciosa de ambientes digitais, com ênfase em fraudes financeiras e ataques orientados a dados.
Esse movimento evidencia a vulnerabilidade de ecossistemas financeiros e transacionais não apenas a interrupções técnicas, mas, sobretudo, à exfiltração de informações e ao abuso de confiança em fluxos digitais legítimos.
Entre os temas mais frequentemente observados, destacam-se:
- Exploração de vulnerabilidades em sistemas de pagamento e integrações financeiras;
- Comprometimento de plataformas de e-commerce e cadeias de suprimento digitais;
- Campanhas de phishing altamente direcionadas e contextualizadas;
- Vazamentos de dados sensíveis utilizados como vetor de extorsão ou fraude subsequente;
- Fraudes em transações digitais viabilizadas por credenciais comprometidas ou acessos excessivos.
Esses eventos reforçam que o impacto financeiro e reputacional ocorre, em muitos casos, antes de qualquer ação visível, como indisponibilidade ou criptografia, ampliando de forma significativa o risco regulatório, contratual e operacional.
Diante desse cenário, torna-se crítico reforçar não apenas controles reativos, mas principalmente a detecção precoce, a correlação de sinais de pré-exfiltração e a governança de identidades, elementos centrais para reduzir o dwell time e limitar o potencial de prejuízo em ataques modernos.
Por que medir apenas criptografia virou um risco de negócio
Quando o ransomware era primordialmente sinônimo de criptografia, fazia sentido acompanhar métricas como “quantos ataques chegaram a cifrar dados” ou “quanto tempo levamos para restaurar sistemas”.
Hoje, com a combinação de exfiltração e extorsão, o impacto financeiro e reputacional passa a ocorrer antes do estágio em que o dado é bloqueado.
Em ataques modernos de ransomware, especialmente orientados à extorsão por dados, surge um estágio crítico de pré-impacto, situado entre a intrusão inicial e qualquer ação visível como criptografia. É nesse intervalo que ocorre a maior parte da coleta de credenciais, mapeamento de dados sensíveis e preparação para exfiltração.
Relatórios especializados indicam que, em 2025, a maioria dos incidentes de ransomware envolveu algum grau de exfiltração de dados antes da criptografia, transformando praticamente todo ataque em um vazamento em potencial. O aumento de ataques interrompidos antes da criptografia é consistente com maior capacidade de detecção e resposta, mas também com uma mudança deliberada de tática dos atacantes, que buscam maximizar retorno antes de gerar ruído operacional. Ambos os fatores devem ser considerados na análise. Além de aumentar a alavancagem dos criminosos, essa mudança amplia o escopo da crise: entra em cena o risco regulatório (por conta de legislações de proteção de dados), o risco contratual (cláusulas de SLA e confidencialidade) e o risco de danos irreversíveis à marca.
Ao mesmo tempo, a economia do crime também mudou: a média de demandas de resgate caiu cerca de 20% entre 2024 e 2025, de 1,5 milhão para 1,2 milhão de dólares, enquanto o percentual de organizações que aceitam pagar vem diminuindo, essa redução de pagamentos não indica menor pressão criminosa, mas sim a migração para modelos de chantagem baseados em dados roubados, inclusive com pressão indireta sobre fornecedores, parceiros e clientes, mesmo que aquelas que pagam tendam a desembolsar uma fração maior do valor exigido.
Isso indica que atacantes compensam a queda na proporção de pagamentos ampliando o uso de chantagem baseada em dados roubados, inclusive pressionando terceiros ligados à vítima principal, como fornecedores e clientes.
Se o board olha apenas para “menos dados criptografados” e “menos resgates pagos”, pode inferir que a estratégia atual é suficiente, quando na prática o risco real está migrando para um ponto que os KPIs tradicionais não capturam. Para a liderança, isso é crítico: significa que o indicador confortável pode estar mascarando uma superfície de ataque ainda ampla, dwell time elevado e um ambiente pronto para um vazamento de alto impacto.
O que muda nos KPIs de segurança em 2026
Diante desse cenário, o desafio não é só bloquear a criptografia, mas impedir que o atacante permaneça tempo suficiente no ambiente para localizar, agrupar e exfiltrar dados valiosos. Isso exige que os KPIs de segurança sejam recalibrados para acompanhar o ciclo completo do ataque, da intrusão inicial à movimentação lateral, escalada de privilégios e extração silenciosa de informações.
Algumas métricas passam a ser decisivas para uma visão madura de risco:
- KPI 1 – Evitar vazamento (não apenas criptografia): mais importante do que responder quantos ataques “chegaram a cifrar dados” é medir quantos avanços de invasão foram contidos antes da extração de informações sensíveis ou da criação de pacotes de dados suspeitos. Isso envolve cruzar alertas de movimentação lateral, compressão de grandes volumes de arquivos e conexões de saída anômalas, especialmente para destinos incomuns.
- KPI 2 – Reduzir o dwell time: estudos apontam que, em ambientes industriais, o intervalo entre a intrusão inicial e a ação de impacto pode variar de horas a semanas, dependendo do nível de monitoramento e resposta. Diminuir o tempo médio entre o primeiro sinal de comprometimento e a ação de contenção é crucial para impedir que o atacante colete credenciais privilegiadas e mapeie quais dados são mais lucrativos.
- KPI 3 – Cortar persistência e lateralidade cedo: o sucesso da extorsão por roubo de dados depende da capacidade do invasor de se mover lateralmente, acessar sistemas críticos e manter pontos de apoio resilientes no ambiente. Por isso, KPIs de “tempo até a remoção de backdoors e acessos persistentes” e “taxa de bloqueio de tentativas de escalada de privilégios” ganham peso em relação a métricas puramente reativas, como tempo de restauração de backup.
- KPI 4 – Visibilidade sobre contas e acessos: em muitos casos, o vetor de ataque passa por credenciais comprometidas, uso indevido de contas com altos privilégios ou excesso de acesso em identidades de usuários e aplicações. Medir a redução de acessos desnecessários, a porcentagem de contas privilegiadas protegidas por controles avançados e a frequência de revisões de direitos de acesso se torna fundamental para limitar o potencial de exfiltração
Ao reposicionar a discussão nessas dimensões, quem lidera segurança passa a falar a linguagem de risco que importa para a continuidade do negócio: menos tempo de invasor “solto” no ambiente, menos espaço para vazamento e menos oportunidades de chantagem, mesmo que a criptografia nunca aconteça.
Como levar a discussão de risco certa ao board
Para a liderança executiva, a diferença entre um ataque que “não chegou a criptografar nada” e um incidente de vazamento com repercussão pública é enorme, e é justamente nesse espaço que a estratégia de comunicação precisa evoluir.
Métricas como tempo de restauração de backup e percentual de ataques com criptografia permanecem relevantes, mas são insuficientes isoladamente, pois descrevem apenas a fase final do ataque e não capturam a exposição real a vazamento e chantagem.
Em vez de apresentar indicadores centrados em “incidentes evitados de ransomware clássico”, o relato ao board pode se estruturar em torno de três perguntas-chave: onde o ataque foi interrompido, que tipo de dado foi protegido e que potencial de crise foi neutralizado.
A identificação precoce de exfiltração exige correlação entre telemetria de endpoint, identidade, rede e criticidade do ativo, já que sinais isolados raramente são conclusivos.
Isso significa traduzir métricas técnicas em narrativas de negócio, como “quantas tentativas de exfiltração foram bloqueadas antes de atingir dados de clientes”, “quanto tempo reduzimos entre o primeiro sinal suspeito e a resposta efetiva” e “quantas contas privilegiadas foram reconfiguradas para impedir movimentação lateral”.
Essa abordagem dialoga diretamente com a forma como conselhos e diretoria avaliam risco: impacto operacional, regulatório, financeiro e reputacional.
Ao mesmo tempo, a estratégia precisa deixar claro que segurança não se resume à compra de ferramentas isoladas, mas à capacidade integrada de detectar, correlacionar e responder a comportamentos anômalos em múltiplas camadas.
No contexto de 2026, o que a organização precisa provar para o board é que consegue atuar no pré‑impacto: interromper o ciclo do ataque antes que uma investigação interna vire manchete, notificação regulatória ou ruptura de contratos críticos.
Esse alinhamento também ajuda a romper com a visão confortável de “painéis verdes” e a construir uma leitura contínua e realista dos riscos que evoluem diariamente. O foco deixa de ser apenas “quantos ataques não criptografaram dados” e passa a ser “o quanto conseguimos reduzir a probabilidade de exposição pública de informações que sustentam o negócio”.
Reduzindo dwell time e exfiltração em ataques ransomware
Na prática, mitigar extorsão por roubo de dados exige uma combinação precisa de detecção comportamental, controle de identidades e validação contínua das defesas, capacidades que o Cyber Fusion Center (CFC) da Asper, formado por time especializado de especialistas em cibersegurança, entrega de forma integrada para empresas com ambientes complexos como manufatura e operações críticas.
A detecção começa no endpoint com o CrowdStrike Falcon Complete, monitorado pelo time do CFC que vai além de assinaturas de malware e analisa comportamentos anômalos em tempo real: um processo legítimo que de repente começa a comprimir grandes volumes de dados ou se conectar a destinos incomuns dispara alertas imediatos. A média de início de resposta fica em minutos, contra horas ou dias que muitas organizações ainda levam para conter um incidente.
Mas identificar não basta se o atacante já tem margem para se mover. Por isso, o time do CFC reforça a gestão de identidade como novo perímetro, combinando CyberArk para proteger contas privilegiadas, com rotação automática de senhas e isolamento de seções críticas, e SailPoint para garantir que cada usuário tenha apenas o acesso estritamente necessário ao seu trabalho. Isso corta a capacidade de escalada e movimentação lateral que todo roubo de dados exige.
A gestão de exposição fecha o ciclo preventivo com Tenable One, onde os especialistas do CFC oferecem uma visão unificada da superfície de ataque, correlacionando vulnerabilidades, ativos críticos e caminhos prováveis até dados sensíveis. Assim, priorizam correções onde o risco de negócio é maior, não apenas pela gravidade técnica isolada.
Para validar a efetividade de todo esse conjunto de controles, o time do CFC, composto por especialistas em segurança, executa simulações contínuas de ataques reais, reproduzindo cenários de ameaça do mundo real. Essas atividades testam, de forma prática, a eficácia dos filtros de e-mail, gateways de segurança e controles de endpoint, avaliando se os mecanismos são capazes de conter vetores modernos de ransomware antes que atinjam o usuário final.
Dessa forma, garante-se que as defesas implementadas não sejam apenas teóricas, mas comprovadamente eficazes frente a táticas reais de pré-exfiltração e comprometimento.
Com metodologia própria baseada em frameworks como NIST e MITRE ATT&CK, o CFC da Asper transforma essas soluções em operações concretas que elevam os KPIs certos: redução de dwell time, contenção antes da exfiltração e postura de segurança alinhada ao risco real do negócio.
Menos criptografia, mais maturidade
No fim, o objetivo não é apenas responder a incidentes, mas construir um ciclo contínuo de antecipação, aprendizado e ajuste fino. Ao combinar operações especializadas, inteligência sobre identidades e leitura integrada de risco, a Asper contribui para elevar a maturidade digital das organizações e reduzir o espaço entre o primeiro sinal de ataque e a decisão que evita que o problema vire crise pública.
Em um cenário em que menos criptografia não significa menos crise, a diferença entre susto e manchete passa justamente pela capacidade de enxergar o ataque antes da exfiltração e agir com maturidade suficiente para não depender da sorte.
Em um cenário em que a criptografia deixa de ser o principal marcador de sucesso do ataque, maturidade em segurança passa a ser definida pela capacidade de interromper o ciclo antes da consolidação do acesso e da preparação do vazamento, reduzindo o potencial de extorsão mesmo quando nenhum sistema é bloqueado.
