Em fevereiro de 2025, o Brasil registrou um recorde histórico: mais de 960 ataques de ransomware em um único mês, segundo relatório da SonicWall. O número impressiona, mas o que mais chama atenção é o perfil das vítimas. Grandes empresas, com tecnologias avançadas e times internos robustos de TI, estão entre os principais alvos.
Esse cenário escancara um paradoxo preocupante: porque organizações altamente estruturadas continuam sendo vulneráveis a sequestros digitais? Neste artigo analisamos essa nova realidade e mostramos por que a aparência de segurança pode ser mais perigosa do que a própria exposição.
O crescimento do ransomware: Uma epidemia silenciosa
Nos últimos anos, o ransomware deixou de ser uma ameaça pontual para se tornar uma epidemia digital. O aumento de 126% no volume global de ataques nos primeiros meses de 2025, conforme apontado pela SonicWall e divulgado pelo TecMundo, revela uma tendência clara: o crime cibernético está mais organizado, sofisticado e agressivo. No Brasil, que figura entre os países mais afetados, grandes corporações têm sido alvos recorrentes, com ataques que paralisam operações inteiras, sequestram dados críticos e geram perdas milionárias. A profissionalização dos grupos criminosos e o uso de ransomware como serviço (RaaS) ampliaram o alcance e a frequência das ofensivas, tornando cada empresa um possível alvo em potencial.
Ransomware como serviço (RaaS): o modelo que democratizou o cibercrime
Uma das principais razões para o crescimento acelerado do ransomware em 2025 é o modelo conhecido como Ransomware as a Service (RaaS). Plataformas criminosas passaram a oferecer kits completos para lançamento de ataques, com interfaces amigáveis, suporte técnico, atualizações constantes e até programas de afiliação. Isso permitiu que indivíduos com pouco ou nenhum conhecimento técnico se tornassem operadores de ransomware em questão de horas. Segundo dados da Digital Recovery, cerca de 60% dos ataques de ransomware registrados em 2025 têm origem em estruturas de RaaS, tornando essa modalidade o principal vetor da nova onda de sequestros digitais.
Os grupos mais perigosos em atividade global
Entre os grupos mais ativos e temidos do ano estão LockBit 3.0, BlackCat (ALPHV) e Cl0p. O LockBit sozinho foi responsável por mais de 1.400 ataques somente no primeiro trimestre de 2025, conforme relatório do BuiltIn. Operando com táticas empresariais, esses grupos oferecem suporte técnico às vítimas, canais de negociação via chat, cronômetros de vazamento e estratégias de dupla extorsão. Ao mesmo tempo em que criptografam dados e paralisam os sistemas, ameaçam expor as informações em fóruns públicos — dobrando o impacto do ataque.
América Latina no radar do cibercrime
O relatório da SonicWall, repercutido pelo IT Forum, indica que a América Latina registrou o maior crescimento proporcional de ataques de ransomware em 2025. O Brasil se destacou negativamente, com mais de 4.000 ataques acumulados apenas no primeiro trimestre. Fatores como infraestrutura digital heterogênea, legislações em evolução e baixa maturidade em governança de segurança tornam a região altamente vulnerável. O foco de atuação dos grupos criminosos tem migrado de países da Europa para mercados latino-americanos, onde a taxa de sucesso e o valor dos resgates têm se mostrado mais atrativos.
Vetores de entrada: Onde está o verdadeiro risco?
A engenharia dos ataques segue padrões já conhecidos, mas que continuam incrivelmente eficazes. O que mudou em 2025 foi a sofisticação na execução, o uso de automação e a capacidade dos criminosos de orquestrar múltiplas técnicas em cadeia. Os vetores de entrada, antes tratados como pontos isolados, hoje fazem parte de estratégias integradas, que combinam engenharia social, exploração técnica e persistência avançada. A falsa sensação de segurança, alimentada por uma infraestrutura aparentemente sob controle, segue sendo o principal ponto cego de muitas empresas.
Phishing evoluído: a manipulação invisível
Em 2025, o phishing segue como o vetor de ataque número um. Mas o que mudou foi sua complexidade. Segundo o relatório da IBCybersecurity, ataques de phishing agora utilizam técnicas de inteligência artificial generativa para criar e-mails altamente personalizados, simulando comunicações internas com perfeição. Há casos em que o criminoso utiliza dados de redes sociais e vazamentos anteriores para replicar padrões de escrita e assinaturas de executivos reais. A engenharia social deixou de ser “simples enganação” — ela virou manipulação cognitiva sofisticada.
Exploração de vulnerabilidades conhecidas (mas ignoradas)
Falhas em softwares desatualizados e sistemas sem patch continuam abrindo portas silenciosas para invasores. Muitas dessas vulnerabilidades já têm CVEs catalogadas há meses, mas seguem sem correção por falta de processos internos, priorização equivocada ou incompatibilidades entre sistemas. Em especial, o aumento de integrações com SaaS e plataformas legadas cria pontes frágeis de segurança. A SonicWall apontou que mais de 40% dos ataques registrados em 2025 exploraram brechas conhecidas e não corrigidas — o que demonstra um problema estrutural, não tecnológico.
Ataques via RDP e credenciais comprometidas
O Remote Desktop Protocol (RDP) continua sendo uma porta de entrada favorita dos atacantes, especialmente em empresas com ambientes híbridos ou políticas de acesso remoto mal estruturadas. Muitas vezes, acessos RDP ficam expostos na internet pública ou protegidos por senhas fracas. Além disso, vazamentos de credenciais em repositórios públicos (como leaks de fóruns ou bancos de dados vendidos no dark web) alimentam ataques de credential stuffing — onde robôs testam automaticamente combinações de login e senha em larga escala. Em 2025, esse tipo de ataque cresceu 38% em relação ao ano anterior, segundo o relatório da Digital Recovery.
O fator humano ainda é o elo mais frágil
Mesmo com firewalls, EDRs e autenticação multifator, o fator humano segue como vetor crítico. Cargas de trabalho elevadas, distração, pressa e falta de treinamento criam um ambiente onde o erro humano se torna inevitável. Ataques bem-sucedidos geralmente envolvem a colaboração (involuntária) de um funcionário. Seja clicando em um link, compartilhando um arquivo ou ignorando um alerta de sistema, o usuário final ainda é o elo mais explorado pelos cibercriminosos. Empresas que não treinam continuamente sua equipe estão, na prática, investindo em blindagem com a porta destrancada.
Os impactos estratégicos para empresas de grande porte
O impacto do ransomware em grandes corporações vai muito além da questão técnica. Em 2025, a natureza dos ataques se tornou mais destrutiva, e o foco dos criminosos deixou de ser apenas o resgate financeiro. A nova geração de ofensivas cibernéticas visa paralisar operações críticas, chantagear a reputação das empresas e, em muitos casos, derrubar a confiança do mercado. Para uma organização com estrutura complexa, qualquer minuto de inatividade pode representar perdas milionárias — e danos que transcendem o ambiente digital.
Paralisação operacional em cadeias críticas
Empresas de grande porte operam com alta interdependência entre sistemas. Quando o ransomware entra, ele raramente afeta apenas um setor. O que se vê, cada vez mais, são paralisações em efeito dominó. Um sistema de ERP comprometido pode travar logística, RH, financeiro e atendimento ao cliente simultaneamente. Segundo o relatório da Veeam 2025 Data Protection Trends, 76% das grandes empresas que sofreram ataques levaram mais de 5 dias úteis para restabelecer suas operações principais. Para setores como saúde, energia ou transporte, esse tempo é catastrófico.
Vazamento e exposição de dados sensíveis
Os ataques atuais utilizam a estratégia de dupla extorsão. Não basta criptografar os dados — os invasores também os exfiltram e ameaçam divulgá-los publicamente. Isso cria um novo nível de pressão sobre a vítima, pois não se trata apenas de recuperação de sistemas, mas de preservação da reputação. Dados financeiros, informações de clientes, contratos e e-mails estratégicos se tornam moedas de chantagem. Em 2025, 63% das empresas atacadas foram coagidas a pagar o resgate apenas para evitar exposição pública, segundo o BuiltIn.
Prejuízos financeiros além do resgate
O valor do resgate, por si só, já costuma ser significativo — variando de R$ 500 mil a mais de R$ 20 milhões. Mas o custo total do incidente vai muito além. Envolve contratação emergencial de especialistas, multas por descumprimento de LGPD, processos judiciais, renegociação com fornecedores e investimentos corretivos pós-crise. A SonicWall aponta que o custo médio total de um ataque para empresas brasileiras de grande porte em 2025 gira em torno de R$ 13 milhões, considerando perdas operacionais e jurídicas combinadas.
A confiança do mercado como ativo em risco
Empresas listadas na bolsa ou que atuam em mercados regulados precisam prestar contas não só ao cliente, mas a conselhos de administração, investidores e órgãos reguladores. Um ataque bem-sucedido pode derrubar ações, comprometer aquisições e expor falhas de governança. A mera percepção de fragilidade digital já é suficiente para minar relações comerciais. Em muitos casos, o custo reputacional supera o prejuízo financeiro direto. Como afirma o Gartner, “no futuro próximo, empresas serão avaliadas não só pela lucratividade, mas pela sua capacidade de prevenir e responder a ataques digitais”.
A ilusão da segurança aparente
No universo corporativo, poucos riscos são tão perigosos quanto aquele que não é percebido. E é justamente essa a essência da ilusão que permeia grande parte das estruturas de segurança digital hoje: a crença de que tudo está bem porque os relatórios assim indicam.
Empresas investem pesado em soluções de segurança, constroem dashboards sofisticados, auditam processos, assinam relatórios de conformidade. Mas, em muitos casos, isso apenas reforça uma falsa sensação de controle. Quando os painéis estão verdes, as equipes relaxam. Quando os sistemas não alertam, presume-se que nada está acontecendo. Só que, em 2025, os ataques acontecem exatamente nesse vácuo de vigilância real.
A segurança visível — aquela que aparece em relatórios ou apresentações — pode não refletir a segurança efetiva. A maior parte dos ataques bem-sucedidos em ambientes corporativos neste ano, segundo dados da IBCybersecurity, ocorreu em ambientes considerados “maduros” e “compliance-ready”. Ou seja: a maturidade percebida não está impedindo o risco.
Isso acontece porque muitas organizações confundem ferramenta com estratégia. Um antivírus de ponta não garante proteção se não estiver corretamente configurado. Um sistema de backup pode falhar se não for testado com regularidade. Um firewall mal segmentado pode se tornar invisível para o atacante. E tudo isso pode acontecer enquanto os dashboards seguem exibindo luzes verdes.
A verdadeira segurança não está no número de soluções implementadas, mas na capacidade de orquestrar, integrar e interpretar sinais dispersos. Exige vigilância constante, postura ativa e uma cultura que trata segurança não como um “status”, mas como uma prática viva — parte da operação, todos os dias.
Como fortalecer a postura contra o ransomware em 2025
Para enfrentar essa realidade, é preciso ir além das práticas básicas. Uma política de segurança sólida parte da adoção do modelo Zero Trust — onde nenhum acesso é concedido automaticamente, e cada solicitação é verificada em tempo real. Isso impede que credenciais comprometidas se convertam em invasões completas.
Backups não podem ser apenas rotina: precisam ser testados com frequência, isolados da rede principal e protegidos contra modificações. Simulações de ataques, conhecidas como Breach and Attack Simulation (BAS), ajudam a validar defesas em cenários realistas. E mais do que monitorar, é essencial correlacionar eventos, analisar comportamentos e responder com velocidade.
A educação contínua também é fundamental. Treinamentos regulares, simulações de phishing e cultura de vigilância digital devem fazer parte da rotina de todos os colaboradores, inclusive da alta liderança. A postura estratégica diante da segurança cibernética precisa ser transversal à operação.
O papel do SOC na nova realidade de cibersegurança
Dentro desse novo paradigma, os Security Operations Centers (SOCs) tradicionais já não são suficientes. A resposta está na evolução desses centros para estruturas que vão além do monitoramento. O Cyber Fusion Center da Asper exemplifica esse novo modelo. Ele integra análise comportamental por inteligência artificial, correlação de logs em tempo real, resposta automatizada e equipes multidisciplinares especializadas.
O diferencial é a proatividade. Em vez de reagir ao alarme, o time da Asper identifica padrões de risco, configurações perigosas e movimentos anômalos antes mesmo que o ataque aconteça. Essa capacidade de antecipação não depende apenas de tecnologia, mas de uma combinação entre metodologia, maturidade de processos e experiência acumulada em cenários reais de crise.
As integrações com soluções como Falcon (CrowdStrike), SailPoint, Tenable, Veracode e CyberArk permitem que ações sejam tomadas em segundos — isolando máquinas, revogando acessos e protegendo ativos estratégicos. O centro atua como uma extensão do time do cliente, entregando visibilidade completa do ambiente e capacidade de ação coordenada, mesmo em contextos de alta complexidade.
Além disso, o tempo de resposta médio da Asper é inferior a 10 minutos, com remediação remota em até 60. Essa agilidade é essencial para conter o ransomware ainda no estágio inicial de disseminação — antes que ele comprometa camadas críticas da operação e afete a continuidade do negócio.
Para descobrir como o Cyber Fusion Center da Asper atua na prática, adaptado à realidade e riscos do seu ambiente, basta clicar no botão abaixo:
O novo paradigma da ciber segurança
O ransomware deixou de ser uma exceção estatística. Em 2025, ele representa uma das maiores ameaças à continuidade operacional, reputação e governança de grandes empresas. Tratar cibersegurança como uma função técnica isolada já não é mais viável — ela precisa estar integrada à estratégia de negócio, ao conselho, à cultura.
O novo paradigma exige um olhar que combina tecnologia, contexto e ação. Não basta ter ferramentas de última geração se não houver processos sólidos, validação contínua e capacidade de resposta real. Os ataques mais devastadores não acontecem pela falta de investimento, mas pela falsa sensação de que tudo está sob controle.
Segurança digital, hoje, é sobre antecipação. É sobre tomar decisões antes que o alarme dispare, antes que o backup precise ser acionado, antes que os clientes descubram pelo noticiário. O risco é invisível, mas o impacto é tangível.
Nesse cenário, empresas que adotam uma abordagem passiva caminham na contramão da realidade. Aquelas que enxergam a segurança como parte essencial da sua inteligência operacional são as que vão continuar de pé — enquanto outras assistem, em tempo real, à perda de controle.
