Google: os lucros com ransomware estão diminuindo, mas os criminosos estão se adaptando à nova realidade

Especialistas do Google analisaram dados de incidentes de ransomware aos quais a Mandiant respondeu em 2025 e concluíram que os lucros gerais dessas operações estão em declínio. Essa tendência decorre da melhoria das capacidades de recuperação das organizações e de operações de aplicação da lei ou conflitos internos que perturbaram grupos anteriormente ativos.

Ainda assim, os agentes de ameaças estão se adaptando à redução das receitas. Abaixo estão as principais tendências de 2025, e o artigo fornece detalhes sobre as táticas e técnicas observadas em ataques direcionados a organizações em toda a região da Ásia-Pacífico, Europa e Américas.

📌 Em um terço dos incidentes de ransomware, o acesso inicial foi obtido através da exploração de vulnerabilidades em dispositivos de perímetro de rede, enquanto o phishing representou apenas 6% dos casos. Os exploits oferecem um ponto de entrada mais rápido e confiável — especialmente importante à medida que a lucratividade diminui.

📌 Enquanto a criptografia de dados costumava ser o principal meio de extorsão, em 2025 a exfiltração de dados foi observada em 77% dos ataques (acima de 57% em 2024). Isso indica que a criptografia está perdendo eficácia como alavanca: os backups permitem a recuperação, mas a exposição de dados confidenciais cria riscos que não podem ser facilmente mitigados posteriormente.

📌 Em 43% dos casos de 2025, os atacantes visaram infraestrutura de virtualização (acima de 29% em 2024). Muitos desses ataques foram parcialmente automatizados — anteriormente incomum para tais ambientes. Essa abordagem maximiza o impacto, pois comprometer um hypervisor permite a interrupção simultânea de múltiplos hosts virtuais.

Os pesquisadores observam que a queda dos lucros pode levar os agentes de ameaças a mudar de grandes empresas para alvos menores, usar táticas de extorsão mais agressivas e monetizar ainda mais o acesso existente — por exemplo, colaborando com corretores de acesso.

A queda dos lucros e o aumento da competição no mercado de ransomware estão forçando os atacantes a dimensionar suas operações e buscar novos modelos de monetização. Como resultado, mesmo uma infraestrutura de backup robusta não garante mais proteção total contra criminosos que se adaptam a um ambiente em rápida mudança. Isso sublinha a necessidade de uma abordagem abrangente para o endurecimento da infraestrutura; recomendações detalhadas estão disponíveis aqui.

💬 Discutir