Um relatório da Sophos revela que a indústria transformadora está a bloquear mais ataques de ransomware, mas os cibercriminosos intensificam o roubo de dados e a extorsão.

A indústria transformadora está a conseguir bloquear um número crescente de ataques de ransomware antes da encriptação de dados, mas os cibercriminosos estão a adaptar as suas estratégias, apostando cada vez mais no roubo de informação e em esquemas de extorsão. A conclusão consta do relatório Sophos State of Ransomware in Manufacturing and Production 2025, divulgado pela Sophos, com base num inquérito independente a 332 organizações do setor afetadas por ransomware no último ano.

Segundo o estudo, apenas 40% dos ataques resultaram em encriptação de dados, o valor mais baixo registado nos últimos cinco anos e uma descida acentuada face aos 74% verificados em 2024. Em paralelo, aumentaram os ataques baseados exclusivamente em extorsão, que já representam 10% dos incidentes, refletindo uma maior aposta dos atacantes no roubo de dados como forma de pressão sobre as organizações.

Apesar dos progressos na deteção precoce, o impacto financeiro mantém-se elevado. Entre as empresas cujos dados foram encriptados, 51% optou por pagar o resgate, com um valor mediano de cerca de 860 mil euros, abaixo da exigência média inicial, mas ainda significativo. O custo médio de recuperação de um ataque, excluindo o pagamento do resgate, desceu 24% para cerca de 1,12 milhões de euros, e 58% das empresas conseguiu recuperar totalmente em menos de uma semana.

O relatório destaca ainda que metade das organizações do setor conseguiu travar o ataque antes da encriptação, mais do dobro do registado no ano anterior, sinalizando uma melhoria clara nas capacidades de deteção e resposta. No entanto, o roubo de dados continua a ser uma preocupação crítica, tendo ocorrido em 39% dos casos em que houve encriptação, uma das taxas mais elevadas entre todos os setores analisados.

As causas internas continuam a desempenhar um papel relevante. A falta de especialização, lacunas de segurança desconhecidas e proteção insuficiente foram apontadas como fatores determinantes para o sucesso dos ataques. Em média, as organizações identificaram três fragilidades internas associadas a cada incidente.

“A indústria transformadora depende de sistemas altamente interligados, onde até uma breve interrupção pode afetar toda a cadeia de abastecimento”, afirmou Alexandra Rose, diretora de investigação de ameaças da Sophos Counter Threat Unit. Segundo a responsável, embora as taxas de encriptação tenham caído, “os custos de recuperação continuam elevados e o stress sobre as equipas técnicas e de liderança mantém-se significativo”, reforçando a necessidade de defesas em camadas e planos de resposta bem testados.

Nos últimos 12 meses, a unidade Sophos X-Ops identificou atividade de 99 grupos distintos de ransomware a atacar organizações do setor transformador, destacando-se grupos como Akira, Qilin e PLAY. Em mais de metade dos incidentes acompanhados pela equipa de resposta a incidentes da Sophos, os atacantes recorreram a táticas de dupla extorsão, combinando roubo e encriptação de dados com ameaças de divulgação pública.

O relatório conclui que, apesar da melhoria na prevenção, o ransomware continua a representar um risco estrutural para a indústria transformadora, exigindo investimento contínuo em resiliência, monitorização permanente e preparação operacional para reduzir o impacto financeiro e operacional dos ataques.