Relatório da seguradora Resilience revela que 65% das reclamações de extorsão no segundo semestre de 2025 não envolviam criptografia de dados. O roubo de dados superou o ransomware tradicional como principal método de extorsão. Além disso, 30-40% das vítimas que pagaram ainda tiveram seus dados vazados publicamente.
Por que a tática mudou
O relatório da Resilience mostra uma mudança drástica no comportamento dos grupos de ransomware. No primeiro semestre de 2025, 49% das reclamações eram de extorsão sem criptografia. No segundo semestre, esse número saltou para 65%. Ao final do ano, apenas 13% dos ataques usavam criptografia isoladamente.
O motivo é simples: com o avanço das soluções de backup e recuperação, criptografar dados tornou-se menos efetivo. Organizations podem restaurar sistemas a partir de backups, frustrando a principal alavanca do atacante. Roubar dados e ameaçar publicá-los é mais rápido, silencioso e dispensa a complexidade técnica de operações de criptografia em larga escala.
Segundo Nick Harris, CISO da seguradora Assured, os dados de sinistros refletem essa mesma tendência. “Conforme as organizações melhoram backup e recuperação, a criptografia torna-se um meio menos efetivo de extorsão”, afirmou. O roubo de dados oferece aos atacantes uma rota mais rápida e de menor risco para monetização.
Pagamento não garante proteção
Um dos achados mais relevantes do relatório é a taxa de falha na supressão de dados. Entre as organizações que pagaram para impedir o vazamento, 30-40% tiveram os dados expostos mesmo assim. A diferença em relação a quem não pagou (40-50%) é marginal.
“Pagar um resgate por uma chave de descriptografia é uma transação com resultado verificável: a chave funciona ou não”, observa o relatório. “Pagar por supressão de dados é outra coisa — um pagamento por uma promessa de um criminoso de que a cópia digital foi deletada, sem como confirmar a alegação.”
O autor do relatório, Jud Dressler, da Resilience, alerta que pagar pode ainda marcar a organização como alvo para ataques futuros, sinalizando disposição para negociar. Casos recentes de ransomware contra infraestruturas críticas reforçam a complexidade dessa decisão.
| Métrica | 1º semestre 2025 | 2º semestre 2025 |
|---|---|---|
| Extorsão sem criptografia | 49% | 65% |
| Ataques só com criptografia | — | 13% |
| Roubo de dados (isolado ou combinado) | — | 87% |
| Vazamento após pagamento | 30–40% | |
| Vazamento sem pagamento | 40–50% | |
Crescente onda de extorsão
Um relatório de janeiro de 2026 apontou quase 1.500 incidentes em 2025 que usaram exclusivamente roubo de dados para extorsão, contra apenas 28 no ano anterior — um crescimento de mais de 50 vezes. A Arctic Wolf documentou crescimento de 11 vezes em incidentes de extorsão por dados. A tendência é alimentada pelo aparecimento de grupos dedicados exclusivamente à exfiltração, sem necessidade de desenvolver ferramentas de criptografia.
Como reduzir a exposição
Diante deste cenário, a Resilience recomenda ações específicas para reduzir o risco de extorsão:
- Priorizar ferramentas de prevenção de perda de dados (DLP) que interceptem a exfiltração antes que ela ocorra, em vez de focar apenas em recuperação
- Adotar arquitetura zero trust para limitar o raio de comprometimento quando uma identidade é violada
- Desenvolver um framework de decisão prévio para o cenário de pagamento de resgate, envolvendo equipe jurídica, liderança executiva e retentor de resposta a incidentes
- Armazenar apólices de seguro fora da rede principal, onde atacantes não possam acessá-las para estimar o valor do resgate
- Realizar simulações e exercícios de mesa que testem especificamente os pontos de decisão em caso de extorsão por dados