O mundo registrou 4.217 ataques de ransomware no primeiro semestre de 2026 — média de 23 por dia, recorde absoluto segundo o rastreador da Comparitech. A cifra representa alta de 11% sobre o segundo semestre de 2025 e confirma uma aceleração ininterrupta: em dois anos a frequência quase dobrou, saltando de 13 para 23 ataques diários.

Pontos-chave

  • 4.217 ataques contabilizados de janeiro a junho de 2026, contra 3.809 no semestre anterior.
  • 23 invasões por dia em média — o número mais alto já registrado pela série.
  • 5,01 milhões de registros comprometidos somente nos ataques confirmados pelas vítimas.
  • Demanda mediana de resgate: US$ 150 mil (média de US$ 1,36 milhão).
  • Transporte lidera os saltos: +52% de ataques; manufatura segue como alvo número um.

Recorde histórico de ataques

A escalada não é rumor de bastidor. Os dados do relatório Ransomware Roundup H1 2026, publicado em 2 de julho pela Comparitech, mostram uma curva ascendente sem pausa. O primeiro semestre de 2024 fechou com 2.456 ataques (13 por dia). Um ano depois, o primeiro semestre de 2025 já somava 3.706 (20 por dia). Agora são 4.217 — e o ritmo só aumenta.

Desses 4.217 casos, apenas 484 foram confirmados publicamente pelas próprias organizações atingidas. Os outros 3.733 foram reivindicados pelos grupos criminosos em seus sites de vazamento, sem pronunciamento oficial das vítimas. Essa diferença é crucial: significa que o número real de empresas invadidas pode ser bem maior do que o mercado admite. Muitas preferem o silêncio ao constrangimento público e às obrigações legais de notificação.

O relatório também aponta que 5.019.204 registros de pessoas foram comprometidos só nos ataques confirmados. Os cinco maiores vazamentos do semestre aconteceram todos no Japão — não porque o país seja necessariamente o mais visado, mas porque seu sistema de notificação de incidentes é dos mais transparentes do mundo. O maior deles, na Nippon Telenet, expôs mais de 1 milhão de registros.

Os setores mais visados

A manufatura continua no topo da mira. Foram 822 ataques ao setor industrial no semestre — 22% de todos os ataques a empresas —, alta de 10% sobre o período anterior. Linhas de produção paradas significam perdas horárias enormes, o que pressiona a vítima a pagar rápido.

O salto mais expressivo veio do transporte: +52% de ataques. Logística, companhias aéreas e operadoras de carga viraram alvo frequente, refletindo a dependência digital crescente de cadeias de suprimento. Setores de saúde empresarial (laboratórios, farmacêuticas, faturadores) subiram 35%, o varejo cresceu 28% e a tecnologia, 23%. A educação foi a única exceção, com queda de 13%.

Setor Ataques em H1 2026 Variação vs. H2 2025
Manufatura 822 +10%
Serviços 609 estável
Varejo 326 +28%
Tecnologia 323 +23%
Finanças 257 estável
Transporte +52%

Esses números são corroborados por análises independentes. O Chain Store Age destacou o pico no varejo a partir dos mesmos dados da Comparitech, alertando que lojistas precisam tratar cibersegurança como despesa fixa — não como projeto eventual.

Gangues dominam o cenário

O crime cibernético de hoje é industrializado e tem marcas. A gangue Qilin liderou o semestre com 641 vítimas reivindicadas, seguida por The Gentlemen (464) e Akira (317). Mas junho trouxe uma virada: The Gentlemen assumiu 115 vítimas no mês, contra 78 da Qilin, destronando pela primeira vez a líder de longa data.

A mudança de liderança tem uma geografia própria. Enquanto 47% dos ataques da Qilin concentram-se nos Estados Unidos, apenas 17% dos da The Gentlemen atingem o país americano. Isso ajuda a entender por que os EUA viram uma queda de 8% nos ataques no semestre: a gangue ascendente simplesmente mira em outros lugares. A China registrou um salto de 540% (de 5 para 30 ataques), sinal de que o crime converge para onde há dinheiro digital e fiscalização ainda em construção.

O ranking de países mais atacados coloca Estados Unidos (1.832), Canadá (200), Alemanha (164), Reino Unido (157), Itália (131), França (117) e Espanha (100) no topo. América Latina não aparece entre os sete primeiros, mas isso reflete mais a falta de notificação obrigatória do que a ausência de ataques.

O preço de cada invasão

O semestre deixou resgates astronômicos. A maior demanda veio da gangue NetRunner, que pediu US$ 100 milhões à Nippon Medical School Musashi Kosugi Hospital, no Japão, em fevereiro de 2026. A escola médica recusou. Já o escritório de advocacia Weil, Gotshal & Manges, dos EUA, teria pagado entre US$ 18 milhões e US$ 20 milhões ao Silent Ransom Group em maio, conforme registrado no mesmo relatório — um dos poucos pagamentos confirmados.

A demanda mediana ficou em US$ 150 mil, com média puxada para US$ 1,36 milhão por casos extremos. Para empresas brasileiras de médio porte, isso significa um custo que pode liquidar meses de caixa. O FBI reforça há anos a mesma diretriz: pagar não garante recuperação dos dados e financia a próxima onda de ataques.

Como o Brasil se encaixa

Embora os EUA concentrem a maior fatia, o Brasil é a maior economia da América Latina e um dos mercados de pagamentos digitais mais ativos do mundo — exatamente o perfil que atrai operadores de ransomware. A ausência do país no topo do ranking da Comparitech não é conforto: é sintoma de subnotificação crônica. Muitas empresas brasileiras só descobrem a invasão quando os dados já aparecem em sites de vazamento.

O contexto regulatório também mudou. A LGPD obriga a comunicação de incidentes à ANPD, e a responsabilidade civil por vazamentos cresceu. Com 5 milhões de registros comprometidos só no que foi confirmado globalmente, qualquer empresa que manipule dados de clientes precisa encarar o ransomware como questão de continuidade de negócio — não de TI.

Para aprofundar a defesa voltada à realidade nacional, vale conferir como montar um SOC do zero para empresas brasileiras e entender por que um simples backup pode não ser suficiente para se recuperar de um ataque.

Como se proteger agora

As falhas exploradas pelos grupos criminosos raramente são exoticidades. A maioria das invasões bem-sucedidas começa em credenciais vazadas, softwares desatualizados ou engenharia social — vetores previsíveis e defendíveis. A alta recente também está ligada a brechas em ferramentas legítimas: o caso do BlueHammer, que transforma o antivírus do Windows em porta de entrada, mostra que até a linha de defesa pode virar alvo.

  • Backups offline e testados: mantenha cópia 3-2-1 e simule a restauração ao menos uma vez por trimestre. Criptografar o backup é essencial.
  • Autenticação multifator (MFA): impeça que uma senha roubada vire acesso total. Prefira MFA com chave física ou de aplicativo ao SMS.
  • Patch disciplinado: priorize correções de vulnerabilidades ativamente exploradas. Vinte e três ataques por dia não esperam.
  • Segmentação de rede: isole ambientes críticos para conter o movimento lateral depois de uma invasão inicial.
  • Treinamento e simulação: a maioria dos ataques entra por um clique. Pratique reconhecimento de phishing com a equipe.

A mensagem do relatório é direta: a curva não dá sinais de achatamento. Cada semestre bate o anterior. Para o leitor brasileiro, a pergunta certa não é se sua empresa será alvo, mas quando — e se a defesa já está pronta para responder nesse dia.

Referências