Na mesma semana em que um post no Reddit explodiu entre profissionais de defesa, um dado chamou atenção: os pagamentos de ransomware teriam caído em 2025, mas o volume de ataques continuou subindo. A leitura apressada é “estamos vencendo”. A leitura madura é outra: os criminosos estão mudando o modelo de negócio, e muita empresa segue jogando no escuro. Neste artigo, vamos destrinchar esse paradoxo e transformar o debate em plano prático de decisão para times de segurança e liderança.
O gatilho da pauta: o debate no Reddit que expôs a contradição
O ponto de partida desta pauta veio de uma discussão no r/cybersecurity: “Ransomware payments cratered in 2025, but attacks surged to record highs”. O autor reuniu dados amplamente repercutidos no setor: queda aproximada de 8% em pagamentos on-chain de ransomware (algo na faixa de US$ 820 milhões), ao mesmo tempo em que os ataques reivindicados em leak sites cresceram com força, inclusive com estimativas de +50% em volume público de vítimas.
Esse tipo de thread costuma virar barulho, mas aqui ela funcionou como bom termômetro do mercado. Profissionais experientes, de SOC a resposta a incidentes, descreveram a mesma sensação: menos “mega casos cinematográficos” e mais pressão distribuída, com campanhas constantes, foco em empresas médias e mais uso de extorsão por volume. Em outras palavras, menos glamour e mais eficiência operacional do lado atacante.
Quando uma discussão técnica converge com dados de inteligência e com o que equipes enxergam na prática, vale transformar em análise editorial. É exatamente o que faremos aqui: sair do headline e chegar a decisões executáveis.
O que os dados realmente sugerem (e o que não sugerem)
Há um erro recorrente no mercado: confundir queda de pagamento com queda de risco. Pagamento é só um dos resultados possíveis de um incidente. O risco empresarial inclui indisponibilidade, vazamento, impacto regulatório, danos reputacionais, custo jurídico e semanas de perda de produtividade. Um ataque pode não gerar pagamento e, ainda assim, gerar prejuízo severo.
Os dados recentes apontam para uma dinâmica mais fragmentada. Em vez de poucos grupos hiperdominantes, vemos ecossistema mais pulverizado, com atores menores, afiliados oportunistas e operações de curta duração. Isso dificulta atribuição, eleva ruído e pressiona equipes defensivas que já operam no limite.
Outro sinal importante: aumento do valor mediano de resgates em vários recortes públicos. Isso indica que os criminosos estão calibrando melhor a extração de valor por vítima, mesmo quando a taxa total de pagamento cai. Na prática, é um jogo de funil: mais tentativas, mais vítimas em pressão, menos pagadores, ticket médio maior onde o ataque “encaixa”.
Portanto, a narrativa correta não é “ransomware está morrendo”. A narrativa correta é: o mercado criminoso está se adaptando mais rápido do que muitas organizações estão ajustando sua postura de resiliência.
Ransomware virou cadeia de suprimentos criminal
A leitura moderna de ransomware não é “uma gangue fez tudo”. É um ecossistema: corretor de acesso inicial (Initial Access Broker), operador de malware, serviço de infraestrutura, lavagem de ativos, negociação e pressão pública em leak site. Essa modularização reduz barreira de entrada e aumenta escala de ataque.
Relatórios recentes da indústria reforçam que atividade de brokers de acesso pode anteceder ondas de extorsão. Em termos operacionais, isso significa que sinais fracos de hoje (credenciais vendidas, acessos RDP/VPN, exposição de appliance vulnerável) podem ser incidente crítico em poucas semanas.
Esse ponto muda totalmente o desenho defensivo. Se o ataque é uma cadeia, sua defesa também precisa ser: gestão de identidade, patching de borda, telemetria de endpoint, segmentação, backup testado e disciplina de resposta. Não existe “ferramenta mágica” que resolva isso isoladamente.
Por que mais empresas são atacadas mesmo com menor taxa de pagamento
Do ponto de vista econômico, a lógica é simples. Se a taxa de conversão cai, o atacante aumenta volume e melhora seleção de alvo. É o mesmo princípio de marketing agressivo, aplicado ao crime digital: mais campanhas, automação, foco em setores com maior probabilidade de interrupção crítica e menor maturidade de recuperação.
Empresas médias viram alvo preferencial porque combinam três características perigosas: dependência operacional alta de TI, capacidade limitada de resposta e governança ainda em evolução. Muitas vezes têm orçamento para ferramentas, mas não para operação contínua de segurança com nível de disciplina que o cenário exige.
Além disso, o modelo de dupla extorsão mantém poder de pressão. Mesmo quando a vítima decide não pagar pela chave de decriptação, o risco de exposição de dados sensíveis continua na mesa. Isso desloca a conversa de “restaurar sistemas” para “gerir crise de negócio”, com impactos legais e comerciais.
A ilusão do “não pagamos, logo vencemos”
Não pagar pode ser a decisão certa em muitos casos. Mas essa decisão só é sustentável quando a organização já construiu capacidade real de continuidade. Sem isso, o “não pagar” vira postura moral em PowerPoint e caos no operacional.
Uma empresa preparada costuma demonstrar, antes da crise, cinco evidências: inventário confiável de ativos críticos, backups imutáveis com teste de restauração em janela aceitável, segmentação que limita movimento lateral, gestão de privilégios com MFA resistente a phishing e plano de resposta exercitado com liderança executiva.
Sem essas camadas, a tendência é o incidente virar uma sequência previsível: detecção tardia, pânico interno, conflito entre jurídico/tecnologia/comercial, pressão por decisão em horas e recuperação lenta, cara e politicamente desgastante. Resultado: mesmo sem pagamento, o atacante “vence” ao impor custo e desorganização.
O que CISA e agências já deixaram claro (e muita empresa ignora)
As orientações de CISA, FBI e parceiros internacionais repetem fundamentos que ainda falham no campo: priorizar vulnerabilidades exploradas ativamente, treinar usuários para phishing realista, adotar MFA resistente a phishing, segmentar ambientes e ensaiar resposta com frequência. Nada disso é novo. O problema é execução inconsistente.
O guia #StopRansomware é didático ao tratar prevenção e resposta como um único programa. Não adianta endurecer perímetro e negligenciar recuperação. Não adianta ter playbook e nunca simular decisão com diretoria. Segurança madura é repetição disciplinada, não projeto pontual.
Outro ponto que merece destaque editorial: em incidentes de extorsão, tempo é variável de custo. Quanto mais a organização demora para classificar escopo, preservar evidência, conter propagação e comunicar com clareza, maior tende a ser a conta total do evento.
Um mini-caso recorrente em resposta a incidentes ajuda a visualizar isso. Em organizações que detectam lateralidade nas primeiras horas e isolam rapidamente identidades privilegiadas, a recuperação costuma seguir um roteiro duro, porém controlável: priorização de sistemas críticos, restauração em ondas e comunicação previsível para clientes e parceiros. Já em ambientes sem telemetria suficiente, o time gasta dias validando o que foi comprometido, enquanto áreas de negócio tomam decisões às cegas. A diferença financeira entre esses dois cenários não vem de “sorte”; vem de preparo operacional. Esse é o trade-off central de 2026: investir antes em capacidade de resposta ou pagar depois em interrupção prolongada.
Plano prático de 30 dias para reduzir risco de extorsão
Se sua empresa quer sair da discussão abstrata e agir agora, comece com um sprint de 30 dias orientado a redução de impacto. O objetivo não é “ficar perfeito”, e sim fechar lacunas que custam caro quando o ataque acontece.
- Dia 1-5: mapear 20 ativos mais críticos para operação e receita; definir dono de cada ativo.
- Dia 1-10: revisar exposição de borda (VPN, firewall, RDP, appliances) e priorizar correção de CVEs conhecidas como exploradas.
- Dia 5-12: aplicar MFA resistente a phishing nas contas administrativas e nos acessos remotos prioritários.
- Dia 8-15: validar política de privilégios mínimos e remover acessos legados sem justificativa.
- Dia 10-18: testar restauração de backup em ambiente isolado com meta de tempo objetiva (RTO).
- Dia 12-20: instrumentar logs essenciais para detecção de movimento lateral e abuso de credencial.
- Dia 15-24: conduzir tabletop com liderança (TI, jurídico, RH, comunicação e diretoria).
- Dia 20-30: fechar plano de comunicação de crise e critérios de escalonamento com contatos externos.
Esse sprint não elimina risco, mas muda o jogo: reduz tempo de decisão, melhora capacidade de contenção e evita que a empresa entre em colapso operacional na primeira semana de crise.
Checklist de decisão para conselho e diretoria
Use este checklist em reunião executiva. Se houver muitos “não”, você não tem problema de ferramenta; tem problema de governança de risco.
- Temos uma lista validada de ativos críticos e dependências de negócio?
- Conseguimos restaurar sistemas prioritários dentro de uma janela testada nos últimos 90 dias?
- As contas com maior privilégio usam MFA resistente a phishing?
- Existe processo formal para correção acelerada de vulnerabilidades exploradas ativamente?
- Temos playbook de extorsão com decisão, comunicação e critérios jurídicos claros?
- Já simulamos um incidente com participação real da liderança, não apenas do time técnico?
- Conhecemos nossos terceiros críticos e o impacto de interrupção deles no nosso negócio?
- Nossa cobertura de logs e EDR permite investigar lateralidade e exfiltração com rapidez?
- Temos acordos prévios com apoio externo (forense, jurídico, comunicação) para crise?
- Sabemos exatamente quem autoriza cada decisão nas primeiras 24 horas?
FAQ: dúvidas que surgem toda semana em incidentes
1) Se os pagamentos caíram, posso reduzir investimento em segurança?
Não. Queda de pagamento não equivale a queda de impacto. Ataques continuam aumentando e custos indiretos seguem altos.
2) Vale pagar resgate para ganhar tempo?
É decisão de crise, não de rotina. Mesmo com pagamento, não há garantia plena de recuperação nem de não vazamento posterior. A melhor estratégia é reduzir dependência dessa escolha.
3) Empresa média está mais segura por ser “menor”?
Pelo contrário. Muitas são alvos convenientes por menor maturidade de resposta e alta pressão por continuidade.
4) Backups resolvem tudo?
Backups ajudam muito, desde que estejam íntegros, isolados e testados. Backup sem teste é esperança, não controle.
5) Qual o primeiro indicador de que estamos vulneráveis?
Credenciais expostas, superfície de borda desatualizada e privilégios excessivos costumam aparecer antes dos incidentes mais caros.
6) O que muda com MFA resistente a phishing?
Reduz drasticamente ataques baseados em roubo de sessão e credenciais, especialmente contra contas administrativas e acesso remoto.
Conclusão editorial: menos manchete, mais execução disciplinada
O debate iniciado no Reddit acerta ao mostrar a contradição do momento: pagamentos podem cair enquanto ataques sobem. Mas a conclusão útil para quem lidera segurança é objetiva: ransomware não está recuando; está se reorganizando. Quem responde com projeto pontual vira estatística. Quem responde com programa contínuo de resiliência reduz impacto, melhora tempo de reação e preserva confiança do negócio.
Se você precisa priorizar uma única decisão nesta semana, escolha esta: transformar segurança de “centro de custo reativo” em capacidade operacional testada. No cenário atual, vantagem competitiva não é prometer blindagem total. É cair menos, recuperar mais rápido e decidir melhor sob pressão.
Referências
- Reddit (r/cybersecurity) — “Ransomware payments cratered in 2025, but attacks surged to record highs” (thread e discussão técnica).
- Chainalysis — “Total Ransomware Payments Stagnate for Second Consecutive Year, While Attacks Escalate” (Crypto Crime Report 2026).
- CISA — #StopRansomware Guide (prevenção e resposta a ransomware e extorsão de dados).
- CISA/FBI/MS-ISAC — Advisory #StopRansomware: LockBit 3.0 (TTPs e mitigação).
- Verizon — 2025 Data Breach Investigations Report (tendências de violações e pressão em cadeias de terceiros).