O mais recente relatório da NCC Group revela que o setor industrial foi o mais visado e alerta para a “industrialização do ransomware”, impulsionada por ferramentas de IA. 2025 registou quase 8.000 incidentes a nível global. 78% de todos os ataques ocorreram na América do Norte e na Europa.
2025 foi um ano recorde para ataques de ransomware* em todo o mundo. De acordo com o mais recente relatório de ciberameaças da NCC Group, especialista em cibersegurança, foram registados 7.874 ataques em 2025, um aumento de 50% face ao ano anterior, evidenciando a rápida intensificação do cenário global de cibercrime.
Os dados destacam que os meses de fevereiro e dezembro concentraram níveis particularmente elevados de atividade, refletindo uma tendência crescente de campanhas de ransomware de alto impacto e capazes de disromper as operações em setores críticos e organizações com cadeias de abastecimento complexas.
Mudanças entre os principais grupos de cibercrime
Entre os grupos de ransomware mais ativos em 2025 destacou-se o Qilin, responsável por 1.022 ataques (13%) a nível global. Seguiram-se os grupos Akira, com 755 ataques, e CL0P, com 517 incidentes.
Comparativamente a 2024, verificou-se também uma forte mudança no panorama de cibercriminosos. O grupo LockBit 3.0, anteriormente um dos mais prolíficos, saiu do top 10 após ações coordenadas das autoridades internacionais.
Ao mesmo tempo, ferramentas baseadas em inteligência artificial, frameworks de automação e kits de ransomware “prontos a usar” reduziram significativamente as barreiras de entrada para novos atacantes, permitindo que os atores menos sofisticados escalem operações com maior rapidez.
Apesar do caos provocado pelo Scattered Spider, associado a ataques de alto nível no Reino Unido e nos Estados Unidos (incluindo incidentes que afetaram retalhistas como Marks & Spencer, Co-op e Harrods), este grupo não figura entre os dez mais ativos em volume. Isto demonstra que um pequeno número de ataques estrategicamente executados pode ter impactos económicos e reputacionais desproporcionais.
Setor industrial lidera como principal alvo
O setor industrial foi o mais visado em 2025, representando 28% de todos os ataques de ransomware, com 2.190 incidentes registados, um aumento de 54% face ao ano anterior.
A forte dependência de cadeias de abastecimento globais altamente interligadas amplifica o impacto operacional destes ataques, tornando o setor um alvo atrativo para cibercriminosos que procuram a máxima disrupção. Os ataques que afetaram fabricantes de grande dimensão, bem como múltiplas empresas de logística e serviços industriais, levaram a paralizações operacionais que duraram dias ou até semanas.
O setor do retalho também foi significativamente afetado, incluindo o ataque ao gigante sul-coreano Coupang, que evidenciou como são exploradas simultaneamente vulnerabilidades operacionais e reputacionais. A combinação da interdependência operacional e do grande volume de dados valiosos dos consumidores explica porque foi o segundo mais visado em 2025, com 1.774 ataques registados.
Os atacantes estão cada vez mais focados em organizações onde as interrupções operacionais se traduzem diretamente em pressão financeira, acelerando negociações de resgate e aumentando a probabilidade de pagamento.
América do Norte continua a ser a região mais atacada
A América do Norte foi novamente a região mais afetada, representando 56% dos ataques registados em 2025. A Europa concentrou 22% dos incidentes, seguida pela Ásia, com 12%.
A elevada concentração de grandes empresas e infraestruturas críticas continua a tornar esta região especialmente atrativa para operadores de ransomware. Até entidades públicas foram alvo de ataques, incluindo agências do estado norte-americano do Nevada.
Pressão crescente das autoridades sobre grupos de ransomware
Ao longo de 2025, as autoridades policiais de vários países intensificaram operações contra o cibercrime, visando infraestruturas e afiliados ligados a campanhas de ransomware de larga escala. Grupos como o Scattered Spider foram temporariamente desestabilizados após o desmantelamento de centenas de servidores e domínios maliciosos, bem como à emissão de mandados de captura internacionais.
Estas operações coordenadas também incluíram respostas a incidentes relevantes, como o ataque à Collins Aerospace, que afetou aeroportos em vários países da Europa. Embora não tenham eliminado totalmente a atividade criminosa, estas ações tornaram as operações mais arriscadas e fragmentadas para os atacantes.
“O ransomware está a industrializar-se”
Matt Hull, VP of Cyber Intelligence and Response da NCC Group, comenta:
“O risco surge quando capacidade e intenção encontram a oportunidade. Essa dinâmica definiu o panorama cibernético no último ano, e 2025 foi um período de expansão rápida da oportunidade. Muitos dos incidentes que observámos recorreram a técnicas conhecidas há anos, como roubo de credenciais, engenharia social e abuso de acesso confiável. A diferença não foi só na inovação, foi na quantidade de danos que estas técnicas podem agora ter em organizações complexas e interligadas.”
“Quase 8.000 ataques de ransomware num único ano mostram que este nível de disrupção está a tornar-se normal. Os principais grupos podem mudar, mas a ameaça está a acelerar e não a diminuir.”
“O que é verdadeiramente diferente agora é a industrialização do ransomware. Ferramentas baseadas em IA e kits prontos a usar reduziram drasticamente as barreiras de entrada, permitindo que os atacantes escalem e se adaptem com muito mais rapidez.”
“As organizações que tratem a resiliência cibernética como opcional em 2026 estão a expor-se a riscos operacionais e financeiros muito sérios.”
Pode aceder aqui ao Relatório Anual de Ameaças da NCC Group: https://insights.nccgroup.com/annual-threat-intelligence-report-2025
* tipo de malware que impede o acesso a sistemas ou ficheiros e exige o pagamento de um resgate para o devolver
