Kadima Blog

Kadima Cloud · Blog

Ransomware cresceu 17% em 2025 — e o Brasil é o 9º país mais afetado do mundo

11/03/2026 · 6 min
Ransomware cresceu 17% em 2025 — e o Brasil é o 9º país mais afetado do mundo

Sequestro de dados não é tendência. É rotina — e os números de 2025 provam isso com precisão incômoda.

Segundo o relatório anual da ISH Tecnologia, os ataques de ransomware cresceram 17,8% globalmente em 2025, com 7.410 empresas anunciadas como vítimas por grupos criminosos. Um número que representa alta de 21,4% sobre 2023.

E no meio desse cenário, o Brasil aparece em 9º lugar no ranking mundial — o primeiro da América Latina, o terceiro das Américas.

Neste artigo, vamos detalhar o que os dados revelam, por que o Brasil é um alvo recorrente, e o que sua empresa pode fazer de concreto para não virar estatística.

O que o relatório ISH 2025 mostra de fato

O levantamento da ISH Tecnologia consolidou dados de janeiro a dezembro de 2025 e traçou um panorama preocupante. Os ataques não cresceram apenas em volume — cresceram em sofisticação e frequência.

O primeiro trimestre de 2025 foi o mais intenso dos últimos três anos, com picos inéditos de incidentes. O comportamento sazonal, antes previsível, agora apresenta oscilações mais altas e repetidas — sinal de que os grupos estão operando com mais estrutura e capacidade de adaptação.

Os grupos mais ativos no período foram Qilin, Akira e Cl0p, responsáveis juntos por quase 2.200 vítimas confirmadas. Paralelamente, grupos emergentes como Play, Incransom e Safepay cresceram em volume de ataques, demonstrando que mesmo com operações internacionais de takedown, o ecossistema criminal se reconstitui rapidamente.

Além do ransomware em si, o relatório aponta outro dado alarmante: mais de 40.000 vulnerabilidades foram publicadas e divulgadas em 2025 — alta de 8,1% em relação a 2024. Isso significa que a janela de exposição das empresas está cada vez maior, e o tempo entre publicação de CVE e exploração ativa está cada vez menor.

Por que o Brasil está no topo da lista da América Latina

A 9ª posição no ranking global coloca o Brasil atrás apenas de EUA, Canadá, Alemanha, Reino Unido e mais quatro países — todos com PIBs e populações frequentemente maiores.

Hugo Santos, Diretor de Inteligência de Ameaças da ISH, é direto na análise:

“Temos números piores que os de países consideravelmente mais populosos que o nosso. Isso se deve, entre outros fatores, à pouca educação que muitos ainda têm em relação aos cuidados com a segurança cibernética.”

Mas não é só educação. Há outros fatores estruturais que tornam o Brasil um alvo preferencial:

  • Base empresarial ampla e heterogênea: muitas PMEs com TI subinvestida e sem times dedicados de segurança
  • Alta digitalização sem maturidade em segurança: adoção rápida de cloud e SaaS sem controles equivalentes
  • Infraestrutura legada: sistemas desatualizados que acumulam vulnerabilidades conhecidas há anos
  • Baixa taxa de notificação: ataques subnotificados que distorcem a percepção real do risco

Os setores mais atingidos no Brasil e no mundo seguem o mesmo padrão: manufatura e tecnologia lideram, seguidos de saúde e serviços financeiros. O que esses setores têm em comum? Alto volume de dados sensíveis, alta dependência de continuidade operacional e alta capacidade de pagamento de resgate.

Como um ataque de ransomware funciona na prática

Entender o modus operandi ajuda a identificar os pontos de bloqueio. Um ataque bem-sucedido de ransomware geralmente segue estas etapas:

1. Reconhecimento   → coleta de informações sobre a empresa, portas abertas, usuários
2. Acesso inicial   → phishing direcionado, exploração de VPN/RDP exposta, credencial vazada
3. Persistência     → instalação de backdoor, criação de usuário admin oculto
4. Movimento lateral→ escalada de privilégios, mapeamento de ativos críticos
5. Exfiltração      → cópia de dados para servidor externo (extorsão dupla)
6. Criptografia     → cifragem de arquivos + nota de resgate
7. Pressão          → prazo curto para pagamento, ameaça de vazamento público

O ponto crítico: na maioria dos casos, os atacantes ficam semanas dentro da rede antes de acionar a criptografia. Isso significa que backup recente é condição necessária — mas não suficiente, se o backup também estiver comprometido.

Backup como linha de defesa — e seus limites

A resposta mais comum que ouvimos de empresas após um incidente é: “a gente tinha backup”. Mas backup mal implementado não protege. Veja os erros mais frequentes:

CenárioProblema
Backup na mesma redeCriptografado junto com os dados originais
Backup sem teste de restoreFalha descoberta apenas no momento crítico
Backup com frequência baixaRPO alto: perda de dias ou semanas de dados
Backup sem versionamentoVersão comprometida sobrescreve a limpa
Backup sem imutabilidadePode ser deletado pelo próprio ransomware

A regra 3-2-1-1 é o padrão atual recomendado:

3 cópias dos dados
2 mídias diferentes
1 offsite (fora da rede local)
1 imutável (não pode ser alterada por nenhum processo)

Soluções como Google Cloud Storage com Object Lock, Azure Blob Immutable Storage ou ferramentas como Veeam + cloud imutável implementam esse modelo. O ponto-chave é que a cópia imutável não pode ser acessível por credenciais da rede corporativa comprometida.

O que sua empresa deve implementar agora

Com base no relatório da ISH e nas práticas que a Kadima Cloud aplica com clientes, aqui estão as ações de maior impacto:

Controles preventivos:

  • MFA em todos os acessos remotos (VPN, RDP, portais SaaS)
  • Segmentação de rede — sistemas críticos não devem se comunicar livremente com estações de trabalho
  • Gestão de vulnerabilidades com priorização por CVSS e exploração ativa (não só patches mensais)
  • Princípio de menor privilégio: nenhum usuário com mais acesso do que precisa

Detecção e resposta:

  • EDR em endpoints — antivírus tradicional não detecta técnicas modernas de living-off-the-land
  • SIEM ou monitoramento centralizado de logs com alertas de comportamento anômalo
  • Plano de resposta a incidentes documentado e testado (não só escrito)

Backup e recuperação:

  • Política 3-2-1-1 com cópia imutável off-site
  • Testes de restore regulares com RTO e RPO definidos
  • Backup de configurações de infraestrutura (não só dados de aplicação)

Conclusão: o risco é real, a preparação é uma escolha

O Brasil não vai sair do ranking dos países mais atacados por decreto. A melhora vem com acumulação de controles, maturidade de processos e — principalmente — com líderes que encaram segurança como investimento estratégico, não como custo de TI.

O relatório da ISH Tecnologia não é alarmismo: é dado. E dado é o que separa uma decisão informada de uma aposta.

Precisa de ajuda?

A Kadima Cloud trabalha com diagnóstico de maturidade em segurança, implementação de estratégias de backup em cloud e monitoramento contínuo de ambientes GCP e Azure.

Se sua empresa ainda não tem uma resposta clara para “o que acontece se formos atacados amanhã?”, esse é o momento de construir essa resposta.

👉 Fale com a Kadima Cloud