A Kaspersky divulgou as conclusões do State of Ransomware 2026, que revela o crescimento dos ataques de extorsão sem encriptação, a utilização de ferramentas concebidas para desactivar soluções de segurança antes da execução do software malicioso e a crescente profissionalização das operações criminosas. Estas acções são agora suportadas por modelos de serviço e pela comercialização de acessos comprometidos a redes de empresas.
De acordo com os dados recolhidos, em 2025 a América Latina registou a maior percentagem de organizações com ataques de ransomware detectados, a atingir a marca dos 8,13%. Seguiu-se a região Ásia-Pacífico (7,89%), África (7,62%), Médio Oriente (7,27%), Comunidade de Estados Independentes (5,91%) e Europa (3,82%).
Apesar de se notar uma ligeira diminuição da percentagem global de organizações atacadas face a 2024, os utilizadores continuam expostos a riscos significativos. Os atacantes industrializam as suas operações, automatizam métodos de intrusão e concentram-se cada vez mais no roubo e na divulgação de dados sensíveis, em vez de se limitarem a encriptar sistemas. Em Portugal, o ransomware mantém-se como uma das principais preocupações em matéria de cibersegurança, numa fase em que os ataques evoluem de campanhas massificadas para operações mais direccionadas.
Uma das tendências técnicas mais relevantes do último ano foi o crescimento contínuo das ferramentas concebidas especificamente para desactivar soluções de segurança de terminais antes da execução do código malicioso. Estas ferramentas tornaram-se um componente habitual dos ataques, a reflectir intrusões mais deliberadas e metódicas. Os investigadores identificaram também o aparecimento de famílias de ransomware que adoptam normas de criptografia pós-quântica. Este desenvolvimento sinaliza uma mudança preocupante para métodos de encriptação que poderão resistir a futuras tentativas de desencriptação através de computação quântica.
Além disso, o papel dos intermediários cibercriminosos que vendem acessos corporativos previamente comprometidos continua a crescer. Como consequência, a barreira de entrada para lançar ataques diminui drasticamente. Entre os grupos mais activos em 2025, a análise identifica o Qilin como o principal operador, após o encerramento das operações do RansomHub. O grupo Clop ocupou a segunda posição e o Akira o terceiro lugar.
Fabio Assolini, especialista em cibersegurança, refere que o ransomware evoluiu para um ambiente altamente organizado, focado na monetização de dados roubados e na escalabilidade dos ataques. O investigador avança que os agentes de ameaça se adaptam rapidamente, ao passar a utilizar ferramentas legítimas para fins maliciosos e a explorar infraestruturas de acesso remoto. Assolini acrescenta que o objectivo da data assinalada hoje passa por aumentar a consciencialização global, ao incentivar os utilizadores a reforçar a segurança e a investir em cópias de segurança.
