O ransomware deixou de ser, na maioria dos casos, um problema de ficheiros cifrados. Em 2026, os grupos mais ativos já nem se dão ao trabalho de encriptar: roubam os dados e ameaçam publicá-los. A mudança é tão clara que o Data Breach Investigations Report (DBIR) de 2025 da Verizon encontrou ransomware em 44% de todas as falhas analisadas, contra 32% no ano anterior. A encriptação, durante uma década o cartão de visita destes ataques, está a tornar-se opcional.
Esta análise reúne os números verificados de 2025 e 2026, as táticas que substituíram a cifragem, o impacto no mercado segurador e cinco previsões para os próximos meses. Os dados vêm de relatórios públicos da Verizon, Sophos, Palo Alto Networks Unit 42, Kaspersky, Allianz e BlackFog, com citações de cinco especialistas identificados pelo nome.
O que mudou: o ransomware sem encriptação domina 2026
Durante anos, o guião foi sempre o mesmo: o atacante entra na rede, cifra os ficheiros e exige um resgate pela chave de decifragem. A defesa era igualmente conhecida, ter cópias de segurança recentes e isoladas. Quem tinha backups testados restaurava os sistemas e recusava pagar. Os criminosos perceberam o problema e mudaram o modelo de negócio.
Em 2026, vários grupos abandonaram por completo a encriptação e constroem a sua alavanca apenas em torno da exposição de dados. A lógica é simples: uma cópia de segurança não anula um roubo. Se a informação já saiu da rede, restaurar os servidores não impede a sua publicação na dark web, a venda a terceiros ou a denúncia ao regulador. A taxa de pagamento de resgates caiu para 28% em 2025, e a extorsão pura de dados é a resposta dos atacantes a essa queda.
A SentinelOne previu que mais grupos de ransomware irão ignorar totalmente a encriptação, extorquindo as vítimas apenas com a ameaça de divulgar os dados roubados. A Allianz confirma a direção: no seu Risk Barometer 2026, 40% do valor dos grandes sinistros cibernéticos já incluía roubo de dados, contra 25% em 2024. O ransomware tornou-se, na prática, um negócio de extorsão de informação.
Os números de 2026: 95 ataques num mês, 44% das falhas
A escala continua elevada. Segundo a monitorização mensal da BlackFog, maio de 2026 registou 95 ataques de ransomware divulgados publicamente, afetando organizações em 17 países. Só os Estados Unidos somaram 54 desses ataques, e o setor da saúde foi alvo 28 vezes, mantendo-se como o mais visado. Estiveram ativos 37 grupos distintos num único mês.
Abril tinha sido ainda mais intenso: 105 ataques divulgados, um recorde para o mês de abril desde que a BlackFog iniciou a contagem em 2020. As organizações afetadas distribuíram-se por 22 países, com os Estados Unidos a representarem 60% de todos os incidentes. A saúde voltou a liderar os setores visados com 25 ataques, seguida dos serviços e do governo, ambos com 16.
Estes números só contam a parte visível. A própria BlackFog estima que cerca de 85% dos ataques nunca chegam a ser reportados, e registou um aumento homólogo de 36% no terceiro trimestre de 2025. Outros indicadores apontam no mesmo sentido: a Cyble contabilizou 5.010 ataques nos Estados Unidos nos primeiros dez meses de 2025, contra 3.335 no mesmo período de 2024, uma subida de 50%. A Total Assure estimou um crescimento de 34% nos primeiros três trimestres de 2025.
“As conclusões do DBIR sublinham a importância de uma estratégia de defesa em várias camadas”, afirmou Chris Novak, vice-presidente de Soluções Globais de Cibersegurança da Verizon Business. O relatório mostrou que o ransomware ultrapassou as credenciais roubadas como a ação mais comum nas falhas analisadas.
Panorama do ransomware em 2025-2026 (tabela)
| Indicador | Abril 2026 | Maio 2026 |
|---|---|---|
| Ataques divulgados | 105 (recorde para abril) | 95 |
| Países afetados | 22 | 17 |
| Peso dos Estados Unidos | 60% dos incidentes | 54 ataques |
| Setor mais visado | Saúde (25) | Saúde (28) |
| Grupos ativos | 32 | 37 |
| Grupo líder | ShinyHunters (15) | Qilin (11) |
Porque os grupos abandonam a encriptação
A decisão de não cifrar os ficheiros não é preguiça, é cálculo. Cifrar uma rede inteira é barulhento. Gera picos de atividade no disco, alarmes nos sistemas de deteção e, sobretudo, dá tempo às equipas de resposta para intervir enquanto a operação decorre. A exfiltração silenciosa de dados, pelo contrário, pode passar despercebida durante semanas.
Há também uma vantagem jurídica perversa para o atacante. Quando os dados de cidadãos europeus são expostos, entra em jogo o regime de proteção de dados e, no caso das infraestruturas críticas, a diretiva NIS2. A ameaça de tornar pública uma falha, com as coimas e a perda de reputação que isso implica, é por vezes mais persuasiva do que a paralisação dos sistemas. O criminoso deixa de vender uma chave e passa a vender silêncio.
O cálculo financeiro fecha o raciocínio. Com a taxa de pagamento em queda, os grupos precisavam de uma alavanca que funcionasse mesmo contra vítimas bem preparadas. As cópias de segurança protegem contra a encriptação, mas não protegem contra a divulgação. Ao mudar o ponto de pressão, os atacantes neutralizaram a defesa mais eficaz da última década.
“O ransomware evoluiu para um ecossistema altamente organizado, focado em monetizar dados roubados, desativar defesas e escalar ataques com eficiência empresarial”, explicou Fabio Assolini, investigador principal de segurança da equipa GReAT da Kaspersky. “Os atacantes estão a adaptar-se depressa, a usar ferramentas legítimas como arma e a adotar criptografia pós-quântica anos antes do esperado.”
EDR killers e BYOVD: desativar as defesas primeiro
A nova fase obrigatória nos manuais de ataque chama-se desarmar o defensor. Em 2026, os chamados EDR killers deixaram de ser uma raridade e passaram a ser uma etapa planeada e padronizada das operações de ransomware. O objetivo é cego: antes de roubar ou cifrar seja o que for, o atacante neutraliza o software de deteção e resposta no endpoint.
O que é um EDR killer
Um EDR killer é uma ferramenta concebida para terminar, suspender ou cegar os agentes de segurança que correm numa máquina. Quando o agente de deteção deixa de enviar telemetria, a consola de segurança fica às escuras. A partir desse momento, a exfiltração de dados decorre sem alarmes, e a equipa de resposta só percebe o que aconteceu quando já é tarde. É por isso que a deteção precoce, e não apenas a prevenção, se tornou o tema central das recomendações para 2026.
BYOVD explicado
A técnica favorita para conseguir isto chama-se BYOVD, sigla inglesa para “traz o teu próprio controlador vulnerável”. O atacante instala um controlador de dispositivo legítimo mas vulnerável, assinado por um fabricante de confiança, e explora a sua falha para obter privilégios ao nível do núcleo do sistema. Com esse acesso, desativa as proteções a partir de dentro. Em 2026, o BYOVD passou a ser um componente por omissão das operações de ransomware, segundo a análise da Kaspersky. A defesa exige listas de bloqueio de controladores vulneráveis e a aplicação rigorosa de atualizações.
Resgates a cair, mas a extorsão mais rentável
O paradoxo de 2026 é que os valores individuais dos resgates caíram, mas o problema agravou-se. Segundo o State of Ransomware 2025 da Sophos, o pagamento médio desceu para um milhão de dólares, uma queda de 50% face aos dois milhões de 2024. A Palo Alto Networks Unit 42 aponta um pagamento mediano de 267.500 dólares, e a Coalition registou um sinistro médio de seguro de 292.000 dólares, menos 7% do que no ano anterior.
Estes valores mais baixos não significam menos prejuízo. A combinação de roubo de dados, ameaça de divulgação e pressão regulatória continua a ser a categoria mais cara do cibercrime. Só no setor industrial, o ransomware causou mais de 18 mil milhões de dólares em perdas nos primeiros três trimestres de 2025. E nos Estados Unidos, as perdas globais com crime cibernético atingiram 16,6 mil milhões de dólares em 2024, uma subida de 33% num ano, segundo dados citados pela Allianz.
| Métrica | Valor | Fonte |
|---|---|---|
| Pagamento médio de resgate | 1 milhão USD (-50% vs 2 milhões em 2024) | Sophos, State of Ransomware 2025 |
| Pagamento mediano de resgate | 267.500 USD | Palo Alto Networks Unit 42, 2025 |
| Taxa de pagamento de resgates | 28% (2025) | Relatórios do setor |
| Sinistro médio de seguro cibernético | 292.000 USD (-7%) | Coalition, 2025 |
| Ransomware presente nas falhas | 44% (vs 32% em 2024) | Verizon DBIR 2025 |
| Perdas com cibercrime nos EUA | 16,6 mil milhões USD (2024, +33%) | Allianz Risk Barometer 2026 |
“Para muitas organizações, a hipótese de serem comprometidas por operadores de ransomware é apenas parte de fazer negócio”, observou Chester Wisniewski, diretor e field CISO da Sophos. “A boa notícia é que, graças a esta consciencialização, muitas empresas estão a equipar-se com recursos para limitar os danos, incluindo a contratação de especialistas em resposta a incidentes que reduzem os pagamentos e aceleram a recuperação.”
Os grupos mais ativos: Qilin, ShinyHunters, Clop e Akira
O ecossistema de 2025 e 2026 consolidou-se em torno de poucos nomes dominantes. O Qilin emergiu como o grupo mais ativo, tendo liderado em maio de 2026 com 11 vítimas reivindicadas num único mês. O Clop especializou-se em ataques à cadeia de fornecimento, explorando falhas em software usado por centenas de empresas em simultâneo. O Akira manteve uma operação consistente ao longo do ano.
O ShinyHunters destacou-se pelo volume bruto de registos roubados. Em abril de 2026 foi o grupo mais ativo, com 15 ataques. Ao longo do ano, foi associado a algumas das maiores fugas por número de registos: cerca de 40 milhões de registos do operador de internet Charter e pelo menos 6 milhões de registos de clientes da operadora de cruzeiros Carnival. Estes ataques de alto volume confirmam a tendência: o valor já não está na chave de decifragem, está na quantidade de dados que se consegue exfiltrar.
Craig Robinson, vice-presidente de Investigação para Serviços de Segurança da IDC, alertou que são as organizações sem maturidade de cibersegurança, frequentemente pequenas e médias empresas, que pagam o preço mais alto. Segundo o DBIR, o ransomware esteve presente em 88% das falhas nas PME, contra 39% nas grandes empresas. A assimetria é brutal e explica por que razão Portugal, com um tecido empresarial dominado por PME, está particularmente exposto.
Impacto no mercado e nos seguros cibernéticos
O ransomware tornou-se o principal risco empresarial do mundo. No Allianz Risk Barometer 2026, os incidentes cibernéticos lideraram pelo quinto ano consecutivo, com 42% das respostas, a maior pontuação de sempre e uma margem de 10 pontos sobre o segundo risco. O inquérito ouviu 3.338 gestores de risco de 97 países. A inteligência artificial foi a maior subida, do 10.º para o 2.º lugar, com 32%.
Para as seguradoras, a mudança de tática reescreve os modelos de risco. Na primeira metade de 2025, o ransomware representou 60% do valor dos grandes sinistros cibernéticos, aqueles acima de um milhão de euros. E, como já vimos, a fatia de sinistros que envolve roubo de dados subiu para 40%. As apólices que cobriam sobretudo a interrupção de serviço por encriptação têm agora de responder a fugas de dados, notificações regulatórias e ações judiciais coletivas.
“Os investimentos das grandes empresas em cibersegurança e resiliência têm compensado, garantindo que conseguem detetar e responder cedo aos ataques”, afirmou Rishi Baviskar, responsável global de Consultoria de Risco Cibernético da Allianz Commercial. A nota positiva esconde, porém, uma desigualdade crescente: as grandes organizações resistem melhor, enquanto as PME absorvem o impacto. Noventa por cento dos inquiridos da Allianz preveem investimento moderado ou elevado em prevenção de perdas cibernéticas.
Ransomware pós-quântico: o caso PE32 e o Kyber1024
Nem todos os grupos abandonaram a encriptação. Alguns levaram-na para a fronteira da criptografia. Surgiram em 2026 famílias de ransomware, como a PE32, que cifram as chaves AES usando os padrões pós-quânticos da NIST, concretamente o algoritmo Kyber1024 do conjunto ML-KEM, concebido para o nível 5 de segurança. É o mesmo tipo de criptografia que governos e empresas adotam para se protegerem de futuros computadores quânticos, agora ao serviço dos criminosos.
A implicação é desconfortável. Se a chave de decifragem for protegida por criptografia resistente a ataques quânticos, qualquer esperança futura de quebrar a cifra por força computacional desaparece. A vítima fica sem alternativa técnica. Que grupos criminosos adotem padrões pós-quânticos antes da maioria das empresas mostra a velocidade com que o submundo se profissionalizou. A migração para a criptografia resistente a quânticos deixou de ser um exercício teórico, como explicamos no portal de cibersegurança.
Contexto histórico: do CryptoLocker à extorsão pura
Para entender a viragem de 2026 é útil olhar para trás. O ransomware moderno nasceu com o CryptoLocker, em 2013, que popularizou o modelo de cifrar ficheiros e exigir pagamento em criptomoeda. Seguiram-se as campanhas globais de 2017, WannaCry e NotPetya, que demonstraram a capacidade de paralisar hospitais, portos e multinacionais em horas.
A segunda grande evolução foi a dupla extorsão, por volta de 2019 e 2020, quando os grupos começaram a roubar dados antes de cifrar, acrescentando a ameaça de divulgação à exigência de resgate. A terceira fase é a que vivemos agora: a encriptação tornou-se dispensável e a exfiltração de dados é o produto principal. Em pouco mais de uma década, o ransomware passou de bloquear ficheiros a sequestrar a reputação e a conformidade legal das vítimas.
Esta trajetória ajuda a explicar a queda no valor dos resgates. Com a maturação das defesas e a recusa crescente em pagar, os criminosos otimizaram para o volume e para a pressão regulatória, em vez de apostarem em pagamentos isolados de grande dimensão. O modelo de negócio do cibercrime adaptou-se à economia da defesa.
Comparação: encriptação clássica vs extorsão de dados
| Dimensão | Ransomware clássico (encriptação) | Extorsão de dados (sem encriptação) |
|---|---|---|
| Mecanismo | Cifra os ficheiros da vítima | Exfiltra dados e ameaça divulgar |
| Recuperação por cópia de segurança | Eficaz, restaura os sistemas | Irrelevante, os dados já saíram |
| Visibilidade do ataque | Ruidosa, gera muitos alarmes | Furtiva, pode durar semanas |
| Principal ponto de pressão | Restauro do serviço | Exposição, regulação e reputação |
| Defesa mais eficaz | Cópias de segurança isoladas | Prevenção da exfiltração e deteção precoce |
A leitura da tabela é direta: a defesa que funcionou na última década, ter cópias de segurança fiáveis, é praticamente inútil contra a extorsão de dados. As organizações precisam de deslocar o investimento da recuperação para a prevenção da fuga e para a deteção do movimento lateral dentro da rede.
O que esperar: 5 previsões para 2026-2027
- Mais grupos abandonam totalmente a encriptação. A SentinelOne prevê que a extorsão pura de dados continue a substituir a cifragem, sobretudo entre os grupos que visam empresas com boas cópias de segurança.
- EDR killers e BYOVD tornam-se norma. A Kaspersky descreve estas técnicas como componentes por omissão das operações em 2026. Espera-se que cresçam as listas de bloqueio de controladores vulneráveis nos sistemas operativos.
- Criptografia pós-quântica em mais famílias. Depois da PE32, é provável que mais grupos adotem o ML-KEM para tornar a decifragem futura impossível, acelerando a corrida pós-quântica.
- Foco em terceiros e zero-days. A exploração de fornecedores e de falhas de dia zero para exfiltração em massa deverá intensificar-se, replicando o modelo de cadeia de fornecimento do Clop.
- Resgates médios baixos, perdas totais altas. Os valores individuais devem continuar a cair, mas o custo agregado, somando regulação, litígio e reputação, deverá subir, mantendo o ransomware no topo dos riscos da Allianz.
Como as organizações se devem defender em 2026
A primeira mudança de mentalidade é aceitar que as cópias de segurança, embora indispensáveis, já não chegam. A prioridade passa a ser impedir que os dados saiam da rede e detetar o movimento lateral antes da exfiltração. Isto exige monitorização do tráfego de saída, segmentação da rede e controlo apertado dos acessos privilegiados.
A proteção dos endpoints tem de assumir que será alvo. Listas de bloqueio de controladores vulneráveis, deteção de tentativas de desativação de agentes de segurança e telemetria redundante reduzem o risco de um EDR killer cegar a defesa. A prontidão forense, com registos preservados fora do alcance dos atacantes, é essencial, porque em 2025 quase todos os grandes grupos passaram a apagar registos e cópias de segurança para dificultar a investigação.
Por fim, a autenticação resistente a phishing, a gestão rigorosa de vulnerabilidades e a formação das equipas continuam a ser a base. Para uma introdução prática às ameaças e às defesas, consulte o nosso guia de violações de dados. A defesa em 2026 não é uma única ferramenta, é a tal estratégia em várias camadas que Chris Novak referiu.
Cobertura Relacionada
- Extorsão de Dados: Resgate Médio de $1,5M [2026]
- Ransomware na Saúde: 2,7M Doentes Expostos [2026]
- DBIR 2026: 31% das Fugas por Vulnerabilidades [2026]
- Fuga de Dados Odido: 6,39M Afetados, Resgate €1M [2026]
- Ciberataques em Portugal: 2.437/Semana, +32% UE [2026]
- Portal de Cibersegurança da Shattered
Perguntas Frequentes
O que é o ransomware sem encriptação?
É uma variante de ransomware em que o atacante não cifra os ficheiros da vítima. Em vez disso, rouba os dados e ameaça publicá-los ou vendê-los caso o resgate não seja pago. A pressão deixa de ser a paralisação dos sistemas e passa a ser a exposição da informação e as consequências legais e reputacionais.
Porque é que os grupos de ransomware deixaram de cifrar os dados?
Porque as cópias de segurança tornaram a encriptação menos eficaz. Com a taxa de pagamento de resgates a cair para 28% em 2025, os criminosos precisavam de uma alavanca que funcionasse mesmo contra organizações bem preparadas. A ameaça de divulgar dados roubados continua a pressionar a vítima, independentemente de existirem cópias de segurança.
Quantos ataques de ransomware houve em 2026?
Segundo a BlackFog, foram divulgados publicamente 105 ataques em abril de 2026, um recorde para o mês, e 95 em maio. Estes valores cobrem apenas os casos tornados públicos. A própria BlackFog estima que cerca de 85% dos ataques nunca são reportados.
Quais são os grupos de ransomware mais ativos?
Em 2025 e 2026 destacaram-se o Qilin, líder em maio de 2026 com 11 vítimas, o ShinyHunters, o mais ativo em abril com 15 ataques e responsável por fugas de dezenas de milhões de registos, além do Clop, focado em ataques à cadeia de fornecimento, e do Akira.
As cópias de segurança ainda protegem contra o ransomware?
Protegem contra a encriptação, mas não contra a extorsão de dados. Se a informação já foi exfiltrada, restaurar os sistemas não impede a sua publicação. As cópias de segurança continuam a ser essenciais, mas têm de ser complementadas com prevenção da fuga de dados e deteção precoce do movimento lateral.
O que é um EDR killer e porque é perigoso?
Um EDR killer é uma ferramenta que desativa ou cega o software de deteção e resposta nos endpoints, muitas vezes através da técnica BYOVD, que abusa de controladores vulneráveis assinados. Sem telemetria, a equipa de segurança fica às escuras e a exfiltração de dados decorre sem alarmes. Em 2026 tornou-se uma fase padrão dos ataques.
Como está Portugal exposto a esta ameaça?
O ransomware esteve presente em 88% das falhas em pequenas e médias empresas, segundo o DBIR da Verizon. Como o tecido empresarial português é dominado por PME, a exposição é elevada. A diretiva NIS2 reforça as obrigações de segurança e notificação para setores críticos, o que torna a ameaça de divulgação de dados ainda mais penalizadora.
