O ano de 2025 registou um número sem precedentes de ataques de ransomware em todo o mundo. Segundo o último relatório de ciberameaças, do NCC Group, especialista em segurança digital, foram contabilizados 7.874 incidentes ao longo do ano, representando um aumento de 50% em relação a 2024 e sublinhando a escalada rápida e preocupante do cibercrime a nível global.
Mas, afinal de que se trata o ransomware ?
O que é o ransomware?
O ransomware é um programa malicioso criado por cibercriminosos para impedir o acesso, danificar ou divulgar informações essenciais de uma vítima, exigindo normalmente o pagamento de um resgate. Embora o ransomware clássico afete tanto pessoas individuais como organizações, surgiram nos últimos anos duas variantes que aumentaram significativamente o risco para empresas e grandes instituições: o ransomware operado por humanos e o ransomware como serviço.
No ransomware operado por humanos, um grupo de 'hackers' combina conhecimento e estratégia para aceder a redes empresariais. Antes de lançar o ataque, estudam cuidadosamente a organização para identificar pontos fracos e, por vezes, encontram documentos financeiros que lhes permitem calcular o valor do resgate.
Já no modelo de ransomware como serviço, os programadores criminosos desenvolvem o malware e recrutam afiliados para invadir sistemas de empresas e instalar o ransomware. Os ganhos obtidos com os resgates são depois partilhados entre os dois grupos, segundo percentagens previamente acordadas.
Como este vírus informático funciona?
A maior parte dos ataques de ransomware segue essencialmente três fases: acesso, encripte dos dados e a exigência de resgate monetário.
No acesso, os cibercriminosos utilizam diferentes métodos para chegar até aos mais dados sensíveis de empresas ou das pessoas. Um dos mais frequentes é o 'phishing', em que os e-mails, mensagens de texto ou chamadas telefónicas são usados para enganar utilizadores e levá-los a fornecer credenciais ou descarregar malware. Outra abordagem envolve sites maliciosos que recorrem a kits de exploração, instalando automaticamente o malware nos dispositivos das vítimas.
No que toca à encriptação dos dados, os hackers após conseguirem o acesso, copiam os ficheiros críticos e, em muitos casos, eliminam os originais e quaisquer backups disponíveis. De seguida, criam uma cópia e fazem a sua encriptação que controlam.
Por fim, no pedido de resgate, os hackers já tendo conseguido bloquear os dados, apresentam uma mensagem à vítima informando que os ficheiros estão "infectados" e exigem um pagamento, que normalmente deve ser em criptomoeda, para fornecer a chave que permite recuperar os dados. Em alguns casos, os criminosos ameaçam também tornar públicas as informações caso o resgate não seja pago.
Tipos de ransomware
- Ransomware de criptomoedas - Neste tipo de ataque, o criminoso cifra ficheiros ou dados importantes da vítima, impedindo-lhe o acesso até que seja pago um resgate. Em teoria, depois do pagamento, o 'hacker' deve fornecer uma chave de desencriptação para desbloquear os ficheiros. Contudo, não existe garantia de recuperação.
- Ransomware de bloqueio - Também conhecido como ransomware locker, este malware impede a vítima de aceder ao seu dispositivo, mostrando uma mensagem a exigir resgate para o desbloqueio. Ao contrário do ransomware anterior, este normalmente não atinge os ficheiros, pelo que os dados permanecem intactos assim que o acesso ao dispositivo é restabelecido. Este é o tipo mais comum em dispositivos móveis.
- Scareware - Este malware explora o medo da vítima para obter dinheiro. Os atacantes costumam fingir ser autoridades legais, acusando o utilizador de um crime e exigindo o pagamento de uma multa ou resgate.
- Doxware - Os criminosos neste caso roubam informações pessoais e ameaçam torná-las públicas caso a vítima não pague o resgate.
- Ransomware de extorsão dupla - Além de bloquear os ficheiros, os atacantes roubam dados sensíveis e ameaçam divulgá-los publicamente se o resgate não for pago, aumentando a pressão sobre a vítima.
- Wipers - Neste tipo de malware, os hackers ameaçam eliminar permanentemente os dados da vítima caso o resgate não seja entregue
Como remover o ransomware?
Seguir estes passos pode ajudar a lidar com um ataque de ransomware de forma mais segura:
- Isolar os dispositivos infectados - Normalmente, apenas alguns equipamentos são afectados, por isso é essencial desligá-los da rede para evitar que o vírus se espalhe para outros dispositivos ligados.
- Identificar o tipo de ataque - As medidas a tomar dependem do tipo de ransomware envolvido. Por isso, registe todos os detalhes possíveis sobre o ataque, pois será algo que poderá ajudá-lo na recuperação dos dados.
- Utilizar software de segurança ou recorrer a um especialista - Um antivírus actualizado pode detectar e eliminar o ransomware, bem como impedir novas ameaças. Se não tiver experiência, contratar um profissional em cibersegurança é recomendável.
- Recuperar os ficheiros - A possibilidade de recuperar os ficheiros depende do tipo de ransomware e das ferramentas de desencriptação disponíveis. Nem sempre é garantido que os dados sejam restaurados.
- Compreender as limitações da remoção - Remover o ransomware impede que o hacker continue a exigir o resgate, evitando decisões precipitadas ou emocionais. No entanto, isso não desbloqueia automaticamente os ficheiros que já foram afectados.
Sector industrial é o principal alvo dos ataques
Em 2025, de acordo com o relatório do NCC Group, o sector industrial foi o mais atacado por ransomware, representando 28% de todos os incidentes, com 2.190 casos reportados. Estes número representam um aumento de 54% em relação a 2024.
A forte dependência de cadeias de abastecimento globais e altamente interligadas aumenta o impacto operacional destes ataques, tornando este sector particularmente atractivo para cibercriminosos que procuram causar a maior disrupção possível. As empresas de grande dimensão, fabricantes e múltiplas empresas de logística e serviços industriais foram afectadas, resultando em paralisações operacionais que duraram desde vários dias até semanas.
O sector do retalho também sofreu ataques significativos, incluindo o caso do gigante sul-coreano Coupang, que demonstrou como os atacantes exploram simultaneamente vulnerabilidades operacionais e reputacionais. A combinação entre a interdependência operacional e o elevado volume de dados valiosos dos consumidores explica porque este sector foi o segundo mais visado em 2025, registando 1.774 ataques.
Actualmente, os criminosos concentram-se cada vez mais em organizações em que a interrupção das operações gera pressão financeira imediata, acelerando as negociações de resgate e aumentando a probabilidade de pagamento.
