O Brasil consolidou sua posição como um dos principais alvos globais de ransomware no segundo semestre de 2025, ocupando o terceiro lugar no ranking mundial de detecções, atrás apenas dos Estados Unidos e da Índia. A descoberta é parte do Relatório de Ameaças Cibernéticas da Acronis, que analisou dados de telemetria coletados pela sua Unidade de Pesquisa de Ameaças (TRU). O estudo revela uma campanha persistente e sofisticada contra organizações brasileiras, com mais de 7.600 vítimas registradas publicamente por grupos de extorsão.
O cenário brasileiro e os grupos mais ativos
O país se tornou o foco principal de ataques na América Latina, com os setores de manufatura, tecnologia e saúde sendo os mais impactados. Os grupos de ransomware Qilin, Akira e Cl0p foram identificados como os mais ativos na região. A análise da Acronis aponta que os cibercriminosos continuam a explorar ferramentas legítimas do ecossistema Microsoft, como o PowerShell, para realizar movimentações laterais e executar cargas maliciosas dentro dos ambientes comprometidos.
Vetores de ataque e o papel do phishing
O e-mail fraudulento permanece como o vetor inicial predominante. No Brasil, 52% dos ataques detectados, especialmente contra provedores de serviços gerenciados (MSPs), consistiram em golpes de phishing que utilizam engenharia social para roubar credenciais e dados sensíveis. Globalmente, ferramentas de acesso remoto como AnyDesk e TeamViewer também foram amplamente exploradas, afetando mais de 1.200 vítimas. O volume médio de incidentes por organização aumentou 16% em relação ao mesmo período de 2024, enquanto o número por usuário cresceu 20%.
A automação e a ascensão da IA no crime
O relatório destaca uma evolução preocupante nas táticas dos criminosos, que estão adotando ferramentas de inteligência artificial (IA) para tornar as operações mais eficientes. Sistemas automatizados são usados para gerenciar múltiplas negociações de resgate simultaneamente e para produzir conteúdo falso convincente, que serve como isca em campanhas de phishing. Essa automação permite que os ataques sejam mais rápidos e escaláveis, saindo dos métodos tradicionais para golpes mais personalizados e difíceis de detectar.
Impacto e recomendações
A posição do Brasil no ranking reflete não apenas o volume de ataques, mas também a sofisticação dos adversários que o visam. A combinação de exploração de ferramentas nativas do sistema (Living-off-the-Land), phishing direcionado e o uso emergente de IA cria um cenário de ameaça complexo. Para organizações, a defesa requer uma abordagem em camadas que vá além da proteção perimetral, incluindo treinamento contínuo de conscientização, segmentação de rede rigorosa, backups imutáveis e frequentes, e monitoramento proativo de atividades anômalas no uso de ferramentas administrativas.