Sophos: 79% dos ataques de ransomware se originam de identidades comprometidas
Pela primeira vez em quatro anos, as vulnerabilidades exploradas não são mais a causa raiz, com e-mails maliciosos (26%) e phishing (24%) assumindo a liderança.

A identidade é o vetor de acesso inicial (VAI) dominante, com quatro em cada cinco (79%) ataques de ransomware começando com identidades comprometidas. Foi isso que mostrou o sétimo relatório anual State of Ransomware, pesquisa independente de fornecedores com líderes de TI e cibersegurança em 17 países, identificando o impacto do ransomware nas empresas e o quão preparadas as organizações estão para se defender.
O levantamento foi conduzido pela Vanson Bourne, a pedido da Sophos, no primeiro trimestre de 2026. Foram entrevistados 2.158 tomadores de decisão das áreas de TI e cibersegurança de organizações que sofreram ataques de ransomware nos 12 meses anteriores.
Ficou evidente a predominância dos ataques de identidade no ransomware indicando uma mudança no método, à medida que os invasores reconhecem cada vez mais a identidade como um componente chave na entrega de ransomware. Além disso, pela primeira vez em quatro anos, as vulnerabilidades exploradas não são mais a causa raiz, com e-mails maliciosos (26%) e phishing (24%) assumindo a liderança.
No entanto, as vulnerabilidades exploradas continuam sendo um alvo de alto valor: 59% dos pedidos de resgate que começam com uma vulnerabilidade explorada no firewall são de US$1 milhão ou mais, em comparação com 48% de todos os ataques.
O relatório também constatou que, das organizações atingidas por ransomware, 56% tiveram seus dados criptografados, um aumento que reverteu uma tendência de queda de dois anos.
Além disso, dois terços das vítimas de ransomware (67%) confirmaram que o incidente também representou o ataque de identidade mais significativo que sofreram, consolidando o comprometimento de identidades como um dos principais mecanismos de disseminação. Mais da metade dos ataques (56%) conseguiu criptografar dados, incluindo 16% dos casos em que os dados foram tanto criptografados quanto roubados. Essa taxa de sucesso aumentou em relação aos 50% registrados em 2025, mas permanece abaixo do pico de 75% observado em 2023.
Com relação ao tamanho das empresas, apenas 34% das pequenas organizações (com 100 a 250 funcionários) conseguiram interromper os ataques antes da etapa de criptografia ou extorsão. O índice é significativamente inferior ao das empresas com 3.001 a 5.000 funcionários, que conseguiram impedir os ataques em 46% dos casos.
Pagamento de resgate
Quando os dados são criptografados, os criminosos têm cerca de 50% de chance de receber o pagamento do resgate. Entre as organizações que tiveram seus dados criptografados, 48% efetuaram o pagamento, elevando a média dos últimos quatro anos para 50%. O Reino Unido registrou a maior demanda mediana de resgate entre todos os países analisados: US$ 2,5 milhões.
De acordo com o relatório, embora as organizações enfrentem desafios crescentes para prevenir ataques à medida que os cibercriminosos evoluem suas técnicas, houve avanços significativos na capacidade de recuperação após incidentes. O aumento dos investimentos em infraestrutura de backup provavelmente contribuiu para esse cenário: mais da metade das organizações (55%) consegue se recuperar de um ataque de ransomware em até uma semana, e 16% retomam suas operações em menos de um dia.
As empresas também seguem demonstrando eficácia nas negociações com operadores de ransomware. Entre aquelas que optaram por pagar o resgate, 51% conseguiram negociar um valor inferior ao inicialmente exigido pelos criminosos. Além disso, a demanda mediana de resgate caiu 65% nos últimos dois anos, enquanto a proporção de organizações que pagaram para recuperar seus dados recuou para 48% — a segunda menor taxa já registrada, atrás apenas de 2023 (46%).
Apesar de estratégias mais eficazes terem reduzido a capacidade dos criminosos de obter ganhos financeiros por meio de resgates, o custo médio de recuperação após um ataque aumentou e agora chega a US$ 1,7 milhão por incidente.
