O Brasil passou a ocupar uma posição alarmante no cenário global de ameaças digitais. De acordo com o relatório “Cyberthreats Report – 2º semestre de 2025”, divulgado pela Acronis, o país está entre os três com maior volume de detecções de ransomware no mundo, atrás apenas de Estados Unidos e Índia.
O dado é preocupante por si só. No entanto, o que realmente exige atenção do mercado é o contexto: crescimento consistente de ataques via e-mail, uso abusivo de ferramentas legítimas do ecossistema Microsoft, expansão de ameaças em plataformas de colaboração e incorporação ativa de inteligência artificial nas operações criminosas.
Não se trata apenas de volume. Trata-se de sofisticação, escala e maturidade do adversário.
O Brasil como alvo estratégico
O relatório aponta que o Brasil lidera a América Latina em volume de detecções de ransomware. O crescimento não foi pontual.
Houve aumento de 16% no volume médio de incidentes por organização em comparação anual e crescimento de 20% no número de ataques por usuário. Além disso, 52% dos vetores iniciais estavam relacionados a phishing direcionado a provedores de serviços gerenciados.
Esse cenário revela fragilidades estruturais relevantes no mercado brasileiro.
Primeiro, forte dependência do e-mail como canal operacional crítico.Segundo, baixa maturidade na proteção de identidades.Terceiro, superfície de ataque ampliada por cadeias de suprimento digitais.
A combinação desses fatores torna o Brasil um ambiente altamente atrativo para operações de ransomware em larga escala.
O novo ransomware: menos malware, mais abuso de ferramentas legítimas
Um dos pontos mais relevantes do estudo é o uso recorrente de ferramentas nativas do Windows nas cadeias de ataque. O PowerShell aparece como aplicação amplamente explorada, padrão também observado nos Estados Unidos e na Alemanha.
Essa mudança representa um desafio técnico significativo.
Ela reduz a necessidade de arquivos maliciosos tradicionais, diminui a eficácia de soluções baseadas exclusivamente em assinatura e aumenta o tempo de permanência do atacante no ambiente comprometido.
Observa-se um movimento consistente para técnicas conhecidas como Living off the Land, nas quais o invasor utiliza recursos legítimos da própria infraestrutura para se movimentar lateralmente e escalar privilégios.
Empresas que ainda operam com foco exclusivo em antivírus tradicional tendem a ter baixa capacidade de detecção nesse modelo de ataque.
Plataformas de colaboração como nova superfície crítica
O relatório também aponta crescimento expressivo de ameaças em plataformas de colaboração. Globalmente, esse tipo de ataque passou de 12% em 2024 para 31% em 2025.
Ambientes como Microsoft 365, ferramentas de compartilhamento de arquivos e soluções SaaS corporativas tornaram-se vetores estratégicos porque concentram dados sensíveis, operam com autenticação federada e possuem elevado nível de confiança interna.
Quando uma credencial é comprometida, o impacto deixa de ser localizado e passa a ser sistêmico.
Inteligência artificial como multiplicador de escala criminosa
O relatório destaca ainda a incorporação ativa de inteligência artificial nas operações de ataque.
Segundo a Acronis, a IA já está sendo utilizada para reconhecimento automatizado de alvos, engenharia social personalizada em escala, negociação automatizada de ransomware e criação de conteúdos falsos utilizados em golpes de extorsão.
O ransomware deixa de ser apenas um ataque técnico e passa a operar como modelo de negócio automatizado.
Essa evolução altera a assimetria entre ataque e defesa. A capacidade ofensiva cresce de forma exponencial, enquanto muitas organizações ainda dependem de processos defensivos manuais e reativos.
Setores mais afetados e risco sistêmico
Globalmente, mais de 7.600 vítimas foram expostas publicamente por grupos de ransomware no segundo semestre de 2025.
Os setores mais impactados foram manufatura, tecnologia e saúde. São segmentos com alta dependência de disponibilidade operacional, nos quais a interrupção gera prejuízo imediato.
O relatório também destaca riscos associados a ataques à cadeia de suprimentos e à exploração de ferramentas de acesso remoto como AnyDesk e TeamViewer, ampliando o impacto indireto para mais de 1.200 vítimas adicionais.
Esse cenário reforça um ponto crítico: o risco não está apenas dentro da sua organização, mas também em todo o ecossistema de parceiros e fornecedores.
O que esse cenário significa para as empresas brasileiras
Estar entre os três países mais afetados globalmente não representa apenas um dado estatístico negativo. É um indicativo claro de maturidade do adversário diante da superfície de ataque nacional.
Organizações que ainda operam com monitoramento reativo, falta de visibilidade de ativos, ausência de gestão contínua de vulnerabilidades, autenticação multifator mal configurada ou inexistente e estratégias de backup sem imutabilidade estão estruturalmente expostas.
A pergunta deixou de ser se haverá tentativa de ataque.
A pergunta correta é qual é o nível real de resiliência operacional diante de um cenário de ransomware automatizado e orientado por inteligência artificial.
O caminho estratégico: antecipação, monitoramento contínuo e defesa baseada em risco
O cenário apresentado exige evolução do modelo de defesa.
Algumas diretrizes tornam-se prioritárias.
Visibilidade contínua da superfície de ataque, com mapeamento constante de ativos expostos, aplicações web, APIs e endpoints.
Gestão de vulnerabilidades orientada a risco, priorizando exploração ativa e impacto no negócio, não apenas severidade técnica.
Monitoramento de identidade e comportamento para detectar uso anômalo de ferramentas legítimas.
Avaliação contínua de terceiros e provedores que compõem a cadeia de suprimentos digital.
Automação defensiva para equilibrar a escala crescente da capacidade ofensiva.
Se o ataque evolui com inteligência artificial, a defesa precisa evoluir com inteligência estratégica.
O Brasil estar entre os três países mais afetados por ransomware não é um evento isolado. É reflexo da transformação digital acelerada, da ampliação da superfície de ataque, da maturidade ofensiva internacional e de lacunas estruturais em governança e gestão de risco.
Organizações que ainda tratam ransomware como incidente pontual operam com um modelo mental ultrapassado.
O cenário atual demonstra que o ransomware se consolidou como operação criminosa estruturada, automatizada e escalável.
A maturidade defensiva precisa acompanhar essa evolução.
