O que é ransomware? É um tipo de ataque em que criminosos bloqueiam, criptografam ou roubam dados de uma empresa para exigir pagamento. Na prática, ele não sequestra só arquivos. Ele sequestra operação, receita, prazo, reputação e a rotina da equipe.
Quando isso acontece, o prejuízo quase nunca está no boleto do resgate. O rombo real aparece no downtime, na parada de vendas, no esforço de recuperação, no risco regulatório e no desgaste com clientes e parceiros. No Brasil, o tema ficou ainda mais sério: o país segue como alvo pesado de ransomware e de outras ofensivas cibernéticas, com dados recentes colocando o Brasil entre os focos globais mais relevantes desse tipo de ameaça.
Resumo rápido
Ransomware é um tipo de ataque cibernético em que criminosos sequestram os sistemas da empresa, criptografam os dados e exigem resgate para liberar o acesso. No Brasil, o custo médio de recuperação após um ataque chega a R$ 6 milhões (IBM Cost of Data Breach 2024) — valor que ignora perdas de receita, multas da LGPD e danos à reputação. O país é o 1º da América Latina e 9º do mundo em volume de ataques. A recuperação pode levar de 1 semana a 3 meses. Os setores mais afetados em 2025 foram saúde, varejo, manufatura e serviços financeiros. Proteger-se exige mais do que antivírus: exige detecção ativa, resposta rápida e correção real de vulnerabilidades.
O que é ransomware, de verdade?
Ransomware é malware com um objetivo simples e brutal: deixar você sem acesso aos seus próprios dados até que pague pelo resgate.
O ataque começa normalmente por uma vulnerabilidade explorada, um e-mail de phishing ou uma credencial comprometida. A partir daí, o invasor entra no ambiente, se move lateralmente pelos sistemas por semanas — às vezes meses — e só então ativa a criptografia. Quando você vê a tela de resgate, o estrago já foi feito há muito tempo.
Segundo o relatório “The State of Ransomware in Enterprises 2025” da Sophos, vulnerabilidades exploradas foram a causa técnica mais comum dos ataques, presentes em 29% dos incidentes. Phishing e credenciais comprometidas aparecem logo atrás, cada um com 21% dos casos.
Isso não é descuido pontual. É falha estrutural de quem não tem visibilidade real do próprio ambiente.
Como o ataque evolui na prática
O ciclo clássico funciona em quatro fases:
- Acesso inicial — exploração de vulnerabilidade, phishing ou credencial roubada.
- Movimentação lateral — o invasor expande o acesso sem ser detectado, por semanas.
- Exfiltração de dados — cópia dos arquivos sensíveis antes de criptografar (dupla extorsão).
- Criptografia e extorsão — bloqueio dos sistemas + ameaça de publicar os dados.
A dupla extorsão mudou o jogo: agora não basta ter backup. Se os dados foram copiados, o criminoso ainda tem poder de ameaça mesmo que você restaure os sistemas.
Brasil: líder em ataque, retardatário em proteção
Os números não deixam dúvida sobre a posição do Brasil no mapa do crime cibernético.
O país é o 9º mais atacado do mundo e o 1º da América Latina, segundo dados consolidados do setor. Em 2025, foram registradas mais de 314,8 bilhões de atividades maliciosas em apenas seis meses, com 73% das empresas brasileiras já comprometidas em algum grau.
Só em ransomware confirmado, pelo menos 87 organizações foram vítimas no Brasil em 2025, envolvendo mais de 30 grupos criminosos diferentes e atingindo mais de 13 setores distintos — de prefeituras a farmácias, de concessionárias de veículos a empresas de energia.
E o Brasil também lidera outro ranking pouco honroso: é o 1º lugar entre 235 países no vazamento de cookies, com mais de 7 bilhões de registros expostos, dos quais 550 milhões ainda estão ativos (NordVPN, 2025). Isso alimenta diretamente o mercado de credenciais comprometidas que inicia a maioria dos ataques.
A pergunta correta não é mais “a minha empresa vai ser atacada?” A pergunta é: “quando isso acontecer, quanto tempo vai me custar e quanto vai sair do meu bolso?”
O custo real do ransomware para empresas brasileiras em 2026
Esse é o ponto em que CFOs param de olhar pro celular e passam a prestar atenção.
O resgate é a menor parte do problema
O custo médio de recuperação após um ataque de ransomware atingiu R$ 6 milhões para empresas brasileiras, conforme dados do relatório IBM Cost of Data Breach 2024. E isso sem incluir o valor pago de resgate.
Outra referência: o custo médio de uma violação de dados no Brasil subiu para R$ 7,19 milhões em 2025 (IBM/ftconsult, 2025). Para uma empresa de médio porte com faturamento entre R$ 30 milhões e R$ 100 milhões, isso representa entre 7% e 24% da receita anual — num único incidente.
Mas o número total é composto por várias camadas que raramente aparecem numa planilha de risco:
Receita parada: cada hora sem operar é faturamento perdido. Para e-commerce em datas sazonais (Black Friday, Natal), uma interrupção de 24 horas pode destruir o resultado do mês inteiro.
Custo de recuperação técnica: restauração de sistemas, investigação forense, reconstrução de infraestrutura, migração de dados — tudo isso tem preço. O custo médio de remediação (excluindo resgate) foi de US$ 1,84 milhão por empresa em 2025, segundo a Sophos.
Multas da LGPD: com a Lei 15.352/2026 transformando a ANPD em agência reguladora com autonomia real, as multas por vazamento de dados chegam a 2% do faturamento global da empresa, com teto de R$ 50 milhões por infração (LGPD, Art. 52). E não existe isenção por porte — a primeira multa da ANPD foi aplicada a uma microempresa.
Danos reputacionais: clientes mudam de fornecedor. Parceiros suspendem contratos. Investidores recalculam o risco. A ANPD pode determinar publicidade da infração — ou seja, o mercado fica sabendo. Esse custo não aparece na planilha, mas aparece na receita dos próximos 12 meses.
Tempo de recuperação: a recuperação pós-ransomware leva em média de 1 semana a 3 meses, segundo dados consolidados do setor. E 13% das organizações nunca se recuperam completamente, mesmo pagando o resgate.
Casos reais que mostram a dimensão do problema
O Grupo Jorge Batista, proprietário das Farmácias Globo no Piauí, foi atacado pelo grupo Gunra em 2025. O resultado: R$ 400 milhões em prejuízos diretos e indiretos, com sistemas fora do ar impedindo registro de vendas por dias.
A Carrera Chevrolet, atacada pelo grupo Rhysida, teve estimativa de R$ 15 milhões em perdas, incluindo dados de clientes, financiamentos e garantias comprometidos.
Esses não são casos isolados de má sorte. São o resultado previsível de ambientes com visibilidade limitada e tempo de resposta lento.
Por que pagar o resgate não resolve
Em 2025, 48% das empresas pagaram o resgate para recuperar dados — proporção que se mantém estável nos últimos quatro anos, segundo a Sophos. Mas pagar não garante retorno.
Primeiro: grupos como o RansomHub e o Akira não têm obrigação contratual com as vítimas. Dados criptografados podem não ser descriptografados mesmo após o pagamento. Segundo: dados exfiltrados antes do ataque continuam sob posse dos criminosos, que podem vendê-los ou usá-los em ataques futuros.
Terceiro: pagar sinaliza que a empresa é um bom alvo — e grupos criminosos compartilham essa informação no ecossistema de Ransomware-as-a-Service (RaaS).
A Cybersecurity Ventures estimou que os custos globais com ransomware chegarão a US$ 57 bilhões em 2025, com tendência de crescimento. O mercado não está encolhendo porque as vítimas estão pagando melhor. Está crescendo porque ainda há alvos sem proteção adequada.
As vulnerabilidades que abrem a porta
Existe um dado que deveria aparecer em toda apresentação de board de segurança: 85% das violações de dados no Brasil ocorrem por vulnerabilidades conhecidas e não corrigidas.
E mais: mais de 70% dos ataques exploram vulnerabilidades que o time de TI já conhecia. O problema nunca foi descoberta — foi correção.
Por que isso acontece? Porque o processo manual de patch management é lento, sujeito a erros e completamente incapaz de acompanhar o ritmo atual. Surgem mais de 100 novas vulnerabilidades por dia, e a janela média de exploração após a publicação de uma CVE é de 44 dias. Com correção manual, o tempo médio de remediação chega a 69 dias.
Quarenta e quatro dias de janela. Sessenta e nove dias de resposta. Esse gap de 25 dias é onde o ransomware vive.
Para entender melhor como funcionam as técnicas de ataque mais comuns, o guia técnico do NIST sobre gestão de vulnerabilidades é uma referência válida para times de TI que querem estruturar o processo de priorização.
O que diferencia uma empresa que sobrevive de uma que para
Não é o antivírus. Não é o firewall. E definitivamente não é o backup sozinho — em 2025, o uso de backups caiu para 53% das empresas, o menor nível em quatro anos (Sophos, 2025), enquanto o percentual de ataques que resultam em dados criptografados caiu para 49% porque empresas mais maduras estão detectando antes da execução.
A diferença está em três capacidades:
1. Velocidade de detecção (MTTD): saber que tem alguém dentro do seu ambiente antes que o dano aconteça. A pergunta não é “se” tem — é “quanto tempo vai levar para você descobrir”.
2. Velocidade de resposta (MTTR): uma vez detectado, quanto tempo leva para conter, isolar e começar a corrigir? Cada minuto tem preço quando a operação está parada.
3. Correção real, não só alerta: descobrir a vulnerabilidade não resolve nada. Ela precisa ser corrigida — idealmente de forma automatizada, priorizada por risco real e não apenas por CVSS, e com proteção comportamental para os sistemas que ainda não têm patch disponível.
O percentual de ataques interrompidos antes da criptografia mais que dobrou nos últimos dois anos — de 22% em 2023 para 47% em 2025 (Sophos, 2025). Isso não aconteceu por acaso. É resultado de detecção mais rápida e resposta mais ativa.
Como o time da VIVA Security aborda isso na prática
A VIVA Security opera como extensão do time de TI dos clientes — não como fornecedor que manda relatório e some. E a diferença entre as duas abordagens é exatamente o que separa as empresas que sobrevivem das que viram manchete.
Para proteção específica contra ransomware, o time da VIVA trabalha com a plataforma Halcyon, que opera em um nível técnico que a maioria dos EDRs tradicionais não alcança.
O que a tecnologia Halcyon faz diferente
EDRs convencionais detectam ransomware pela assinatura — precisam reconhecer o malware para bloqueá-lo. Isso significa que variantes novas, que chegam antes de qualquer atualização de base, passam despercebidas por horas ou dias.
A Halcyon detecta pela atividade de criptografia em si, independente de qual variante ou grupo está executando o ataque. Quando o processo de criptografia começa, a plataforma:
- Captura a chave de criptografia antes que os arquivos sejam bloqueados
- Interrompe o processo de criptografia
- Reverte os arquivos afetados sem necessidade de pagar resgate
Isso opera na Camada 0 do Kernel do Windows — mais profundo do que qualquer EDR convencional consegue atuar. O resultado: mesmo que o ransomware inicie a execução, a Halcyon pode reverter o dano.
É por isso que a tecnologia está em uso pelo Governo dos Estados Unidos — uma referência de exigência para decisores conservadores que precisam justificar escolha técnica para o board.
Mas tecnologia sem operação é só ferramenta. O que o time da VIVA traz além da plataforma é:
- Monitoramento humano 24×7 — analistas reais lendo os alertas, não só automações que criam tickets
- Integração com o ambiente existente — sem precisar jogar fora o que já funciona
- Resposta ativa — quando há incidente, o time age, não só avisa
Para entender melhor a arquitetura técnica da plataforma, você pode consultar nosso post sobre a Halcyon — mas o que a VIVA entrega é a operação em cima disso, adaptada ao contexto de cada cliente.
O cenário em 2026: o que mudou e o que piora
Além do crescimento em volume, o ransomware em 2026 ficou mais rápido e mais segmentado.
O tempo entre o comprometimento inicial e a implantação do ransomware reduziu significativamente. Criminosos aprenderam a operar mais rápido dentro dos ambientes. A IA generativa eliminou barreiras técnicas para campanhas de phishing hiperpersonalizadas. E o modelo de Ransomware-as-a-Service (RaaS) democratizou o ataque — qualquer grupo pode “terceirizar” a infraestrutura de ataque pagando uma comissão de 10% ao operador da plataforma.
Em 2025, 2025 foi o período mais ativo já registrado em volume de ataques declarados, com aumento de 50% no número de vítimas em sites de vazamento (Chainalysis 2026 Crypto Crime Report).
O ambiente regulatório também endureceu. A Lei 15.352/2026 transformou a ANPD em uma agência reguladora com poder real — investigar, autuar e punir. Isso muda a conta de risco: o custo de não se proteger agora inclui sanções administrativas que podem comprometer a operação.
Quer uma referência para entender como estruturar o processo de resposta a incidentes? O framework NIST Cybersecurity Framework oferece uma base sólida, mas a implementação prática exige quem conheça o ambiente específico da empresa — não um checklist genérico.
Perguntas frequentes sobre ransomware
Ransomware é um ataque em que criminosos bloqueiam o acesso aos sistemas e dados da empresa usando criptografia, e exigem pagamento para devolver o controle. Mesmo pagando, não há garantia de recuperação.
O custo médio de recuperação chegou a R$ 6 milhões no Brasil, segundo o IBM Cost of Data Breach 2024 — valor que considera apenas os custos de remediação, sem incluir receita perdida, multas da LGPD ou danos à reputação.
A recuperação pós-ataque leva em média de 1 semana a 3 meses, dependendo do nível de preparo. Empresas sem backups testados ou sem plano de resposta a incidentes ficam no topo desse intervalo.
Sim. O Brasil é o 1º da América Latina e o 9º do mundo em ataques cibernéticos. Em 2025, pelo menos 87 organizações foram vítimas de ransomware confirmado no país, atingindo mais de 13 setores diferentes.
Não necessariamente. Em 2025, 48% das empresas que pagaram o resgate ainda enfrentaram custos elevados de recuperação. Dados exfiltrados antes do ataque continuam sob controle dos criminosos mesmo após o pagamento.
A proteção efetiva exige três camadas: detecção rápida de ameaças (MTTD baixo), resposta ativa ao incidente (MTTR baixo) e correção real de vulnerabilidades — não só identificação. Ferramentas sem operação humana 24×7 deixam lacunas que os criminosos exploram.
Sim. Se o ataque resultou em vazamento de dados pessoais e a empresa não tinha medidas de segurança adequadas, a ANPD pode aplicar multas de até 2% do faturamento global, com teto de R$ 50 milhões por infração. Em 2026, com a Lei 15.352, a ANPD tem poder real de enforcement.
Sua operação está exposta agora
Ransomware não escolhe empresa por tamanho, setor ou localização. Escolhe pelo nível de exposição — e a maioria das empresas brasileiras ainda não sabe exatamente qual é o seu.
O time da VIVA Security faz exatamente esse mapeamento: Solicite seu Perfil de Ameaças e descubra onde estão as vulnerabilidades reais do seu ambiente antes que um grupo criminoso descubra antes de você.
👉 Solicite seu Perfil de Ameaças agora e saiba exatamente onde você está vulnerável.