Mais de metade das empresas de retalho atingidas por ataques de ransomware acaba por pagar o resgate para recuperar dados encriptados. A conclusão é do relatório State of Ransomware in Retail 2025, divulgado pela Sophos, que indica que 58% das organizações afetadas optaram por pagar — a segunda taxa mais elevada dos últimos cinco anos.
O estudo, baseado em respostas de líderes de TI e cibersegurança de 16 países, mostra ainda que quase metade (46%) destes ataques teve origem em falhas de segurança que as empresas desconheciam existir. A falta de visibilidade sobre a própria superfície de ataque continua, assim, a ser um dos problemas mais críticos no setor.
Falhas desconhecidas lideram a origem dos ataques
Segundo o relatório, 46% dos incidentes começaram devido a uma falha de segurança não identificada previamente pelos retalhistas. Outras vulnerabilidades conhecidas, mas não corrigidas, foram exploradas em 30% dos casos. É pelo terceiro ano consecutivo a principal causa técnica.
Apesar das vulnerabilidades, a taxa de encriptação de dados caiu para 48%, o valor mais baixo desde 2020. A Sophos atribui esta melhoria ao facto de mais ataques estarem a ser detetados e travados antes da encriptação.
Ransoms mais altos, pagamentos mais controlados
O pedido de resgate mediano duplicou para 2 milhões de dólares em comparação com o ano anterior. Ainda assim, o pagamento médio efetivo foi de 1 milhão, um aumento de 5%, mas apenas metade do valor exigido pelos atacantes.
Os dados sugerem que os retalhistas estão mais resistentes a aceitar pedidos inflacionados: 59% pagaram menos do que era solicitado e apenas 29% aceitaram pagar exatamente o montante pedido.
Grupos de ransomware continuam ativos no setor
A equipa da Sophos X-Ops identificou perto de 90 grupos de ameaça a atacar empresas de retalho através de ransomware ou extorsão em sites de leaks. Entre os grupos mais ativos estiveram Akira, Cl0p, Qilin, PLAY e Lynx.
Para além do ransomware, o comprometimento de contas foi o segundo incidente mais comum, seguido pelos ataques de comprometimento de email empresarial (BEC).
O impacto nas equipas também é significativo. Quase metade (47%) dos profissionais de TI e cibersegurança relatou aumento de pressão após um ataque com encriptação, e em 26% dos casos houve substituição das equipas de liderança.
A recuperação tornou-se, no entanto, menos dispendiosa: o custo médio de restauração após um ataque caiu 40%, para 1,65 milhões de dólares. O valor mais baixo dos últimos três anos.
Embora a encriptação esteja a diminuir, os atacantes têm ajustado as suas estratégias. O número de ataques exclusivamente de extorsão triplicou, passando de 2% em 2023 para 6% este ano. Ao mesmo tempo, a dependência de cópias de segurança caiu: só 62% dos retalhistas conseguiram restaurar dados a partir de backups, o valor mais baixo em quatro anos.
Recomendações: visibilidade, correções e monitorização contínua
A Sophos recomenda que as empresas reforcem a gestão de risco, investindo em visibilidade da sua superfície de ataque, correção de vulnerabilidades e monitorização 24/7, especialmente para organizações sem equipas internas robustas.
Entre as práticas consideradas essenciais estão:
- identificar e corrigir fragilidades técnicas e operacionais;
- proteger todos os endpoints, incluindo servidores;
- definir e testar planos de resposta a incidentes;
- manter cópias de segurança fiáveis e praticar a sua restauração;
- recorrer a serviços de deteção e resposta geridas (MDR).
Em suma, o setor já percebeu que a questão deixou de ser se virá um ataque, mas quando e preparar-se é a única forma de não ser apanhado de surpresa.
