Mais de metade (58%) das empresas de retalho cujos dados foram encriptados pagaram o resgate para recuperarem os seus dados – a segunda taxa de pagamento mais elevada dos últimos cinco anos. Adicionalmente, 30% dos ataques exploraram vulnerabilidades conhecidas (principal causa técnica, pelo terceiro ano consecutivo).
A Sophos, especialista em soluções de segurança avançadas para ciberataques, divulgou a quinta edição do seu Sophos State of Ransomware in Retail, um estudo anual conduzido junto de líderes de TI e cibersegurança em 16 países.
Os resultados deste ano revelam que quase metade (46%) dos incidentes de ransomware no setor do retalho teve origem numa falha de segurança desconhecida, sublinhando os desafios persistentes de visibilidade da superfície de ataque.
Por outro lado, 48% dos ataques resultaram em encriptação (o valor mais baixo em cinco anos). Já o pedido de resgate mediano duplicou para dois milhões de dólares face a 2024, mas o pagamento médio aumentou 5%, para um milhão de dólares.
Panorama crescente de ameaças no retalho
No último ano, a equipa da Sophos X-Ops identificou quase 90 grupos de ameaças distintos a atacar uma ou mais empresas de retalho com ransomware ou extorsão em websites de leaks. Os grupos mais ativos identificados pela Sophos em casos de resposta a incidentes e MDR foram Akira, Cl0p, Qilin, PLAY e Lynx.
Depois do ransomware, o comprometimento de contas foi o segundo tipo de incidente mais comum. Tal como acontece noutros setores, o retalho continua a ser um alvo frequente de grupos de comprometimento de emails empresariais (BEC) que tentam desviar pagamentos, sendo este o terceiro tipo de incidente mais comum.
«Os retalhistas em todo o mundo estão a enfrentar um panorama de ameaças cada vez mais complexo, em que os adversários procuram e exploram vulnerabilidades existentes – sobretudo em acessos remotos e equipamento de rede exposto à Internet. Com os pedidos de resgate a atingirem máximos históricos, torna-se ainda mais evidente a necessidade de implementar estratégias de segurança abrangentes. Sem elas, os retalhistas arriscam disrupções operacionais constantes e danos reputacionais duradouros. De forma encorajadora, muitos começam a reconhecer esta realidade e a investir nas suas defesas, o que lhes permite travar os ataques antes de estes escalarem, bem como recuperar mais rapidamente», afirmou Chester Wisniewski, Director, Global Field CISO da Sophos.
As competências internas limitadas foram o segundo fator operacional mais comum (45%), seguidas de lacunas na cobertura de proteção (44%). Sem as competências e a cobertura adequadas, os retalhistas têm dificuldade em detetar e neutralizar ataques.
Sinais de progresso, mas desafios persistem
Ainda assim, há sinais de progresso: a percentagem de ataques travados antes da encriptação atingiu o valor mais elevado dos últimos cinco anos. A taxa de encriptação também está no seu ponto mais baixo em cinco anos, com apenas 48% dos ataques a resultar em dados encriptados.
Embora o pagamento médio de resgates no setor do retalho tenha aumentado 5% (1 milhão de dólares em 2025 vs 950 mil dólares em 2024), esse valor corresponde apenas a metade do valor médio dos pedidos. Isto sugere que os retalhistas estão mais resistentes a exigências inflacionadas e que, potencialmente, estão também a recorrer a aconselhamento especializado para lidar com ataques de ransomware.
«Em última instância, os programas de segurança bem-sucedidos focam-se na gestão de risco. Para avaliar e gerir esses riscos, os retalhistas têm de ter visibilidade sobre as ameaças que enfrentam, bem como sobre os seus ativos e a sua postura de segurança. As organizações que combinam uma sólida gestão de ativos e correções (‘patches’) atempadas com serviços de Deteção e Resposta Geridas (MDR) e serviços de gestão de risco conseguem prevenir mais ataques e recuperar mais depressa, ao adotarem uma abordagem proativa à sua cibersegurança», acrescentou Chester Wisniewski.
Conclusões adicionais do relatório
A encriptação de dados está a diminuir, mas os adversários estão a adaptar-se: apesar de as taxas de encriptação de dados estarem no valor mais baixo em cinco anos, os adversários estão a adaptar-se adequadamente, e o número de ataques exclusivamente de extorsão triplicou (de 2% em 2023 para 6% em 2025);
- As taxas de recuperação através de cópias de segurança estão em queda: Apenas 62% dos retalhistas afetados restauraram dados através de cópias de segurança – o valor mais baixo dos últimos quatro anos;
- Os retalhistas estão a resistir aos pedidos de resgate: Olhando em detalhe para as exigências de resgate vs os pagamentos, apenas 29% dos retalhistas afirmam ter pago exatamente o valor exigido; 59% pagaram menos do que o inicialmente exigido, e 11% pagaram mais;
- Os custos de recuperação estão a baixar: O custo médio de recuperação (excluindo resgate) caiu 40% no último ano, para 1.65 milhões de dólares, o valor mais baixo em três anos;
- Os ataques tiveram impacto direto nas equipas: Quase metade (47%) das equipas de TI/cibersegurança no setor do retalho reportou aumento de pressão; em 26% dos casos, as equipas de liderança foram substituídas após o incidente.
Fortalecer as defesas a longo prazo
Por fim, a Sophos recomenda boas práticas para apoiar as empresas na defesa contra ransomware e outras ameaças:
- Eliminar as causas de raiz: corrigir fragilidades técnicas e operacionais comuns;
- Defender cada endpoint: proteger todos os endpoints, incluindo servidores, com defesas dedicadas contra ransomware;
- Planear e preparar: definir e testar regularmente um plano de resposta a incidentes, mantendo cópias de segurança fiáveis;
Monitorizar 24/7: reforçar resiliência através de serviços MDR com monitorização e resposta contínuas.
