O Brasil terceiro em ransomware desponta como um dos achados mais preocupantes do Relatório de Ciberameaças da Acronis – 2º Semestre de 2025: De exploits à IA maliciosa. Divulgado neste início de 2026, o documento confirma que apenas Estados Unidos e Índia registraram maior volume de detecções do sequestro de dados no período analisado, consolidando o país na terceira posição global.
Além de quantificar a ameaça, o relatório oferece um panorama completo sobre como gangues cibernéticas têm intensificado campanhas por e-mail, abusado de ferramentas legítimas do ecossistema Microsoft e adotado inteligência artificial (IA) para ampliar alcance e eficiência dos ataques. A seguir, destrinchamos os principais pontos do estudo, contextualizamos por que o Brasil figura nesse ranking de alto risco e detalhamos medidas fundamentais para organizações e usuários comuns.
Por que o Brasil ocupa o terceiro lugar em ransomware
De acordo com dados de telemetria coletados pela Threat Research Unit (TRU) da Acronis, o Brasil não apenas lidera a América Latina em volume de detecções, mas exibe características que chamam a atenção de grupos criminosos:
1. Base corporativa conectada e heterogênea – O país possui milhões de micros, pequenas e médias empresas que, muitas vezes, adotam tecnologias em nuvem sem a devida maturidade de segurança. Essa heterogeneidade cria amplo espectro de alvos, do varejo à indústria.
2. Infraestrutura digital em expansão – A transformação digital acelerada, turbinada pela pandemia e por políticas de inclusão, aumentou a superfície de ataque. Sistemas legados convivem com serviços modernos, situação que favorece brechas exploráveis.
3. Nível de conscientização desigual – Enquanto grandes corporações estruturam Centros de Operações de Segurança (SOCs) robustos, parte considerável do setor privado ainda subestima a complexidade de um ataque de ransomware, limitando-se à instalação de antivírus tradicional.
4. Atração financeira – A economia brasileira é a maior da América Latina e ocupa o top 10 mundial em Produto Interno Bruto. Os criminosos enxergam no país um cenário propício para pedir resgates significativos, pagos, em boa parte, em criptomoedas.
O que o relatório da Acronis revela sobre a evolução dos ataques
O documento divulgado pela Acronis elenca quatro tendências críticas que moldaram o ecossistema de ransomware no segundo semestre de 2025:
E-mail como vetor dominante
Os ataques baseados em e-mail continuaram crescendo. O volume médio de incidentes por organização subiu 16% na comparação anual, enquanto o número de ataques por usuário avançou 20%. O phishing permaneceu como porta de entrada principal, respondendo por 52% das tentativas direcionadas a provedores de serviços gerenciados (MSPs).
Abuso de ferramentas legítimas do Windows
No Brasil, assim como nos Estados Unidos e na Alemanha, o PowerShell despontou como a aplicação mais explorada. Ao utilizar comandos legítimos, as gangues reduzem a necessidade de arquivos maliciosos tradicionais, driblando soluções baseadas exclusivamente em assinaturas.
Crescimento de ameaças em plataformas de colaboração
A proporção global de incidentes que miram ambientes colaborativos saltou de 12% em 2024 para 31% em 2025. Organizações brasileiras, fortemente dependentes de suites de produtividade na nuvem, ampliaram a exposição a ataques que sequestram conversas, corrompem documentos e bloqueiam canais de comunicação interna.
Adoção de inteligência artificial pelos criminosos
Segundo a Acronis, sistemas automatizados já são empregados para reconhecimento de alvos, escalonamento de privilégios, engenharia social e, até mesmo, negociação simultânea de múltiplos resgates. A IA também serve de motor para criar conteúdos falsos que alimentam olhares convincentes em golpes de sequestro virtual.
Quem são os grupos de ransomware mais ativos
Embora o relatório não traga detalhamento específico para cada país, ele aponta que, no cenário internacional, mais de 7 600 vítimas foram divulgadas publicamente por grupos de ransomware entre julho e dezembro de 2025. Os coletivos Qilin, Akira e Cl0p figuram entre os mais ativos, mirando sobretudo setores de manufatura, tecnologia e saúde – áreas com alta dependência de disponibilidade operacional.
Para cada uma dessas gangues, a lógica do negócio ilícito costuma envolver o double extortion (dupla extorsão): além de criptografar sistemas, os criminosos exfiltram dados sensíveis e ameaçam vazá-los publicamente caso o resgate não seja pago. O modelo cria pressão sobre executivos, amplia danos reputacionais e, muitas vezes, expõe informações pessoais de clientes.
Setores mais afetados no Brasil
Embora o estudo mencione os segmentos globais mais visados, é possível observar, a partir da realidade brasileira, um reflexo direto em três frentes:
1. Indústria – Linhas de produção automatizadas requerem operação contínua. Paradas inesperadas causam prejuízos milionários e risco à segurança de trabalhadores.
2. Saúde – Hospitais, clínicas e laboratórios armazenam histórico clínico e exames. A interrupção de sistemas pode atrasar procedimentos críticos e até colocar vidas em risco.
3. Tecnologia e serviços – Provedores de software e MSPs funcionam como porta de entrada para dezenas ou centenas de clientes, transformando-se em alvos multiplicadores.
Como as campanhas de e-mail evoluíram
O ano de 2025 consolidou técnicas cada vez mais sofisticadas de BEC (Business E-mail Compromise). Mensagens personalizadas, elaboradas a partir de dados públicos colhidos em redes sociais, simulam comunicações internas ou solicitações de parceiros de negócios. Isso torna o risco perceptível somente após a vítima clicar em um anexo ou link malicioso.
Outro ponto crítico destacou pelo relatório é o uso de domínios quase idênticos aos originais (typosquatting). Um simples caractere trocado no endereço de e-mail costuma enganar até usuários atentos, especialmente em dispositivos móveis com tela pequena.
Como fator adicional, a IA facilita a redação de textos impecáveis, sem erros gramaticais nem sinais tradicionais de SPAM, diminuindo os indícios de alerta que sistemas automatizados e seres humanos costumavam identificar.
Ferramentas nativas do Windows como arma silenciosa
No contexto brasileiro, a exploração do PowerShell se tornou a tática favorita para comprometer dispositivos. Por meio de scripts criptografados ou ofuscados, invasores executam ações como:
• Coleta de credenciais armazenadas em navegadores.
• Movimentação lateral entre máquinas.
• Desativação de serviços de backup.
• Download de cargas adicionais sem gravar arquivos no disco.
A capacidade de operar inteiramente na memória (fileless malware) dificulta a vida de soluções antivírus baseadas em assinatura, pois não há hash fixo a ser bloqueado. Somado a isso, políticas internas permissivas ou falta de segmentação de rede ampliam o estrago.
Ataques a plataformas de colaboração: o elo fraco das equipes remotas
Com a consolidação do trabalho híbrido, serviços como Microsoft Teams, Google Workspace, Slack e outros se tornaram canais centrais de comunicação. A depender da configuração, um link ou arquivo malicioso compartilhado em chat pode contornar filtros de e-mail e infectar múltiplos dispositivos quase instantaneamente.
O relatório da Acronis mostra que a participação dessa categoria de ataque saltou para 31% em 2025, mais que o dobro do ano anterior. No Brasil, onde a adoção de suites colaborativas disparou, a tendência é particularmente relevante.
Imagem: Acris
Entre as táticas detectadas, destacam-se:
• Compartilhamento de documentos com macros nocivas;
• Falsos convites de reunião que redirecionam a páginas de phishing;
• Bots de chat integrantes do canal que inserem links infectados.
Inteligência artificial: aliada de defensores e de criminosos
Gerald Beuchelt, CISO da Acronis, resume no estudo a nova fase do risco digital: “Os atacantes estão aproveitando a inteligência artificial para agir mais rápido, de forma mais eficiente e em maior escala”. Em outras palavras, a mesma tecnologia que auxilia analistas de segurança também fornece superpoderes à criminalidade.
Entre os usos destacados no relatório:
Reconhecimento automatizado – Ferramentas de IA varrem grandes volumes de dados públicos para compilar perfis de executivos, cadeias de suprimentos e vulnerabilidades conhecidas.
Geração de conteúdo convincente – Phishing por e-mail ou redes sociais pode ser redigido com perfeição nativa, adaptado ao idioma e às gírias locais, dispensando tradutores humanos.
Negociação em massa – Chatbots alimentados por IA conduzem diálogos simultâneos com múltiplas vítimas, elevando a taxa de recuperação de resgates enquanto os operadores concentram esforços técnicos em novos alvos.
Riscos de cadeia de suprimentos e softwares de acesso remoto
O relatório reforça alertas sobre ataques que exploram AnyDesk, TeamViewer e outros aplicativos de controle remoto. Segundo a Acronis, campanhas desse tipo impactaram mais de 1 200 vítimas indiretas no mundo. O mecanismo é simples: comprometer um provedor de suporte ou software especializado e, a partir de suas credenciais, propagar malware a toda a base de clientes.
Para o Brasil, onde revendas de TI e integradores prestam serviços a inúmeras empresas, a ameaça é amplificada. Uma falha de configuração em rotina de acesso remoto pode se tornar porta de entrada para a rede interna de um hospital, por exemplo, com consequências sérias.
Como as empresas brasileiras podem responder
A posição do Brasil terceiro em ransomware serve de alerta urgente. O relatório da Acronis não aponta soluções milagrosas, mas reforça pilares de defesa validados pelo mercado:
1. Educação contínua – Campanhas de conscientização sobre phishing e higiene digital devem ocorrer o ano inteiro, com simulações práticas. A ideia é treinar reflexo crítico nos funcionários.
2. Política de patching rigorosa – Listas de vulnerabilidades exploradas em 2025 evidenciam que atualizações atrasadas permanecem principal porta de entrada. Inventário de ativos e automação de correções são vitais.
3. Segmentação de rede – Separar ambientes críticos dos demais impede que um ponto comprometido leve ao colapso total. Firewalls internos e VLANs tornam-se escudos adicionais.
4. Controle de aplicações – Limitar o uso de PowerShell e outras ferramentas nativas a administradores verificados, aplicando whitelisting, reduz ataques fileless.
5. Autenticação multifator (MFA) – Adotar MFA em e-mail, VPN, console de nuvem e sistemas de acesso remoto bloqueia grande parcela de invasões automatizadas.
6. Backup imutável – Cópias de segurança offline ou armazenadas em repositórios com controle de versão protegem dados mesmo diante de criptografia massiva pelo ransomware.
7. Simulação de resposta a incidentes – Exercícios de mesa e red team auxiliam a equipe a reagir rapidamente quando o pior acontecer, reduzindo tempo médio de detecção e contenção.
Impactos sociais e econômicos do ransomware no Brasil
Além dos prejuízos diretos, que podem envolver pagamento de resgates ou multas regulatórias, o ransomware gera ondas de choque que afetam cidadãos comuns. Hospitais paralisados atrasam exames, tribunais sem acesso aos autos virtuais postergam decisões judiciais e fábricas interrompidas demitem temporariamente funcionários.
No âmbito macroeconômico, a consolidação da imagem do Brasil terceiro em ransomware pode elencar o país como território de alto risco cibernético em relatórios de seguradoras internacionais, encarecendo apólices de cyber insurance e contratos de outsourcing. Dessa forma, a cibersegurança deixa de ser apenas requisito técnico e se converte em ativo de reputação nacional.
O que esperar para 2026
Como o relatório cobre apenas o segundo semestre de 2025, o comportamento em 2026 ainda está em construção. Porém, a análise retrospectiva permite projetar tendências:
Consolidação do RaaS – Ransomware-as-a-Service continua profissionalizando quadrilhas menores, fornecendo kits prontos de ataque via assinaturas mensais.
Migração para alvos de OT – Sistemas de Tecnologia Operacional (OT), controladores lógicos programáveis e redes industriais devem ganhar atenção redobrada, especialmente em mineração e energia.
Mais automação defensiva – Para equilibrar a balança frente à IA ofensiva, ferramentas de Threat Hunting automatizado e análise comportamental devem ganhar investimento pelas empresas.
Avanço regulatório – No Brasil, debates sobre obrigatoriedade de notificação de incidentes podem se intensificar, aproximando-se de modelos como o europeu NIS 2.
Conclusão
A confirmação de que o Brasil ocupa a posição de Brasil terceiro em ransomware não é mera estatística; trata-se de um chamado à ação. O Relatório de Ciberameaças da Acronis descreve um terreno onde e-mail, ferramentas legítimas do Windows, plataformas colaborativas e inteligência artificial se fundem em um ecossistema de alto poder destrutivo.
Empresas de todos os portes, órgãos governamentais e usuários domésticos precisam reconhecer o momento crítico. Investir em educação, tecnologia de defesa, backup e planejamento de resposta não é custo, mas condição de permanência em um mercado global cada vez mais atento a riscos cibernéticos. Manter a resiliência digital será determinante para que o país abandone, nos próximos relatórios, a incômoda terceira colocação.
Com informações de Olhar Digital
