Quase metade dos ataques de ransomware no varejo tem origem em falhas de segurança desconhecidas. O dado faz parte do relatório State of Ransomware in Retail 2025, divulgado pela Sophos, empresa global de cibersegurança. Segundo o levantamento, 46% dos incidentes foram atribuídos a vulnerabilidades não identificadas, o que evidencia os desafios de visibilidade na superfície de ataque das empresas do setor.
Entre as organizações que tiveram seus dados criptografados, 58% pagaram o resgate para recuperá-los. Essa é a segunda maior taxa de pagamento registrada em cinco anos. A média das exigências de resgate dobrou em relação a 2024, chegando a US$ 2 milhões, enquanto o valor médio pago aumentou 5%, alcançando US$ 1 milhão.
A origem e o impacto dos ataques
De acordo com o relatório, 30% dos ataques exploraram vulnerabilidades conhecidas, o principal fator técnico pelo terceiro ano consecutivo. Apesar disso, o número de ataques que resultaram em criptografia caiu para 48%, o menor índice em cinco anos, o que indica um avanço na capacidade de detecção precoce das empresas.
O grupo Sophos X-Ops identificou quase 90 grupos de cibercriminosos atuando contra o varejo em 2025. Entre os mais ativos estão Akira, Cl0p, Qilin, PLAY e Lynx. Além do ransomware, os incidentes mais comuns foram comprometimento de contas e fraudes de e-mail comercial (BEC).
“Os varejistas em todo o mundo estão enfrentando um cenário de ameaças mais complexo, no qual os adversários estão constantemente à procura e explorando vulnerabilidades existentes, mais frequentemente em equipamentos de rede com acesso remoto e conectados à Internet. Agora, com as exigências de resgate atingindo novos patamares, a necessidade de implementar estratégias de segurança abrangentes é ainda mais evidente. Sem isso, as vítimas correm o risco de sofrer interrupções operacionais contínuas e danos duradouros à reputação, que podem levar anos para serem reparados. É encorajador que muitos estejam começando a reconhecer isso e a responder investindo em defesas cibernéticas, o que lhes permite impedir os ataques antes que eles se intensifiquem e se recuperar mais rapidamente”, afirma Chester Wisniewski, diretor global de Segurança da Informação da Sophos.
Falta de visibilidade interna ainda é desafio
A pesquisa mostra que a falta de conhecimento interno foi o segundo fator operacional mais comum por trás das violações, citada por 45% dos entrevistados, seguida por lacunas na cobertura de proteção, com 44%.
Por outro lado, há sinais de progresso. A proporção de ataques interrompidos antes da criptografia atingiu seu nível mais alto em cinco anos, mostrando que as organizações estão reagindo mais rapidamente às ameaças.
O relatório também revela que o pagamento médio de resgate no varejo aumentou levemente, mas continua metade do valor normalmente exigido, o que sugere maior resistência das empresas às demandas dos criminosos e possível busca por aconselhamento especializado.
“No final das contas, os programas de segurança bem-sucedidos se concentram no gerenciamento de riscos. Os varejistas devem ter visibilidade das ameaças que enfrentam, bem como de seus ativos e sua postura de defesa. As organizações que combinam um forte gerenciamento de ativos e patches com serviços gerenciados de detecção e resposta garantem mais prevenção e se recuperam mais rapidamente, adotando uma abordagem proativa em suas proteções cibernéticas”, completa Wisniewski.
Dados do relatório State of Ransomware in Retail 2025
- A criptografia de dados atingiu o menor nível em cinco anos, mas a proporção de ataques apenas com extorsão triplicou, passando de 2% em 2023 para 6% em 2025.
- As taxas de backup caíram: apenas 62% dos varejistas restauraram dados a partir de cópias de segurança, o índice mais baixo em quatro anos.
- Apenas 29% dos varejistas atenderam à exigência inicial de pagamento, enquanto 59% negociaram valores menores e 11% pagaram mais do que o solicitado.
- O custo médio de recuperação, excluindo o pagamento de resgate, caiu 40%, chegando a US$ 1,65 milhão, o valor mais baixo em três anos.
- Os ataques impactaram as equipes: 47% dos profissionais de TI e segurança relataram aumento da pressão e 26% disseram que houve substituição da liderança após o incidente.
Estratégias de defesa recomendadas
Com base em sua experiência global, a Sophos recomenda que os varejistas eliminem vulnerabilidades técnicas e operacionais, adotem defesas anti-ransomware em todos os endpoints, mantenham planos de resposta testados regularmente e garantam monitoramento contínuo de ameaças.
Para empresas que não possuem recursos internos, a parceria com provedores de Managed Detection and Response (MDR) é apontada como essencial para uma defesa 24 horas por dia e resposta rápida a incidentes.
Metodologia
A pesquisa State of Ransomware in Retail 2025 foi conduzida entre janeiro e março de 2025 com 361 líderes de TI e segurança cibernética do setor de varejo, em organizações de 100 a 5 mil funcionários distribuídas em 16 países. Todos os entrevistados sofreram ataques de ransomware nos últimos 12 meses.
