Ransomware em 2025 foi um ano recorde. O que isso nos diz sobre resiliência no Brasil

Quando li o relatório Ransomware “Supergroups” Emerge After Record-Breaking Year of Attacks, confirmei ainda mais algo que já venho observando há algum tempo: não estamos apenas enfrentando mais ataques, estamos lidando com uma ameaça que se profissionalizou e se fragmentou de maneira que desafia abordagens tradicionais de defesa.

O relatório mostra que 2025 registrou um número recorde de grupos ativos de ransomware, com mais de uma centena de organizações criminosas operando globalmente e novos operadores surgindo ao longo do ano. Não se trata apenas de volume. O que mais chama atenção é o nível de organização. Esses grupos atuam dentro de um ecossistema estruturado de ransomware-as-a-service, no qual infraestrutura, ferramentas e campanhas são compartilhadas, comercializadas e aprimoradas continuamente.

A ideia de “supergroups” reforça essa percepção. Vemos alianças, compartilhamento de capacidades e uma cadeia de valor que lembra o mercado legítimo de tecnologia. Existe especialização, existe escala e existe competição. Isso muda o jogo.

Esse cenário global precisa ser analisado com cuidado no Brasil. As mesmas condições que impulsionaram esse crescimento lá fora existem aqui. Infraestruturas híbridas, múltiplos fornecedores, exposição digital crescente e, em muitos casos, governança ainda em amadurecimento.

Existem três pontos que considero centrais para nossa realidade.

O primeiro é que a ameaça está mais distribuída e menos previsível. Não existe mais um pequeno grupo dominante que concentra ataques. Há dezenas de atores com diferentes perfis, técnicas e modelos de extorsão. Isso significa que confiar apenas em assinaturas conhecidas ou respostas padronizadas é insuficiente. A superfície de ataque permanece ampla e as abordagens defensivas precisam ser mais estruturadas.

O segundo ponto é que o Brasil não está à margem desse movimento. Temos histórico consistente de incidentes relevantes, muitos deles subnotificados. A profissionalização global da ameaça aumenta a probabilidade de organizações brasileiras se tornarem alvo não apenas por fragilidade, mas por oportunidade. Quanto maior a maturidade do mercado criminoso, maior a capacidade de atingir múltiplos países simultaneamente.

O terceiro ponto, e talvez o mais importante, é o impacto disso sobre nossa discussão de resiliência cibernética. Em meus artigos aqui no Café com Bytes, tenho insistido na ideia de que resiliência não se resume a detectar e responder. Ela começa na aceitação de que o incidente pode acontecer e exige preparação para minimizar impacto e recuperar rapidamente.

Quando o ransomware se organiza em supergrupos e opera como mercado, a resiliência precisa ser igualmente estruturada. Isso envolve inventário real de ativos, governança de identidade bem definida, redução consistente de privilégios, segmentação adequada e, sobretudo, estratégias de backup imutáveis e testadas. Não basta ter tecnologia. É preciso ter disciplina operacional.

O relatório não deve ser lido apenas como estatística global. Ele é um indicativo de que o adversário evoluiu seu modelo de negócio. E quando o modelo de negócio do crime evolui, nossa postura defensiva também precisa evoluir.

Não estamos falando de um pico isolado. Estamos falando de um mercado que se consolidou. Se a ameaça se profissionaliza, nossa defesa precisa acompanhar esse ritmo. Caso contrário, continuaremos reagindo a cada novo nome que surge, enquanto o problema estrutural permanece intocado.

O ano recorde de 2025 não é apenas um dado. É um sinal claro de que o cenário mudou definitivamente. E no Brasil, onde ainda discutimos prioridades básicas de governança e maturidade de controles, ignorar esse sinal é escolher operar em desvantagem.

A pergunta que fica não é se um desses grupos vai tentar atingir organizações brasileiras. A pergunta é se estamos preparados para enfrentar uma ameaça que já deixou de ser amadora há muito tempo.