A proporção de ataques de ransomware que resultaram em criptografia de dados na indústria manufatureira caiu de 74% em 2024 para 40% em 2025 — a menor taxa dos últimos cinco anos. Ao mesmo tempo, 50% dos ataques são agora interrompidos antes que a criptografia ocorra, mais que o dobro dos 24% registrados no ano anterior.
Os números constam do relatório “State of Ransomware in Manufacturing 2025” da Sophos, baseado em entrevistas com 332 líderes de segurança cibernética em 17 países. O estudo também aponta um dado preocupante: 100% dos profissionais que vivenciaram ataques com criptografia relataram impactos pessoais e profissionais. Em quase todas as métricas, a manufatura apresentou percentuais superiores à média de outros setores.
smart_display
Nossos vídeos em destaque
Vulnerabilidades e falhas operacionais
O relatório identificou tanto causas técnicas quanto fatores operacionais que deixam empresas manufatureiras expostas. No plano técnico, falhas não corrigidas correspondem a 32% dos incidentes, seguidas por emails maliciosos (23%) e credenciais comprometidas (20%).
A pesquisa também investigou por que essas brechas permaneceram abertas antes dos ataques, revelando desafios operacionais interligados. Em média, cada organização apontou três fatores diferentes que facilitaram a invasão.
Falta de expertise foi citada por 42,5% dos entrevistados, indicando ausência de conhecimento ou capacidade para detectar e bloquear ataques a tempo. Falhas de segurança desconhecidas aparecem em 41,6% dos casos: vulnerabilidades que as equipes desconheciam, pontos cegos na arquitetura de rede e configurações herdadas de sistemas legados. E 41% mencionaram proteção inadequada, destacando a ausência de ferramentas essenciais em pontos críticos.
Crescimento de ataques de extorsão pura
Com a melhora das defesas contra criptografia, outra tática ganhou força. Em 10% dos ataques em 2025, os criminosos não criptografaram os dados — apenas os exfiltraram e ameaçaram divulgá-los. Em 2024, essa abordagem representava 3% dos casos. Trata-se da segunda maior taxa desse tipo entre os setores pesquisados.
Quando há criptografia, 39% dos incidentes também envolvem roubo de dados — novamente, a segunda maior taxa setorial.
Recuperação mais rápida, custos menores
O custo médio de recuperação caiu 24%, de US$ 1,7 milhão para US$ 1,3 milhão. O tempo para restabelecer operações também diminuiu: 58% das empresas recuperaram-se em menos de uma semana, contra 44% em 2024. E 98% alcançaram recuperação completa em até três meses.
As demandas médias de resgate reduziram-se 20%, de US$ 1,5 milhão para US$ 1,2 milhão. Menos organizações efetuaram pagamentos: 51% em 2025, ante 62% em 2024.
Pagamentos extremos acima de US$ 5 milhões aumentaram de 15% para 18% dos casos. As organizações que pagaram em 2025 desembolsaram, em média, 86% do valor demandado — acima dos 70% registrados em 2024.
Backups consistentes, mas recuperação problemática
58% das organizações utilizaram backups para restaurar dados criptografados — mesma taxa de 2024. No entanto, apenas 91% das que sofreram criptografia conseguiram recuperar os dados — a menor taxa de recuperação entre todos os setores pesquisados.
Isso indica problemas na implementação. Backups podem não estar suficientemente isolados da rede de produção (os invasores frequentemente visam sistemas de backup), podem não ser testados regularmente ou o processo de restauração pode ser lento demais para ambientes industriais, onde cada hora de parada acarreta custos operacionais elevados.
Na manufatura, com operações que dependem de cadeias de suprimentos just-in-time e margens apertadas, uma restauração que dure dias pode resultar em cancelamento de contratos e perda de clientes.
Impacto direto nas equipes de segurança
Todos os profissionais que lidaram com ataques envolvendo criptografia relataram efeitos pessoais ou profissionais. A distribuição dos impactos:
- 47% relatam aumento da ansiedade sobre futuros ataques;
- 45% mencionam mudança nas prioridades da equipe;
- 44% enfrentam pressão maior da liderança;
- 41% reportam aumento da carga de trabalho;
- 41% citam alterações na estrutura organizacional;
- 40% sentem culpa por não terem impedido o ataque;
- 30% receberam mais reconhecimento da liderança;
- 27% tiveram a liderança da equipe substituída;
- 20% registraram afastamentos por estresse ou problemas de saúde mental.
Em quase todas as categorias, os percentuais na manufatura superaram a média intersetorial. A substituição de líderes ocorre em mais de um quarto dos casos. Um em cada cinco profissionais precisou se afastar por questões de saúde mental relacionadas ao incidente.
O aumento da capacidade de bloquear ataques cria uma dinâmica de expectativas mais altas. Cada ataque evitado estabelece um novo padrão esperado. Quando um ataque não é impedido, a pressão sobre as equipes aumenta.
Na manufatura, onde operações funcionam 24 horas por dia e interrupções têm custos imediatos e visíveis, essa pressão é repassada diretamente da diretoria para as equipes de TI e segurança. A pesquisa indica que essa dinâmica tem gerado impactos mensuráveis na saúde e na estabilidade das equipes.
Arquitetura de defesa em quatro pilares
O relatório sugere um modelo de proteção baseado em quatro áreas:
- Prevenção: corrigir vulnerabilidades de forma sistemática, promover treinamento contínuo contra phishing, adotar autenticação multifator e gerenciar credenciais de forma rigorosa;
- Proteção: aplicar defesas em camadas. Endpoints e servidores — especialmente os que controlam sistemas OT — devem ter proteção anti-ransomware dedicada, capaz de detectar e reverter criptografia maliciosa em tempo real;
- Detecção e Resposta: instituir monitoramento 24/7. Para organizações sem recursos ou expertise interna suficientes, serviços gerenciados de detecção e resposta (MDR) fornecem acesso a capacidades avançadas;
- Preparação: manter planos de resposta a incidentes testados regularmente, com backups isolados e processos de restauração validados por meio de exercícios práticos.
