Ransomware não é novidade nem uma ameaça particularmente exótica, mas, mesmo após anos de ataques, continua entre as principais e mais destrutivas ameaças enfrentadas por organizações ao redor do mundo.
Apesar dos investimentos significativos das equipes de segurança em prevenção e detecção, os atacantes ainda encontram formas de contornar as defesas.
A dupla extorsão (double extortion) tornou-se a estratégia padrão: os grupos criminosos não apenas criptografam sistemas, mas também roubam dados sensíveis para aumentar a pressão sobre as vítimas.
Alguns atores estão, inclusive, abandonando a etapa de criptografia para focar exclusivamente no roubo e na extorsão dos dados, uma tática que facilita evitar a detecção e agiliza o ataque.
O Blue Report 2025, elaborado pela Picus Security, revela claramente como as defesas de cibersegurança vêm falhando.
Com base em mais de 160 milhões de resultados de Breach and Attack Simulation (BAS), o relatório aponta uma queda na eficácia geral da prevenção, que passou de 69% em 2024 para 62% em 2025.
O dado mais preocupante está na prevenção contra exfiltração de dados: o índice despencou de 9% para apenas 3%, deixando as organizações vulneráveis justamente no ponto que os grupos de ransomware mais exploram.
A lição é clara: acreditar que suas defesas são eficazes não significa estar protegido.
Sem validação constante, os mecanismos de defesa falharão quando mais forem necessários.
Analisando os dados, fica evidente que estar preparado contra ransomware não é algo que se presume — é algo que deve ser comprovado.
Isso implica testar continuamente as defesas da organização contra famílias tradicionais de ransomware, assim como contra as variantes mais recentes detectadas na internet.
O problema com ransomware é que a familiaridade frequentemente gera uma falsa sensação de segurança.
As equipes de segurança acreditam estar protegidas contra as famílias mais conhecidas, mas, com o tempo, suas defesas enfraquecem conforme as configurações se alteram e os ambientes mudam.
Enquanto isso, os operadores de ransomware seguem adaptando suas técnicas.
Códigos são refeitos, loaders atualizados e métodos de evasão refinados para evitar a detecção.
O que funcionava contra a campanha de ontem provavelmente não funcionará contra a de hoje.
O Blue Report confirma essa realidade de forma contundente.
Entre as 10 famílias de ransomware menos prevenidas, cinco são novas ou emergentes, mas têm a mesma eficácia para burlar defesas que as já consolidadas.
Famílias tradicionais continuam a ter sucesso.
O BlackByte, por exemplo, permanece como o ransomware mais difícil de prevenir pelo segundo ano consecutivo, explorando aplicações expostas ao público e exfiltrando dados antes mesmo da criptografia.
O BabLock mantém a pressão com ataques de dupla extorsão, enquanto o Maori utiliza entregas fileless e campanhas regionais.
Esse quadro mostra como as defesas se desgastam facilmente no mundo real.
As variantes emergentes atacam com igual eficiência.
FAUST, Valak e Magniber burlam controles por meio de modificações no registro, payloads modulares e execuções em etapas.
Quase metade dos ataques obtém sucesso, provando que ameaças novas rapidamente se tornam relevantes.
Nomes já estabelecidos seguem adaptando suas técnicas.
BlackKingdom, Black Basta e Play conseguem contornar defesas usando credenciais roubadas, técnicas como process hollowing e execução remota de serviços.
Mesmo com anos de documentação, continuam sendo difíceis de conter.
Operadores avançados, como o AvosLocker, mantêm resiliência.
Este malware obteve apenas 52% de prevenção, explorando escalonamento de privilégios e ofuscação sofisticada para atingir setores críticos, mesmo diante de defesas específicas.
Esses resultados destacam um ponto crucial: a diferença entre ransomware “conhecido” e “emergente” está se tornando cada vez menos relevante.
Sem testes contínuos, tanto variantes antigas quanto novas conseguem ultrapassar as defesas.
Os grupos de ransomware quase nunca dependem de um único método.
Eles combinam diversas técnicas ao longo da cadeia de ataque (kill chain), explorando o ponto mais vulnerável em qualquer conjunto de defesas.
O Blue Report 2025 revela que as lacunas persistentes em prevenção e detecção continuam fornecendo exatamente a brecha que os invasores precisam.
No detalhamento:
- Entrega de malware: a prevenção caiu para 60%, contra 71% em 2024.
Apesar de ser uma das formas de ataque mais antigas, loaders e droppers ainda burlam defesas estáticas.
- Pipeline de detecção: somente 14% dos ataques geraram alertas, mesmo com 54% sendo registrados em logs.
Essa distância entre o que é registrado e o que é detectado deixa os defensores praticamente cegos frente tanto às famílias tradicionais, como BlackByte, quanto às variantes recentes, como FAUST e Magniber.
- Exfiltração de dados: a eficácia na prevenção caiu para apenas 3% em 2025, o pior índice entre todos os vetores analisados.
Essa falha alimenta o crescimento dos ataques de dupla extorsão, nos quais a divulgação dos dados roubados intensifica a pressão.
- Proteção de endpoints: apesar de bloquearem 76% dos ataques, movimentos laterais e escalonamento de privilégios ainda foram bem-sucedidos em 25% dos casos.
Famílias como Black Basta e Play aproveitaram essas brechas para se espalhar dentro das redes comprometidas.
No geral, o ransomware prospera não por usar técnicas de ponta, mas porque as defesas falham nos momentos críticos.
Cinco das dez principais famílias destacadas são variantes tradicionais, mas conseguem evitar os controles com a mesma eficiência das ameaças emergentes.
Os atacantes não precisam inovar — basta explorar o que já está quebrado.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...