A indústria manufatureira registrou uma queda significativa nos ataques de ransomware com criptografia de dados em 2025. A taxa passou de 74% em 2024 para 40% neste ano, o menor nível dos últimos cinco anos. Em paralelo, metade das tentativas de ataque passou a ser interrompida antes mesmo da criptografia, mais que o dobro dos 24% registrados no ano anterior.
Os dados fazem parte do relatório State of Ransomware in Manufacturing 2025, da Sophos, baseado em entrevistas com 332 líderes de cibersegurança de 17 países. Apesar do avanço defensivo, o estudo revela um efeito colateral preocupante: 100% dos profissionais que enfrentaram ataques com criptografia relataram impactos psicológicos ou profissionais. Em praticamente todos os indicadores, a manufatura aparece acima da média de outros setores.
Vulnerabilidades técnicas e gargalos operacionais
Do ponto de vista técnico, as principais portas de entrada continuam conhecidas. Vulnerabilidades não corrigidas respondem por 32% dos ataques, seguidas por emails maliciosos (23%) e credenciais comprometidas (20%).
O problema vai além da tecnologia. A pesquisa mostra que as brechas não são fechadas por uma combinação de fatores operacionais. Em média, cada organização apontou três motivos diferentes para o sucesso dos ataques. Falta de expertise foi citada por 42,5% dos entrevistados, indicando dificuldade em detectar e conter ameaças em tempo hábil. Falhas de segurança desconhecidas aparecem em 41,6% dos casos, incluindo pontos cegos na rede e sistemas legados mal configurados. Já 41% mencionaram ausência de proteção adequada, especialmente em áreas críticas da infraestrutura.
Extorsão sem criptografia ganha espaço
Enquanto os ataques com criptografia perdem força, outra tática cresce rapidamente. Em 2025, 10% dos ataques se basearam apenas no roubo de dados seguido de ameaça de vazamento, sem criptografar sistemas. No ano anterior, esse número era de 3%. Trata-se da segunda maior taxa desse tipo de ataque entre todos os setores analisados.
Mesmo quando há criptografia, o roubo de dados segue presente: 39% dos casos combinam as duas estratégias, novamente colocando a manufatura entre os setores mais visados.
Recuperação mais rápida e custos em queda
O custo médio de recuperação caiu 24%, passando de US$ 1,7 milhão para US$ 1,3 milhão. O tempo de resposta também melhorou: 58% das empresas se recuperam em menos de uma semana, contra 44% em 2024. Em até três meses, 98% conseguem retomar completamente as operações.
As demandas médias de resgate diminuíram 20%, chegando a US$ 1,2 milhão. Menos empresas optaram por pagar: 51% em 2025, ante 62% no ano anterior. Ainda assim, pagamentos acima de US$ 5 milhões cresceram de 15% para 18% dos casos. Quem pagou acabou desembolsando, em média, 86% do valor exigido, acima dos 70% registrados em 2024.
Backups existem, mas nem sempre funcionam como esperado
O uso de backups permaneceu estável: 58% das organizações recorreram a eles para restaurar dados criptografados. No entanto, apenas 91% conseguiram recuperar efetivamente as informações, a pior taxa entre todos os setores avaliados.
O dado sugere falhas de implementação. Em muitos casos, os backups não estão isolados da rede de produção, não são testados com frequência ou exigem processos de restauração lentos demais. Em ambientes industriais, onde cadeias just-in-time e margens apertadas são regra, dias de indisponibilidade podem significar perda de contratos e clientes.
O peso do ataque sobre as equipes de segurança
Todos os profissionais envolvidos em incidentes com criptografia relataram impactos diretos. Entre os principais efeitos estão aumento da ansiedade (47%), mudança de prioridades da equipe (45%), maior pressão da liderança (44%) e crescimento da carga de trabalho (41%). Mudanças na estrutura organizacional também foram comuns, assim como sentimentos de culpa por não ter evitado o ataque.
Em 27% dos casos, a liderança da equipe foi substituída. Em 20%, houve afastamentos por estresse ou problemas de saúde mental. A lógica é dura: quanto mais ataques são bloqueados, maior se torna a expectativa de que nenhum passe. Quando isso acontece, a cobrança recai com força sobre TI e segurança, especialmente em operações que funcionam 24 horas por dia.
Quatro pilares para fortalecer a defesa
O relatório da Sophos recomenda uma arquitetura de proteção baseada em quatro frentes. A prevenção passa por correção contínua de vulnerabilidades, treinamento contra phishing, autenticação multifator e gestão rigorosa de credenciais. A proteção exige defesas em camadas, com soluções anti-ransomware específicas para endpoints, servidores e sistemas OT.
Detecção e resposta dependem de monitoramento constante. Para empresas sem equipe ou expertise suficiente, serviços gerenciados de detecção e resposta podem preencher essa lacuna. Por fim, a preparação envolve planos de resposta a incidentes testados regularmente, com backups isolados e processos de restauração validados na prática.
Os números mostram que a indústria está mais resiliente tecnicamente. O desafio agora é sustentar esse avanço sem esgotar as pessoas responsáveis por manter tudo funcionando.
