A taxa de criptografia de dados em ataques de ransomware contra a indústria manufatureira caiu de 74% em 2024 para 40% em 2025 — a menor marca em cinco anos. Ao mesmo tempo, 50% dos ataques agora são interrompidos antes da criptografia, mais que o dobro dos 24% registrados no ano anterior.
Os dados fazem parte do relatório “State of Ransomware in Manufacturing 2025” da Sophos, baseado em entrevistas com 332 líderes de segurança cibernética em 17 países. Mas o mesmo levantamento revela um dado paralelo: 100% dos profissionais que enfrentaram ataques com criptografia de dados relataram impactos psicológicos e profissionais. Na maioria das categorias medidas, os números da manufatura ficaram acima da média de outros setores.
Vulnerabilidades e falhas operacionais
O relatório mapeou tanto as causas técnicas quanto os fatores operacionais que deixam organizações manufatureiras vulneráveis. No lado técnico, vulnerabilidades não corrigidas respondem por 32% dos ataques, seguidas por emails maliciosos (23%) e credenciais comprometidas (20%).
Mas a pesquisa também perguntou por que essas brechas não foram fechadas antes dos ataques. As respostas revelam desafios operacionais sobrepostos. Em média, cada organização citou três fatores diferentes que contribuíram para a invasão bem-sucedida.
Falta de expertise foi mencionada por 42,5% dos respondentes, para eles não há conhecimento ou capacidade suficiente para detectar e interromper ataques em tempo hábil. Falhas de segurança desconhecidas aparecem em 41,6% dos casos: brechas que as equipes não sabiam que existiam, pontos cegos na arquitetura de rede, configurações herdadas de sistemas legados. E 41% citaram falta de proteção adequada, com destaque para a ausência das ferramentas necessárias nos lugares críticos.
Crescimento de ataques de extorsão pura
Enquanto as defesas contra criptografia melhoraram, uma nova tática ganhou espaço. Em 10% dos ataques em 2025, os invasores não criptografaram dados, apenas os roubaram e ameaçaram vazar. Em 2024, essa abordagem representava 3% dos casos. É a segunda maior taxa desse tipo de ataque entre todos os setores pesquisados.
Quando há criptografia, 39% dos casos também envolvem roubo de dados — novamente, a segunda maior taxa setorial.
Recuperação mais rápida, custos menores
O custo médio de recuperação caiu 24%, de US$ 1,7 milhão para US$ 1,3 milhão. O tempo de recuperação também diminuiu: 58% das empresas se recuperam em menos de uma semana, contra 44% em 2024. E 98% alcançam recuperação completa em até três meses.
As demandas médias de resgate caíram 20%, de US$ 1,5 milhão para US$ 1,2 milhão. Menos organizações pagaram: 51% em 2025, contra 62% em 2024.
Pagamentos extremos acima de US$ 5 milhões aumentaram de 15% para 18% dos casos. As organizações que pagaram em 2025 pagaram, em média, 86% do valor demandado — um aumento sobre os 70% de 2024.
Backups consistentes, mas recuperação problemática
58% das organizações usaram backups para restaurar dados criptografados — taxa idêntica à de 2024. Mas apenas 91% das que tiveram dados criptografados conseguiram recuperá-los — a menor taxa de recuperação entre todos os setores pesquisados.
O dado sugere problemas na implementação. Backups podem estar insuficientemente isolados da rede de produção (os invasores frequentemente miram sistemas de backup), podem não ser testados com regularidade, ou o processo de restauração pode ser lento demais para ambientes industriais onde cada hora de parada tem custos operacionais significativos.
Na manufatura, onde operações funcionam em just-in-time supply chains e margens apertadas, uma restauração que leva dias pode resultar em cancelamento de contratos e perda de clientes.
Impacto direto nas equipes de segurança
Todos os profissionais que lidaram com ataques envolvendo criptografia de dados relataram consequências pessoais ou profissionais. A distribuição dos impactos:
- 47% relatam aumento de ansiedade sobre futuros ataques;
- 45% citam mudança de prioridades da equipe;
- 44% enfrentam pressão aumentada da liderança;
- 41% reportam aumento de carga de trabalho;
- 41% mencionam mudanças na estrutura organizacional;
- 40% sentem culpa por não terem impedido o ataque;
- 30% receberam maior reconhecimento da liderança;
- 27% tiveram a liderança da equipe substituída;
- 20% registraram afastamentos por estresse ou problemas de saúde mental.
Em quase todas as categorias, os percentuais da manufatura ficaram acima da média cross-setorial. A substituição de liderança atinge mais de um em cada quatro casos. Um em cada cinco profissionais precisou se afastar por questões de saúde mental relacionadas ao incidente.
O aumento na capacidade de bloquear ataques cria uma dinâmica de expectativas elevadas. Cada ataque impedido se torna o novo padrão esperado. Quando um ataque passa, a pressão sobre as equipes se intensifica.
Na manufatura, onde operações funcionam 24/7 e interrupções têm custos imediatos e visíveis, essa pressão desce da diretoria para as equipes de TI e segurança de forma direta. A pesquisa mostra que essa dinâmica está gerando consequências mensuráveis na saúde e estabilidade das equipes.
Arquitetura de defesa em quatro pilares
O relatório recomenda uma estrutura de proteção baseada em quatro áreas:
- Prevenção: corrigir vulnerabilidades sistematicamente, implementar treinamento contínuo contra phishing, adotar autenticação multifator e gerenciamento robusto de credenciais;
- Proteção: implementar defesas em camadas. Endpoints e servidores — especialmente aqueles que controlam sistemas OT — precisam de proteção anti-ransomware dedicada capaz de detectar e reverter criptografia maliciosa em tempo real;
- Detecção e Resposta: estabelecer monitoramento 24/7. Para organizações sem recursos ou expertise interna suficiente, serviços gerenciados de detecção e resposta (MDR) permitem acesso a capacidades avançadas;
- Preparação: manter planos de resposta a incidentes testados regularmente, com backups isolados e processos de restauração validados em exercícios práticos.