Relatório da Arctic Wolf revela disparada de extorsão sem criptografia e domínio do acesso remoto nos ataques
A edição 2026 do Threat Report da Arctic Wolf traz um retrato preocupante, mas extremamente claro, da atual paisagem de ameaças cibernéticas. A partir da análise de centenas de respostas a incidentes reais e de dados de inteligência de ameaças coletados ao longo de 2025, o documento mostra que o crime digital está se afastando do modelo clássico de ransomware com criptografia e migrando para estratégias de extorsão baseadas principalmente no roubo de dados e no abuso de ferramentas legítimas de acesso remoto.
Segundo o relatório, três tipos de incidentes concentraram praticamente todo o volume de casos investigados pela empresa em 2025: ataques de ransomware, business email compromise (BEC) e violações de dados. Juntos, eles responderam por 92% de todos os engajamentos de resposta a incidentes. O ransomware segue aparecendo como a categoria individual mais frequente, mas a tendência mais marcante é o crescimento explosivo dos ataques de extorsão focados exclusivamente em dados – sem criptografia dos sistemas.
Comparando ano a ano, os episódios de extorsão baseados apenas em roubo de informações aumentaram em 11 vezes. Essa mudança reflete uma adaptação clara dos criminosos: como muitas organizações vêm fortalecendo suas rotinas de backup e recuperação, tornando-se mais resilientes à indisponibilidade causada pela criptografia, os atacantes passaram a apostar no vazamento ou na ameaça de divulgação de dados sensíveis para forçar o pagamento.
Outro ponto crítico evidenciado pelo relatório é a maneira como os invasores estão entrando nas redes. Em 65% das intrusões que não envolviam BEC, a porta de entrada foi o abuso de tecnologias de acesso remoto, como RDP (Remote Desktop Protocol), VPNs e ferramentas de monitoramento e gerenciamento remoto (RMM). Em outras palavras, em vez de depender de exploits sofisticados em vulnerabilidades pouco conhecidas, os criminosos estão preferindo caminhos mais simples: aproveitar credenciais fracas, configurações mal feitas ou acessos legítimos mal protegidos.
Esse comportamento é resumido pela frase de Ismael Valenzuela, vice-presidente de Labs, Pesquisa e Inteligência de Ameaças da Arctic Wolf: os atacantes estão “fazendo login em vez de invadir, roubando dados em vez de criptografá-los e explorando ferramentas confiáveis em vez de vulnerabilidades complexas”. O foco está na eficiência operacional do crime, reduzindo custos, riscos e complexidade técnica para os grupos de ameaça.
O relatório destaca também a importância da fase chamada de “pré-ransomware”. Em 2025, atividades relacionadas a essa etapa inicial – quando o invasor já tem presença na rede, faz reconhecimento, movimentação lateral e preparação, mas ainda não executou a criptografia – representaram 5% dos casos atendidos. Nessas situações, a detecção precoce e uma resposta rápida impediram que o ataque evoluísse para bloqueio de sistemas, o que costuma ser a parte mais visível e destrutiva dos incidentes de ransomware.
Os dados mostram ainda uma mudança relevante no comportamento das vítimas. Em 77% dos ataques de ransomware analisados, as organizações se recusaram a pagar o valor exigido pelos criminosos. Entre aquelas que optaram por pagar, o uso de negociadores especializados levou a uma redução média de 67% nas quantias inicialmente solicitadas. Isso sugere um amadurecimento no enfrentamento a incidentes e reforça a importância de ter planos de resposta bem estruturados, que incluam critérios claros para decisões críticas como a negociação ou não com extorsionistas.
No campo do business email compromise, o vetor dominante continua sendo o phishing. De acordo com o relatório, 85% dos incidentes de BEC começaram com uma mensagem fraudulenta, geralmente desenhada para enganar colaboradores e levá-los a revelar credenciais, aprovar pagamentos indevidos ou fornecer informações sensíveis. O uso crescente de inteligência artificial pelos criminosos torna essas campanhas ainda mais perigosas, pois facilita a criação de e-mails muito mais convincentes, personalizados e em grande escala.
Outro alerta importante diz respeito às vulnerabilidades exploradas. Todas as principais CVEs utilizadas em ataques em 2025 eram de anos anteriores, 2024 ou antes. Isso evidencia um problema crônico: muitas organizações continuam atrasadas na aplicação de patches e não executam, de forma consistente, a rotação de credenciais após a divulgação de falhas. Assim, mesmo vulnerabilidades amplamente conhecidas e documentadas seguem servindo como porta de entrada para invasores.
Para Kerri Shafer-Page, vice-presidente de Resposta a Incidentes da Arctic Wolf, o fator decisivo continua sendo o tempo. Segundo ela, quando a equipe de defesa consegue identificar atividades suspeitas antes que o adversário consiga escalar privilégios ou acionar o ransomware, o impacto financeiro, o período de indisponibilidade e a interrupção das operações caem de forma dramática. Em muitos casos, a diferença entre um incidente contido e um desastre completo está em poucos minutos ou horas de detecção.
Além dos números, o relatório reforça um ponto que muitas empresas ainda subestimam: o risco associado a ambientes em nuvem e SaaS. Há uma falsa sensação de segurança de que, por estar na nuvem, tudo estaria automaticamente protegido e com backup garantido. Na prática, a maioria dos provedores de serviços trabalha com modelos de responsabilidade compartilhada, em que a infraestrutura é protegida pelo fornecedor, mas a garantia de backup adequado, retenção de dados e proteção contra exclusão maliciosa ou acesso indevido continua sendo responsabilidade do cliente.
A dependência de ferramentas de acesso remoto também expõe uma fragilidade estrutural. Em muitos casos, essas soluções foram adotadas às pressas, sobretudo em períodos de trabalho remoto massivo, sem uma revisão profunda de políticas de autenticação, segmentação de rede e monitoramento. O resultado é um grande número de endpoints com RDP exposto, VPNs sem autenticação multifator e ferramentas RMM configuradas com privilégios excessivos – um prato cheio para grupos de ransomware e operadores de extorsão.
Outra dimensão pouco discutida é o impacto humano desses ataques. Extorsões baseadas em vazamento de dados não afetam apenas o balanço financeiro das empresas, mas também a privacidade de clientes, colaboradores e parceiros. Dados pessoais, informações de saúde, segredos comerciais e estratégias de negócio podem ser colocados à venda ou expostos publicamente, gerando danos reputacionais e legais de longa duração. Para muitas organizações, o verdadeiro prejuízo se mede em perda de confiança.
Dentro desse cenário, algumas boas práticas se destacam como fundamentais. Reforçar o controle de acesso remoto – com autenticação multifator obrigatória, revisão de regras de firewall, limitação de privilégios e monitoramento contínuo – tornou-se requisito básico. Do mesmo modo, é essencial manter um programa consistente de gestão de vulnerabilidades e patches, priorizando falhas ativamente exploradas e garantindo que credenciais associadas a sistemas expostos sejam rotacionadas sempre que uma nova vulnerabilidade crítica vier à tona.
Na defesa contra BEC e phishing, a combinação de tecnologia e educação é indispensável. Filtros avançados de e-mail, análise de comportamento e detecção de anomalias ajudam, mas não substituem o treinamento contínuo dos usuários, hoje ainda o alvo preferencial dos atacantes. Em um contexto em que mensagens geradas ou aprimoradas por IA se tornam quase indistinguíveis de comunicações legítimas, a conscientização sobre verificação de remetentes, validação de pedidos financeiros e uso de canais secundários de confirmação é cada vez mais estratégica.
Outro ponto que o relatório, indiretamente, reforça é a necessidade de capacidades de detecção e resposta gerenciadas. Muitas empresas, especialmente de médio porte, não dispõem de equipes internas 24×7 capazes de monitorar logs, identificar sinais sutis de comprometimento e reagir em tempo real. Modelos de segurança que combinam ferramentas de automação, inteligência de ameaças atualizada e suporte especializado podem ser a diferença entre um incidente controlado e um ataque que paralisa toda a operação.
Por fim, o aumento da extorsão sem criptografia muda também a forma como as empresas devem encarar planos de continuidade de negócios. Apenas ter backups atualizados já não é suficiente. É preciso pensar em estratégias de proteção de dados sensíveis, segregação de informações críticas, políticas rígidas de acesso, além de simulações regulares de incidentes que incluam cenários de vazamento e chantagem. Preparar a comunicação com clientes, reguladores e o mercado em situações de exposição de dados passa a ser parte essencial da resiliência cibernética.
O Threat Report da Arctic Wolf para 2026, ao sintetizar esses movimentos, deixa claro que a segurança da informação entrou em uma nova fase: menos focada em ataques barulhentos e puramente técnicos, mais marcada pelo uso criativo de ferramentas legítimas, pela exploração de falhas humanas e pelo peso da extorsão baseada em dados. Para CISOs, gestores e equipes de TI, a mensagem é direta: quem investir em detecção precoce, resposta ágil, proteção de acessos remotos e boa governança de dados estará em posição muito mais favorável para enfrentar essa onda de ameaças em evolução constante.