A maior parte dos ataques de ransomware registrados globalmente não segue uma lógica de direcionamento prévio por setor ou localização, mas ocorre de forma oportunista, a partir de acessos já disponíveis aos ambientes corporativos. É o que aponta uma análise da Sophos Counter Threat Unit (CTU), que destaca que cibercriminosos com motivação financeira exploram credenciais roubadas, campanhas de phishing e vulnerabilidades em serviços expostos à internet para comprometer organizações de diferentes perfis.

De acordo com o levantamento, pequenas e médias empresas concentram a maior parte das tentativas de implantação de ransomware, reflexo de investimentos mais limitados em cibersegurança e da ausência de equipes dedicadas. Embora organizações de maior faturamento possam ser vistas como mais lucrativas, setores altamente regulados (como o financeiro) apresentam menor incidência de ataques bem-sucedidos, em razão de controles mais maduros, exigências regulatórias e arquiteturas desenhadas para reduzir superfícies de ataque

Exploração de tecnologias compartilhadas

O estudo ressalta que a impressão de “preferência setorial” costuma estar associada à exploração de vulnerabilidades em tecnologias amplamente adotadas por determinados segmentos. Esta impressão também pode vir devido a decisões pontuais de grupos de cibercrime que acreditam ter maior chance de pagamento em áreas como saúde e educação. Ainda assim, esses episódios representam uma parcela reduzida do volume total de vítimas, mantendo o caráter majoritariamente aleatório das campanhas de ransomware.

A análise também diferencia operações conduzidas por cibercriminosos de ataques patrocinados por Estados, que são menos frequentes e, nesses casos, deliberadamente direcionados, com objetivos que vão além do ganho financeiro, incluindo espionagem, disrupção e influência geopolítica. Mesmo assim, esses ataques correspondem a uma fração pequena do ecossistema global de ransomware.

Defesa eficaz passa por fundamentos técnicos

Como resposta, a CTU reforça que a estratégia defensiva mais eficaz não está na tentativa de antecipar quais grupos podem atacar, mas no fortalecimento contínuo das bases de segurança. Implementações de medidas de defesa e prevenção nem sempre são simples, seja pela complexidade dos sistemas seja pela cultura corporativa, contudo são essenciais. Entre as sugestões da Sophos aparecem a gestão rigorosa de patches em serviços exposta à internet e a autenticação multifator resistente a phishing em todas as contas de usuários. Também são listada como prioritárias ações como o uso de soluções de detecção e resposta em endpoints e a manutenção de backups imutáveis. Com isso é possível reduzir riscos e acelerar a recuperação após incidentes, independentemente do perfil do atacante.