Ataques de ransomware disparam 52% em 2025. Portugal sofreu 28

Os ataques de ransomware a nível mundial dispararam 51,5% no ano passado, com a conflitualidade geopolítica e a inteligência artificial a acelerar o ritmo, mas Portugal, com 28 ataques, permanece como um dos países menos afetados por este tipo de atividade maliciosa de extorsão.

No ano passado foram registados um total de 7.701 incidentes de ransomware a nível global, mais 51,5% do que em 2024. Portugal registou 14 ataques no segundo semestre, para um total de 28 no ano passado, o que indica uma atividade de ransomware estável, mas relativamente baixa, em comparação com outros países europeus, aponta o relatório “Cyber Threat Intelligence”, da Thales, conhecido esta quarta-feira.

O nível deste tipo de ameaça tem vindo a crescer. Em 2022, registava-se ‘apenas’ 2.953 ataques desta natureza.

O setor industrial é o mais ameaçado — com 2.801 empresas afetadas —, representando 36,37% do total, seguido pelo setor de consultoria com 948 ataques (12,31%), e pelo setor de serviços com 620 ataques (8,05%), aponta o relatório. O setor financeiro, com 533 ataques (6,92%), o de saúde com 516 (6,70%), e de tecnologia com 404 (5,25%) estão também entre os mais visados.

Os Estados Unidos, com 3.946 ataques, representam mais de metade dos incidentes registados (51,23%), seguido do Canadá com 411 ataques (5,34%), Alemanha com 296 (3,84%) e Reino Unido com 268 (3,48%). Mas há ainda a destacar ataques a organizações de países como França, com 175 ataques (2,27%), Itália com 173 (2,25%), Espanha com 164 (2,13%), Brasil com 146 (1,90%), Austrália com 119 (1,55%), e Índia com 117 ataques (1,52%).

O número de grupos criminosos dedicados a esta atividade tem vindo igualmente a aumentar. No ano passado foram identificados 63 novos grupos, um aumento de 37% em relação a 2024, um disparo de 97% em relação a 2023 e um crescimento de 232% em relação a 2022, alerta o relatório.

Mas há três grupos particularmente ativos. O Qilin foi aquele que realizou mais ataques de extorsão (1.032 ataques), seguido pelo Akira (770 ataques) e pelo Cl0p (436 ataques). “Juntos, esses três grupos foram responsáveis por aproximadamente 29% de todos os ataques de ransomware registados em 2025, sublinhando a influência contínua de um pequeno conjunto de operações bem estabelecidas”, pode ler-se no relatório.

Inteligência Artificial como fator de aceleração

Os ataques impulsionados por IA “amadureceram”, obrigando as equipas a repensaram a forma como planeiam a defesa. “Este ano passamos da teoria à prática”, aponta Hugo Nunes, CTI team leader da Thales, num encontro com jornalistas, apontando que esta tecnologia está a auxiliar parte dos ataques que as empresas estão a ser sujeitas.

“Os atacantes estão cada vez mais a usar inteligência artificial para automatizar grande parte da cadeia dos ciberataques: desde o reconhecimento e a descoberta de vulnerabilidades até à criação de exploits, recolha de credenciais e movimentação lateral”, elenca o relatório. “A grande maioria das organizações já enfrentou ciberataques impulsionados por IA, com um conjunto de estimativas que sugere que quase 87% das organizações sofreram um incidente impulsionado por IA no ano passado e que o phishing gerado por IA agora representa mais de 80% das ameaças por e-mail em muitos ambientes”, aponta o documento.

“A capacidade da IA de criar autonomamente conteúdos convincentes de engenharia social, analisar conjuntos de dados massivos para padrões de vulnerabilidade e dimensionar tarefas repetitivas permite que os adversários operem mais rapidamente e com muito
menos recursos humanos”, refere ainda.

Um desses ataques ocorreu em setembro do ano passado, com os atacantes a manipularem o “Claude Code para conduzir cerca de 80 a 90% do fluxo de trabalho de intrusão de forma autónoma, visando cerca de 30 organizações nos setores de tecnologia, finanças, indústria de produtos químicos e governo”, exemplifica.

“A IA realizou tarefas normalmente reservadas a equipas humanas: sondar sistemas, identificar pontos fracos, criar e implementar código de exploração e extração de dados confidenciais, com supervisão mínima e à escala da máquina, destacando tanto como a IA ofensiva pode operar de forma independente como os controlos atuais podem ser contornados”, detalha.

A IA também acelerou o modelo “Crime-as-a-Service”, criando uma espécie de kits para não especialistas, o que “reduziu as barreiras técnicas para criminosos e facilitou fraudes em larga escala, incluindo campanhas que imitam entidades como a Polícia Judiciária e a Interpol”, alerta a Thales.

Defesa entre os setores menos atacados

Apesar do aumento das tensões geopolíticas, com grupos ‘patrocinados’ por Estados (Rússia, China, Coreia do Norte, Irão…), o setor de defesa foi dos menos atacados no ano passado, com um total de 68 ataques. “A atividade foi mais pronunciada durante o primeiro semestre do ano, com 41 ataques registados, e diminuiu para 27 ataques no segundo semestre, indicando uma clara redução na pressão do ransomware contra organizações relacionadas com a defesa ao longo do tempo”, refere o relatório.

“Com foco no segundo semestre de 2025, os ataques de ransomware contra o setor de defesa representaram aproximadamente 0,7% de todos os incidentes de ransomware registados (27 de um total de 3.926 ataques)”, diz.

Em termos de autoria, o Qilin foi o”grupo observado com mais frequência, ligado a cinco ataques, enquanto o Sinobi, o Safepay, o WorldLeaks, o Play e o Akira foram associados a dois incidentes cada”, refere. “Todos os restantes grupos de ransomware estiveram ligados a ataques únicos e isolados, destacando a ausência de campanhas de ransomware sustentadas ou em grande escala direcionadas ao setor de defesa durante o segundo semestre do ano.”

Portugal situação mantém-se estável

Ransomware, fugas de dados e interrupções de IT constituem agora os principais perigos para a segurança nacional e estabilidade económica em Portugal.

“O hacktivismo registou uma atividade notável, impulsionada maioritariamente por grupos pró-Rússia que visaram instituições públicas e infraestruturas críticas. Destacam-se campanhas de desinformação, como a do grupo NONAME057(16), que alegou falsamente um “apagão” na Península Ibérica, e ataques mais concretos do grupo Z-PENTEST contra sistemas de gestão de águas e saneamento. Outros grupos, como o Dark Storm Team e o Z DIPLOMAT, centraram-se em ações com objetivos ideológicos, utilizando ataques Distributed Denial of Service e “defacements” (alteração ilegítima do conteúdo página web) para atingir os seus objetivos”, refere a Thales.

“No domínio do malware, Portugal enfrentou campanhas sofisticadas tanto em dispositivos móveis como em ambientes corporativos. O trojan de acesso remoto ‘PlayPraetor’ evoluiu para uma operação em larga escala dirigida a utilizadores Android, enquanto o trojan ‘Lampion’ impactou computadores, recorrendo a táticas avançadas de engenharia social, como o ‘ClickFix’. Estas campanhas incidiram especificamente em setores de elevado valor, comprometendo organizações nas áreas governamental, financeira e de transportes”, aponta a Thales.

A economia do cibercrime e a fraude digital também se “intensificaram”, com a atividade na “dark web associada a Portugal fortemente centrada na exfiltração de dados e na venda de acessos iniciais a redes corporativas. Os setores do comércio eletrónico e da banca foram os principais alvos, refletindo uma motivação financeira clara”, refere

O ransomware manteve uma atividade “estável”, com Portugal a registar 14 ataques no segundo semestre (28 no total do ano). “O país ocupa a 27.ª posição no ranking global de vítimas, muito abaixo de países vizinhos, como Espanha ou França”, refere.

Também em Portugal, o grupo Qilin lidera em ataques, concentrando-se no setor industrial, mas trata-se de “ameaças fragmentadas e oportunistas, sem evidências de campanhas sustentadas ou coordenadas por um único operador”.