Relatório da Arctic Wolf mostra disparada de extorsão sem criptografia e avanço do acesso remoto como porta de entrada
A edição 2026 do Threat Report da Arctic Wolf traz um retrato preocupante da evolução do cibercrime. A análise, baseada em centenas de respostas a incidentes reais e em dados de inteligência de ameaças coletados ao longo do último ano, aponta uma mudança clara de estratégia entre os grupos maliciosos: em vez de “quebrar” sistemas por meio de falhas técnicas complexas, eles têm preferido usar ferramentas legítimas de acesso remoto e focar no roubo de dados para extorsão, muitas vezes sem sequer recorrer à criptografia.
De acordo com o relatório, três tipos de incidentes dominaram o cenário em 2025: ransomware, comprometimento de e-mail corporativo (Business Email Compromise – BEC) e violações envolvendo dados sensíveis. Juntos, eles responderam por 92% de todos os atendimentos de resposta a incidentes conduzidos pela empresa. O ransomware ainda lidera em volume, mas o grande ponto de inflexão foi a explosão dos casos de extorsão baseados apenas em roubo de informação, sem criptografar arquivos: esse tipo de ataque cresceu 11 vezes em comparação com o ano anterior.
Esse aumento expressivo indica uma mudança deliberada de tática. À medida que as empresas evoluem em seus planos de backup e recuperação – reduzindo o impacto direto da criptografia de dados – os criminosos passam a apostar na chantagem pura e simples, ameaçando divulgar informações sigilosas, propriedade intelectual ou dados de clientes. Na prática, isso torna o incidente mais difícil de mitigar apenas com tecnologia, já que o dano reputacional e regulatório entra no centro da equação.
Outro dado marcante do relatório é a predominância do abuso de ferramentas de acesso remoto como principal vetor de intrusão. Em 65% dos casos que não envolviam BEC, a cadeia de ataque começou com o uso indevido de tecnologias como RDP (Remote Desktop Protocol), VPNs e plataformas de gerenciamento e monitoramento remoto (RMM). É um salto significativo em relação a anos anteriores e expõe a preferência dos atacantes por caminhos de “baixo atrito”, que se aproveitam de credenciais fracas, configurações inseguras ou falta de monitoramento.
Nas palavras de Ismael Valenzuela, vice-presidente de Labs, Pesquisa e Inteligência de Ameaças da Arctic Wolf, os criminosos “continuam a apostar na eficiência operacional – fazendo login em vez de invadir, roubando dados em vez de criptografá-los e abusando de ferramentas confiáveis em vez de explorar vulnerabilidades complexas”. Em outras palavras, a fronteira entre o tráfego legítimo e a atividade maliciosa fica cada vez mais tênue, dificultando a detecção baseada apenas em assinaturas ou em indicadores tradicionais.
O relatório também chama atenção para os chamados casos de “pré-ransomware”, que representaram 5% dos incidentes investigados. São situações em que o invasor já obteve acesso ao ambiente e iniciou fases preliminares do ataque – como movimentação lateral, reconhecimento interno e exfiltração de dados -, mas foi interrompido antes de iniciar o processo de criptografia em larga escala. Esse percentual, embora pareça pequeno, evidencia o impacto positivo da detecção precoce e do monitoramento contínuo.
Quando a criptografia de fato se concretiza, o estudo mostra que a maioria das organizações optou por não pagar resgate: em 77% dos casos de ransomware acompanhados, não houve transferência de valores aos criminosos. Entre aquelas que acabaram cedendo à extorsão, a presença de negociadores profissionais teve um peso importante, reduzindo em média 67% o valor inicialmente exigido pelos grupos de ransomware. Isso mostra como a resposta estruturada a incidentes – incluindo negociação, análise jurídica e comunicação – pode mitigar parte dos danos, ainda que o pagamento siga sendo uma decisão altamente controversa.
No front do BEC, o vetor de ataque continua sendo majoritariamente o mesmo, mas mais sofisticado. O phishing foi responsável por 85% dos incidentes dessa categoria. A diferença em relação a anos anteriores está na qualidade e escala das campanhas: com o uso crescente de inteligência artificial, as mensagens se tornam mais convincentes, personalizadas e difíceis de distinguir de comunicações legítimas, além de poderem ser produzidas e disparadas em volume muito maior.
Outro ponto relevante destacado pelo relatório é a persistência de brechas antigas. Todas as principais vulnerabilidades (CVEs) exploradas em 2025 eram falhas divulgadas em 2024 ou antes. Isso reforça um problema clássico de segurança: não é a vulnerabilidade zero-day altamente sofisticada que costuma derrubar a maioria das organizações, mas sim a demora em aplicar correções já disponíveis e em revisar credenciais e acessos após a divulgação de novas falhas. O recado é direto: gestão de patches e rotação de senhas (principalmente de contas privilegiadas) continuam sendo pilares básicos e frequentemente negligenciados.
Para Kerri Shafer-Page, vice-presidente de Resposta a Incidentes da Arctic Wolf, o fator decisivo segue sendo o tempo. “Continuamos a ver que a detecção precoce muda completamente o resultado de um ataque”, afirma. Quando a equipe de defesa consegue identificar comportamentos suspeitos antes que o invasor escale privilégios ou ative o ransomware, a diferença em custo, em período de indisponibilidade e em impacto sobre o negócio é “dramática”, segundo a executiva.
Esse conjunto de dados delineia um cenário em que a segurança deixa de ser apenas uma corrida tecnológica e passa a ser, cada vez mais, uma disputa de eficiência operacional entre atacantes e defensores. De um lado, criminosos apostando na simplicidade: invadir com credenciais válidas, explorar configurações fracas, usar ferramentas já presentes na infraestrutura e pressionar com base em dados roubados. De outro, organizações que precisam combinar monitoramento contínuo, processos maduros de resposta a incidentes e uma cultura de segurança disseminada entre funcionários e parceiros.
Para as empresas, o crescimento da extorsão sem criptografia traz desafios práticos. Backup e planos de continuidade de negócios continuam essenciais, mas deixam de ser suficientes como única linha de defesa. Quando o ativo central do ataque passa a ser o dado em si – e não apenas a sua disponibilidade -, entram em jogo controles como classificação da informação, criptografia em repouso e em trânsito, restrição de acesso por princípio de menor privilégio e políticas rígidas de data loss prevention (DLP).
Ao mesmo tempo, o uso massivo de acesso remoto exige uma revisão profunda da arquitetura de conectividade. Dependência de RDP exposto à internet, VPNs compartilhadas sem autenticação forte e soluções de RMM mal configuradas se tornaram alvos prioritários. Estratégias como adoção de autenticação multifator (MFA) robusta, implementação de Zero Trust Network Access (ZTNA), segmentação de rede e revisão periódica de perfis de acesso tornam-se medidas indispensáveis para reduzir a superfície de ataque.
Outro aspecto que o relatório ajuda a evidenciar é a necessidade de tratar o fator humano como um componente central da defesa. Com o phishing impulsionando a maioria dos ataques de BEC e servindo muitas vezes como ponto de partida para invasões mais complexas, capacitação contínua dos usuários, campanhas realistas de simulação de ataque e políticas claras sobre validação de transações financeiras ou mudanças de dados bancários passam a ter impacto direto na redução de incidentes.
A persistência da exploração de vulnerabilidades antigas também reforça o peso da governança de TI. Sem inventário confiável de ativos, sem priorização de riscos e sem um processo de gestão de patches bem definido, as organizações tendem a acumular uma “dívida de segurança” que os criminosos exploram com facilidade. Automatizar a aplicação de correções sempre que possível, estabelecer janelas regulares de manutenção e monitorar continuamente a exposição a falhas já conhecidas são passos pragmáticos para reduzir esse risco.
Do ponto de vista estratégico, o cenário descrito pelo Threat Report aponta para a importância de investir em capacidades de detecção e resposta – seja por meio de centros internos de operações de segurança (SOC), seja com serviços gerenciados de monitoramento 24×7. Ferramentas de detecção de comportamento anômalo, correlação de eventos e resposta automatizada podem ser decisivas para interromper ataques ainda nas fases iniciais, antes que se transformem em crises de grandes proporções.
Finalmente, o avanço de técnicas apoiadas em inteligência artificial – tanto na criação de e-mails de phishing quanto na evasão de controles – indica que a próxima onda de ataques tende a ser ainda mais difícil de identificar com abordagens tradicionais. Isso obriga as organizações a revisarem suas estratégias de segurança com uma visão de longo prazo, incorporando análise avançada, maior integração entre equipes de segurança e operações de negócio e uma postura contínua de preparação para incidentes.
Em síntese, o relatório da Arctic Wolf não apenas descreve o crescimento dos ataques de extorsão sem criptografia e o papel central do acesso remoto como vetor, mas também deixa claro que a chave para reduzir impactos está em combinar três frentes: fortalecimento dos controles básicos, detecção antecipada e resposta bem orquestrada. Empresas que conseguirem alinhar esses elementos tendem a atravessar esse novo ciclo de ameaças com mais resiliência e menos dependência de decisões extremas, como o pagamento de resgates.