Portugal registou 28 ataques de ransomware em 2025, dos quais 14 no segundo semestre, mantendo-se como um dos países europeus menos afetados por este tipo de cibercrime. O país ocupa a 27.ª posição no ranking global de vítimas, muito abaixo de mercados como Espanha ou França. Os dados são do "Threat Landscape Report 2025 - Segundo Semestre", divulgado pela Thales.
No entanto, apesar da estabilidade relativa no contexto nacional, o panorama internacional revela uma escalada significativa. Em 2025 foram registados 7.701 incidentes de ransomware a nível global, um aumento de 51,5% face ao ano anterior. O relatório identifica o ransomware como a principal ameaça global, com uma transformação nas táticas utilizadas. Cresce a tendência de ataques centrados exclusivamente no roubo de dados, abandonando a encriptação dos sistemas para acelerar processos de extorsão, reduzir complexidade técnica e aumentar a pressão reputacional sobre as vítimas.
A indústria foi o setor mais visado a nível mundial, com 2.801 ataques, representando 36,37% do total. Seguem-se consultoria (948 incidentes; 12,31%) e serviços (620; 8,05%). Os ataques concentram-se sobretudo em organizações com elevada dependência operacional e exposição a dados sensíveis, incluindo governos, infraestruturas críticas, energia, telecomunicações, saúde e finanças.
O estudo destaca ainda um encurtamento significativo da janela de reação dos ataques. No segundo semestre de 2025 foram identificadas 24.365 novas vulnerabilidades e, em alguns casos, os atacantes começaram a explorá-las apenas 24 horas após a sua divulgação pública. O uso de vulnerabilidades zero-day tornou-se mais profissionalizado, inserido num mercado estruturado de compra e venda de acessos.
Em Portugal, o ambiente de ameaça refletiu as tensões geopolíticas globais. O hacktivismo ganhou visibilidade, sobretudo através de grupos pró-Rússia que visaram instituições públicas e infraestruturas críticas. As campanhas de desinformação e ataques de negação de serviço distribuída (DDoS) marcaram o mercado.
Já em termos de malware, destacaram-se campanhas dirigidas a dispositivos móveis e ambientes corporativos. O trojan de acesso remoto "PlayPraetor" expandiu-se em dispositivos Android, enquanto o "Lampion" recorreu a técnicas avançadas de engenharia social, como o método "ClickFix", afetando setores governamentais, financeiros e de transportes.
O trabalho mostra que a economia do cibercrime associada a Portugal evidenciou atividade significativa na dark web, com foco na exfiltração de dados e na venda de acessos iniciais a redes corporativas, especialmente nos setores do comércio eletrónico e banca. E sublinha que a inteligência artificial se tornou uma ferramenta operacional no ecossistema criminal, permitindo automatizar fases da cadeia de intrusão, desde a deteção de vulnerabilidades até à criação de campanhas de phishing altamente credíveis. A conjugação de IA com modelos "crime-as-a-service" reduziu barreiras técnicas e facilitou fraudes em larga escala, incluindo esquemas que imitam entidades como a Polícia Judiciária ou a Interpol.
A Thales defende que a resposta exige uma abordagem proativa, com foco na proteção da identidade digital, aceleração de processos de patching e reforço da supervisão de cadeias de fornecimento e terceiros. É que embora Portugal apresente níveis comparativamente baixos de ransomware, alerta-se para um cenário fragmentado e oportunista, com ataques liderados principalmente pelo grupo Qilin e concentrados no setor industrial. Não foram identificadas campanhas coordenadas sustentadas, mas o ambiente permanece volátil.
Ocupa 5ª posição no ranking nacional, logo a seguir a várias universidades
