Os pagamentos de resgate em ataques ransomware têm diminuído mesmo com o aumento dos casos. Enquanto os golpes cresceram 50% em 2025, atingindo uma alta histórica, apenas 28% das vítimas pagaram o resgate. Os dados são da Chainalysis, plataforma de dados de blockchain.A queda na frequência de pagamentos não é coincidência, na verdade, ela reflete uma maturidade crescente nas práticas de segurança corporativa. A adoção mais ampla de soluções de endpoint detection and response (EDR) tem permitido identificar e interromper campanhas de ransomware antes que a criptografia dos dados seja concluída.Políticas de backup mais robustas, com cópias isoladas e testadas regularmente, têm reduzido a alavancagem dos criminosos sobre as vítimas, se os dados podem ser restaurados sem custo, o ransom perde seu poder de extorsão.A pressão regulatória também contribui, uma vez que exigências de notificação obrigatória de incidentes em diversas jurisdições estimulam respostas estruturadas no lugar do pagamento silencioso.Quem ainda paga, paga muito maisApesar da queda no volume total, o valor mediano do resgate saltou 368% em um único ano, de cerca de US$ 12.700 em 2024 para quase US$ 60 mil em 2025.Com mais de 85 grupos de extorsão ativos hoje, o cenário migrou de poucos atores dominantes para uma proliferação de grupos menores, muitos deles focados em pequenas e médias empresas.O resultado é que os pagamentos de baixo valor, feitos por vítimas menores, diminuíram em volume, mas os que ainda acontecem concentram-se em organizações com maior capacidade de pagamento e, frequentemente, maior exposição ao risco operacional.Números que não aparecem no blockchainA queda nos pagamentos não deve ser confundida com queda no impacto real. Em 2025, o ataque à Jaguar Land Rover paralisou linhas de produção em múltiplos países e causou um prejuízo estimado em US$ 2,5 bilhões, o evento cibernético mais custoso da história do Reino Unido.A rede de diálise renal DaVita teve quase 2,7 milhões de registros de pacientes expostos. A varejista britânica Marks & Spencer sofreu com interrupções operacionais prolongadas após um ataque do grupo Scattered Spider, apagando centenas de milhões de libras de seu valor de mercado.O que esse cenário exigeO dado mais importante para as equipes de segurança é que o ecossistema não está recuando, na verdade, ele está se adaptando. Grupos estão migrando para alvos menores e com menor maturidade de segurança. Alguns estão experimentando interfaces de negociação conduzidas por inteligência artificial.Outros passaram a analisar os dados exfiltrados das vítimas para construir ameaças mais específicas e aumentar a pressão durante a negociação. Paralelamente, a cadeia de fornecimento criminosa, em especial os Initial Access Brokers, que vendem acesso a redes comprometidas para operadores de ransomware, continua ativa e barata.O preço médio de acesso a uma rede corporativa caiu de 1.427 dólares em 2023 para cerca de 439 dólares em 2026, reflexo da automação e da abundância de credenciais roubadas circulando no mercado.