[ESTUDO] 12% das Pequenas Empresas Dizem que Pagaram uma Exigência de Resgate

Publicado: por Brett Dunst
[ESTUDO] 12% das Pequenas Empresas Dizem que Pagaram uma Exigência de Resgate thumbnail

Principais Descobertas em Resumo

  • 12% dos respondentes receberam uma exigência de resgate relacionada ao seu site, email ou dados — e pagaram.
  • 42% estão muito preocupados com ataques de ransomware direcionados a sites.
  • 46% tiveram seu negócio afetado por um ciberataque que expôs dados, bloqueou arquivos ou tirou seu site do ar. 38% dizem que seu site foi hackeado ou infectado com malware.
  • 24% dizem que nunca testaram seu processo de backup e restauração para garantir que ele realmente funciona.
  • 40,5% provavelmente investiriam em backups automáticos do site se soubessem que os backups os impediriam de ter que pagar um resgate.

Realizamos uma pesquisa com 1.000 proprietários e gerentes de pequenas empresas (50 ou menos funcionários), em todo o país sobre segurança de websites. O que descobrimos: 12% receberam uma exigência de resgate relacionada ao seu site, email ou dados — e pagaram isso.

Por que isso importa? 

As pequenas empresas representam um alvo fácil para os cibercriminosos, tornando esses ataques cada vez mais comuns. Nossas descobertas revelam o quão generalizada — e dispendiosa — a ameaça se tornou para os proprietários de empresas do dia a dia, não apenas para grandes empresas.

Como um provedor de hospedagem web que serve milhares de pequenas empresas, a DreamHost queria entender o impacto real dessas ameaças e como as empresas estão preparadas para responder. Os resultados apontam para lacunas claras — e soluções práticas — na segurança cibernética de pequenas empresas.

Imagine uma sala com cem pessoas que gerenciam sites: freelancers, operadores de lojas, proprietários de pequenas empresas; pessoas que apenas querem que seu site funcione. Agora conte doze delas. 

Grade de ícones de pequenas empresas com 12 deles destacados em vermelho para mostrar a porcentagem que pagou uma exigência de resgate.

Os dados mostram que 12 a cada 100 operadores de sites pagaram um resgate para recuperar o acesso aos seus sites ou dados. Quando os sites ficam offline devido a ataques cibernéticos, as empresas enfrentam interrupções operacionais imediatas: painéis administrativos inacessíveis, pedidos não atendidos e dados de clientes bloqueados. 

Para muitos, pagar o resgate parece ser o caminho mais rápido para a restauração, apesar das baixas taxas de cumprimento do atacante.

A preocupação se estende além daqueles que pagaram. 42% dos entrevistados relataram estar “muito preocupados” com ataques de ransomware direcionados a sites, refletindo uma ampla consciência da paisagem de ameaças. 

Os dados completos da pesquisa revelam por que essa preocupação é justificada — e o que as empresas podem fazer a respeito.

Vamos começar. 

1 Em Cada 8 Americanos Pagou Um Resgate

Divisão das respostas a exigências relacionadas a resgate com porcentagens para pagos, não pagos, nunca e não sabe.

Esses 12% representam empresas em um ponto de decisão: pagar o resgate ou enfrentar um tempo de inatividade prolongado.

Cada pagamento reforça o modelo de negócio de ransomware, validando a tática e aumentando a probabilidade de que mais empresas enfrentem demandas semelhantes. 

Os ataques de ransomware não são limitados a grandes empresas. Pequenos negócios com infraestrutura online acessível enfrentam as mesmas ameaças.

Um olhar mais atento àqueles que receberam demandas de resgate revela o papel que a preparação desempenha na tomada de decisões.

Dos 28,4% que enfrentaram uma demanda, 41,5% pagaram o resgate. Ao enfrentar esse momento — site fora do ar, dados bloqueados, receita congelada — quase metade opta por pagar.

Comparação das respostas ao resgate mostrando que 41,5% pagaram e 58,5% recusaram entre aqueles que receberam as exigências.

Do outro lado: 58,5% recusaram. São 6 em cada 10 empresas que se recusaram a pagar. 

Os dados sugerem que empresas com backups testados, protocolos de recuperação e resiliência operacional tinham mais probabilidade de recusar pagamento. A preparação da infraestrutura parece reduzir a vulnerabilidade a demandas de resgate.

Empresas que entendem seus riscos e mantêm backups testados, logins seguros e sistemas de recuperação automatizados demonstram menor suscetibilidade a esses ataques.

Quase Metade Dos Americanos Está Profundamente Preocupada Com As Ameaças De Ransomware 

42% dos respondentes em nossa pesquisa disseram que estão “muito preocupados” com a crescente ameaça de ataques de ransomware direcionados a sites. Combinando aqueles que estão “muito preocupados” com os que estão “um pouco preocupados”, 84,6% dos respondentes veem o ransomware como uma ameaça legítima. 

O website é o negócio — a vitrine, o canal, o centro. Qualquer interrupção no acesso pode impactar diretamente as operações comerciais. 

Gráfico de pizza mostrando os níveis de preocupação com ataques de ransomware: 42,2% muito preocupados, 42,4% um pouco preocupados, 11,9% pouco preocupados, 3,5% não preocupados.

Essa apreensão reflete uma mudança mais ampla: o ransomware se expandiu além das grandes empresas para atingir pequenos negócios.

Violações de alto perfil ilustram a extensão da ameaça. 

Quando a AT&T sofreu uma violação que afetou 73 milhões de clientes atuais e antigos — incluindo seus números de Seguro Social, datas de nascimento e nomes — a empresa enfrentou um  acordo de $177 milhões. A violação, que data de 2019, só foi reconhecida depois que os dados dos clientes apareceram na dark web.

Se organizações com equipes de segurança dedicadas sofrem violações dessa magnitude, pequenas empresas enfrentam vulnerabilidades semelhantes sem recursos comparáveis para proteção proativa.

A escrita está na parede: negligência convida à exposição.

Os dados da nossa pesquisa mostram que muitos proprietários de empresas reconhecem as fraquezas comuns de segurança: plugins desatualizados, senhas fracas e atualizações negligenciadas de CMS. Essa consciência está impulsionando uma maior atenção às práticas de cibersegurança entre pequenas empresas.

Receba conteúdo diretamente na sua caixa de entrada

Inscreva-se agora para receber todas as últimas atualizações, diretamente na sua caixa de entrada.

Quase Metade Das Empresas Já Foram Hackeadas

Essa preocupação generalizada não é infundada. 46% dos nossos respondentes já sofreram um ataque cibernético, resultando em dados expostos, arquivos criptografados ou paralisações completas do site.

Gráfico mostrando que 45,9% dos sites de PME foram atingidos por um ciberataque e 54,1% não foram.

Para 38% dos respondentes, esses ataques ocorreram na forma de violações cotidianas que raramente aparecem nas manchetes, mas podem levar a:

  • Acessos comprometidos
  • Plugins infectados
  • Redirecionamentos de spam de SEO
  • Domínios suspensos

Cada um pode significar receita perdida devido a inatividade, classificações de pesquisa danificadas e confiança do cliente erodida — problemas que se acumulam rapidamente para pequenas empresas que operam com margens reduzidas.

Quatro de dez ícones de laptop destacados para mostrar que 4 em 10 americanos sofreram um ataque de hack ou infecção por malware.

Infecções por Malware, em particular, podem se espalhar rapidamente através de Plugins e temas desatualizados, e para 14% das pessoas que foram hackeadas, não é um evento único — elas experimentaram múltiplos ataques.

Os dados mostram que contar apenas com a segurança embutida de um host de web não é suficiente, e o custo da recuperação supera em muito o custo da prevenção. Ainda assim, muitos continuam operando com as mesmas vulnerabilidades que os levaram a serem violados inicialmente — ignorando atualizações, pulando auditorias de segurança e usando credenciais fracas.

Esses incidentes frequentemente servem como precursores de eventos maiores de ransomware. Muitos proprietários de sites abordam a cibersegurança de forma reativa, em vez de proativa.

1 em cada 4 Americanos Nunca Testa os Backups de Seus Sites

Um em cada quatro americanos não testou se seus backups funcionam, mostrado com texto azul em negrito sobre um fundo estrelado escuro.

Mesmo depois de serem hackeados ou verem colegas sofrerem perda de dados, muitos negócios ainda não verificaram se os backups de seus sites realmente funcionam. Quase um em cada quatro respondentes (24%) relatou que nunca testou seu processo de backup e restauração.

Esse intervalo entre ter um plano e ter um plano que funciona é onde pequenas crises se tornam grandes interrupções nos negócios. 

Muitos proprietários presumem que “auto-backup” significa “auto-recuperação”. 

Não.

Os backups podem falhar silenciosamente ou se corromper. Testar um backup leva menos de 15 minutos e pode ser a diferença entre um breve inconveniente e semanas de inatividade.

40% dos Americanos Pagariam por Backups Para Evitar Pagar a Hackers

Há uma tendência positiva nos dados: 40% dos respondentes disseram que seriam mais propensos a investir em backups automáticos de sites se isso significasse que poderiam evitar pagar um resgate.

Gráfico de barras mostrando as razões para investir em backups automatizados de sites, liderado por evitar resgate em 40,5%, seguido por custo, risco e outros fatores.

Isso representa uma mudança em direção à prevenção como uma decisão financeira. Quase um quarto dos respondentes citou o custo ou a complexidade como a barreira que os impede de utilizar soluções de backup. No entanto, backups automatizados custam significativamente menos do que a recuperação após uma violação de dados.

4,6% disseram que nunca investiriam em backups de forma alguma. Esses negócios permanecem vulneráveis a ataques de ransomware.

O custo total médio para uma pequena empresa responder e se recuperar de uma violação de dados pode variar de $120.000 a $1,24 milhão.

Quando um site pode ser restaurado em minutos, as exigências de resgate perdem sua eficácia. Quanto mais rápida for a recuperação, menor é a alavanca que os atacantes têm. Isso posiciona as ferramentas de backup como infraestrutura essencial. Se um site pode ser restaurado rapidamente, os atacantes perdem suas principais ferramentas de barganha: tempo e acesso.

Resumo 

Quase metade das pequenas empresas já sofreu um ataque cibernético. Essa ameaça generalizada está provocando uma mudança na forma como as empresas abordam a segurança cibernética: a conscientização agora é alta, e os proprietários de sites cada vez mais veem a segurança cibernética como planejamento de continuidade, não apenas como custo técnico.

O caminho a seguir é claro. A resiliência é construída com preparação disciplinada: backups rigorosamente testados, ferramentas que automatizam a defesa e um compromisso com a preparação digital.

A defesa mais eficaz é a capacidade de resposta rápida e de recuperação.

Empresas que se preparam antecipadamente enfrentam riscos significativamente menores quando ocorrem ataques.

Metodologia

Este artigo é baseado em uma pesquisa nacional conduzida em outubro de 2025, na qual coletamos respostas de 1.000 americanos para entender melhor suas experiências e preocupações relacionadas à segurança de websites e ameaças cibernéticas. A pesquisa foi direcionada especificamente a indivíduos que possuem ou gerenciam empresas com 50 ou menos funcionários, garantindo que os dados refletem os desafios e realidades únicos enfrentados pelos operadores de pequenas empresas. 

Os participantes representaram uma seção transversal diversificada de indústrias e antecedentes profissionais, oferecendo um panorama equilibrado sobre o sentimento público e os impactos reais. Os respondentes foram questionados sobre uma série de temas, incluindo ransomware, violações de websites, práticas de proteção de dados e resposta a incidentes, fornecendo insights valiosos sobre o atual estado da consciência e preparação em cibersegurança entre os proprietários de pequenas empresas nos EUA.

Uso Justo

Os usuários são bem-vindos para utilizar os insights e descobertas deste estudo para fins não comerciais, como pesquisas acadêmicas, apresentações educacionais e referências pessoais. Ao referenciar ou citar este artigo, por favor, garanta a atribuição adequada para manter a integridade da pesquisa. É permitido o link direto para este artigo, e o acesso à fonte original da informação é incentivado.

Para uso comercial ou fins de publicação — incluindo, mas não se limitando a, meios de comunicação, websites e materiais promocionais — por favor contate nossa equipe de Comunicações Corporativas para permissão e detalhes de licenciamento. 

Agradecemos o seu respeito pelos direitos de propriedade intelectual e a adesão às práticas éticas de citação. Obrigado pelo seu interesse em nossa pesquisa.

Receba conteúdo diretamente na sua caixa de entrada

Inscreva-se agora para receber todas as últimas atualizações, diretamente na sua caixa de entrada.

Foto de Brett Dunst

Brett Dunst