Minha empresa esta sob ataque cibernetico agora: o que fazer nos primeiros minutos

Primeiros passos — o que fazer agora

1. 1

   Acione a Resposta a Incidentes 24/7 agora

   Antes de mexer em qualquer coisa sozinho, chame seu time de seguranca ou a Decripte pelo decripte.com.br/contato. Em ataque ativo, cada minuto amplia o dano. Nosso SOC 24x7 entra no caso com SLA de contencao de ate 1 hora e te guia em tempo real, evitando que voce apague evidencias ou alerte o atacante.

2. 2

   Isole, nao desligue

   Desconecte da rede as maquinas e servidores comprometidos: tire o cabo de rede, desabilite o Wi-Fi ou bloqueie a porta no switch. NAO desligue nem reinicie os equipamentos, porque memoria RAM, processos ativos e chaves do atacante somem no boot e voce perde evidencia essencial para a investigacao e para a sua defesa juridica.

3. 3

   Corte acessos remotos e VPN

   Derrube todas as sessoes de VPN, RDP, SSH e ferramentas de acesso remoto (AnyDesk, TeamViewer) ativas. Se o vetor for credencial vazada, o invasor entra por um acesso legitimo: desativar o concentrador VPN e as regras de acesso remoto na borda fecha a porta enquanto voce identifica a conta comprometida.

4. 4

   Bloqueie contas e force a rotacao de senhas

   Suspenda imediatamente as contas suspeitas e todas as contas com privilegio administrativo (domain admins, root, contas de servico). Force troca de senha e revogue tokens e sessoes ativas. Habilite MFA onde nao havia. Priorize o Active Directory, o provedor de identidade (Entra ID, Google Workspace) e o e-mail.

5. 5

   Segmente a rede para frear a propagacao

   Se o ataque se espalha (ransomware, movimento lateral), isole segmentos inteiros: separe servidores criticos, backups e estacoes em VLANs distintas e bloqueie trafego lateral (SMB, RDP) entre elas no firewall. O objetivo e impedir que o invasor alcance backups e sistemas que ainda estao saudaveis.

6. 6

   Proteja e desconecte os backups

   Verifique se os backups estao intactos e desconecte-os da rede imediatamente. Ransomware moderno procura e cifra backups antes de detonar. Um backup offline e integro e a sua principal chance de recuperacao sem pagar resgate, entao tire-o do alcance do atacante agora.

7. 7

   Monte o war room e registre tudo

   Reuna em um canal unico e fora da rede comprometida (de preferencia um grupo de celular) os responsaveis por TI, seguranca, juridico, comunicacao e a diretoria. Anote horarios, acoes e o que foi observado. Esse registro vira a linha do tempo do incidente e sustenta as notificacoes legais e a conversa com a seguradora.

8. 8

   Prepare a comunicacao de crise e cumpra os prazos legais

   Nao comunique nada publicamente antes de entender o escopo, mas comece a preparar. Se houver vazamento de dados pessoais com risco aos titulares, a notificacao a ANPD deve ocorrer em ate 3 dias uteis a partir da ciencia, conforme a Resolucao CD/ANPD no 15/2024, com comunicacao aos titulares afetados. Em fraude via Pix, contate o banco na hora para acionar o MED e registre boletim de ocorrencia.

Ataque ativo nao e a mesma coisa que incidente ja consumado

Existe uma diferenca pratica que muda completamente a sua resposta. Um ataque ativo e quando o invasor ainda esta dentro da rede agora: cifrando arquivos, se movendo lateralmente, exfiltrando dados ou mantendo um acesso vivo. A prioridade absoluta aqui e contencao em tempo real, cortar o acesso do atacante e parar a propagacao antes que ele alcance backups, sistemas criticos e mais dados.

Um incidente ja consumado e quando o estrago aconteceu e o atacante pode ter ido embora: o ransomware ja cifrou tudo, os dados ja vazaram, a fraude ja ocorreu. Aqui o foco vira escopo, erradicacao de qualquer porta dos fundos que tenha ficado, recuperacao a partir de backups limpos e cumprimento de obrigacoes legais. Tratar um ataque ativo como se ja tivesse acabado e um erro caro, porque enquanto voce restaura, o invasor continua agindo.

Na duvida, assuma que o ataque esta ativo e que o atacante ainda tem acesso. Essa postura conservadora orienta voce a conter primeiro, comunicar com cuidado e nao confiar em sistemas potencialmente comprometidos. A equipe de Resposta a Incidentes da Decripte ajuda exatamente a fazer esse diagnostico rapido e decidir, com seguranca, em qual cenario voce esta.

A sequencia certa de contencao, no padrao NIST

A resposta a incidentes segue um fluxo testado: preparacao, deteccao e analise, contencao, erradicacao, recuperacao e licoes aprendidas. No meio de um ataque, voce esta nas fases de deteccao/analise e contencao ao mesmo tempo, e elas precisam andar juntas. Antes de cortar tudo as cegas, faca uma leitura rapida do que esta acontecendo: o que esta sendo afetado, por onde o invasor entrou e ate onde ele chegou. Isso evita contencao incompleta, em que voce fecha uma porta e deixa outra aberta.

A contencao tem dois tempos. A contencao de curto prazo estanca o sangramento agora: isolar maquinas, derrubar VPN e RDP, bloquear contas, segmentar a rede. A contencao de longo prazo prepara a erradicacao: aplicar regras de firewall mais restritivas, reconstruir credenciais, garantir backups limpos. So depois vem a erradicacao de fato, removendo malware, backdoors e contas criadas pelo atacante, e entao a recuperacao, com a volta gradual e monitorada dos sistemas.

O erro mais comum de quem responde sozinho e pular a analise e ir direto para a recuperacao, restaurando backups enquanto o invasor ainda esta dentro, o que so reinicia o ciclo. Um SOC 24x7 evita isso porque acompanha a telemetria em tempo real, confirma quando o acesso do atacante foi de fato cortado e so libera a recuperacao quando o ambiente esta limpo. E esse acompanhamento continuo que transforma uma reacao no escuro em uma resposta controlada.

Contencao em tempo real: por onde cortar o acesso do atacante

Os tres pontos de estrangulamento mais eficazes em um ataque ativo sao identidade, acesso remoto e segmentacao. Identidade porque a maioria dos ataques avancados usa credenciais legitimas roubadas, entao bloquear contas privilegiadas, revogar sessoes e forcar MFA derruba o invasor de dentro do proprio mecanismo que ele usa para parecer um usuario normal. Comece pelo Active Directory e pelo provedor de identidade da nuvem, que sao o coracao do acesso.

Acesso remoto porque VPN, RDP, SSH e ferramentas de suporte remoto sao a porta de entrada e o canal de retorno do atacante. Derrubar o concentrador VPN, fechar o RDP exposto a internet e bloquear AnyDesk e TeamViewer no firewall corta o caminho de volta. Segmentacao porque, uma vez dentro, o invasor se move lateralmente, e isolar servidores criticos, backups e estacoes em segmentos separados, bloqueando SMB e RDP entre eles, transforma um incidente que poderia derrubar a empresa inteira em um problema confinado.

Cada acao dessas precisa ser feita na ordem certa e validada, senao voce avisa o atacante sem efetivamente expulsa-lo. Por isso a contencao em ataque ativo e onde mais vale ter alguem experiente do lado: a Decripte conecta seu ambiente ao nosso SOC e executa a contencao junto com a sua equipe, validando em tempo real que cada porta fechada permaneceu fechada. Acione pelo decripte.com.br/contato e o relogio do nosso SLA de 1 hora comeca a correr.

War room, comunicacao de crise e obrigacoes legais

Resposta a incidente nao e so tecnica. Monte um war room reunindo TI e seguranca, diretoria, juridico e comunicacao em um canal unico e fora da rede comprometida. Defina um coordenador, registre cada decisao com horario e centralize as informacoes, para que ninguem tome acoes paralelas que se atrapalhem. Esse registro tambem e o que sustenta as notificacoes legais e a conversa com seguradora e clientes depois.

A comunicacao de crise precisa ser deliberada. Internamente, restrinja a informacao a quem precisa agir, porque comunicado amplo em rede comprometida alerta o atacante. Externamente, nao confirme nada antes de entender o escopo, mas tenha rascunhos prontos para clientes, parceiros e imprensa, com mensagens honestas e sem promessas que voce nao pode cumprir. Silencio total tambem corroi a confianca; o equilibrio e transparencia no tempo certo.

No Brasil, os prazos sao concretos. Se houver incidente com dados pessoais que possa gerar risco relevante aos titulares, a notificacao a ANPD deve ocorrer em ate 3 dias uteis a partir da ciencia do incidente, conforme a Resolucao CD/ANPD no 15/2024, e os titulares afetados tambem precisam ser comunicados. Em fraudes via Pix, acione o banco imediatamente para usar o MED (Mecanismo Especial de Devolucao), cuja janela e curta, e registre boletim de ocorrencia. Esses prazos correm a partir do momento em que voce toma ciencia, ou seja, agora, por isso registre o horario da deteccao desde o inicio.

Depois de conter: erradicar, recuperar e nao deixar acontecer de novo

Conter para o sangramento, mas nao cura. Depois de cortar o acesso do atacante, vem a erradicacao: identificar e remover todo malware, webshells, backdoors, tarefas agendadas maliciosas e contas criadas pelo invasor. E aqui que a analise forense feita no inicio se paga, porque sem saber por onde ele entrou e o que tocou, voce nunca tem certeza de que limpou tudo. Restaurar sem erradicar e o caminho mais comum para ser atacado de novo em dias.

A recuperacao deve ser gradual e monitorada. Restaure a partir de backups comprovadamente limpos, reconstrua maquinas criticas do zero quando houver duvida, rotacione todas as credenciais e devolva os sistemas a producao em etapas, observando a telemetria para detectar qualquer sinal de retorno do atacante. So declare o incidente encerrado quando o ambiente passar um periodo sob monitoramento sem atividade anomala.

Por fim, as licoes aprendidas. Todo incidente revela como o atacante entrou, e quase sempre o vetor ja estava visivel antes: uma credencial vazada, um dominio exposto, um servico aberto na internet. E por isso que a Decripte oferece um plano gratuito de Gestao de Ameacas, o Decripte Intelligence Center, que monitora vazamento de credenciais, exposicao na dark web e reputacao do seu dominio, sem cartao de credito e sem precisar de equipe tecnica. Comece em decripte.io/free para enxergar a sua exposicao antes que ela vire o proximo incidente.

Termos importantes

Contencao

Fase da resposta a incidentes que estanca o ataque em andamento: isolar maquinas e segmentos de rede, cortar acessos remotos e bloquear contas, impedindo que o invasor se propague ou cause mais dano enquanto a investigacao avanca.

Movimento lateral

Tecnica em que o atacante, apos comprometer um ponto inicial, se desloca por dentro da rede para alcancar outros sistemas, servidores e dados mais valiosos, geralmente usando credenciais roubadas e servicos como SMB e RDP.

War room

Sala (fisica ou virtual) de gestao de crise que reune, em um canal unico e fora da rede comprometida, os responsaveis por TI, seguranca, juridico, comunicacao e diretoria para coordenar a resposta ao incidente em tempo real.

MED (Mecanismo Especial de Devolucao)

Recurso do sistema Pix que permite ao banco bloquear e tentar devolver valores de transacoes envolvendo fraude ou falha operacional. Tem janela de acionamento curta, por isso o contato imediato com o banco e decisivo.

SOC 24x7

Centro de Operacoes de Seguranca que monitora e responde a ameacas 24 horas por dia, 7 dias por semana. O SOC da Decripte sustenta a Resposta a Incidentes com SLA de contencao de ate 1 hora.

Notificacao a ANPD

Obrigacao legal de comunicar a Autoridade Nacional de Protecao de Dados sobre incidentes de seguranca com dados pessoais que possam gerar risco relevante aos titulares, em ate 3 dias uteis da ciencia, conforme a Resolucao CD/ANPD no 15/2024.

Perguntas frequentes