Como proteger a empresa contra ransomware: prevenção, resposta e recuperação

O que é ransomware e a evolução para dupla e tripla extorsão

Ransomware é um malware que sequestra dados ou sistemas de uma organização — normalmente criptografando arquivos — e exige pagamento de resgate, quase sempre em criptomoeda, para devolver o acesso. O modelo mudou profundamente: hoje a criptografia é apenas uma das alavancas de pressão, não a única.

A dupla extorsão tornou-se padrão de mercado. Antes de criptografar, o atacante exfiltra os dados e ameaça publicá-los em sites de vazamento (leak sites) caso o resgate não seja pago. Em 2025, cerca de 87,6% das reivindicações de ransomware envolviam simultaneamente criptografia e exfiltração de dados. Isso neutraliza a defesa clássica de simplesmente restaurar backups: mesmo recuperando os sistemas, a empresa ainda enfrenta a ameaça de exposição pública de dados sensíveis de clientes, contratos e propriedade intelectual.

A tripla extorsão adiciona uma terceira camada de pressão: ataques de negação de serviço (DDoS) contra a vítima, contato direto com clientes, parceiros ou imprensa, e até comunicação a reguladores para forçar o pagamento. Campanhas de tripla extorsão cobram prêmios de resgate substancialmente maiores do que ataques que apenas criptografam.

O ecossistema profissionalizou-se com o modelo Ransomware-as-a-Service (RaaS): operadores desenvolvem o malware e a infraestrutura de extorsão e licenciam tudo para afiliados, que executam os ataques e dividem o lucro. Em 2024 surgiram 55 novas famílias de RaaS, alta de 67% em relação ao ano anterior. Grupos como Qilin e Akira operam como franquias, o que reduz a barreira técnica de entrada e explica o crescimento de aproximadamente 58% no número de vítimas reivindicadas em sites de vazamento em 2025.

A cadeia de ataque: do acesso inicial à criptografia

Um ataque de ransomware raramente é instantâneo. Ele segue uma cadeia (kill chain) de etapas que pode levar de horas a semanas, e cada etapa é uma oportunidade de detecção e contenção.

Acesso inicial. Os três vetores dominantes, segundo o Verizon DBIR 2025, são abuso de credenciais (22% das violações), exploração de vulnerabilidades (20%) e phishing (16%). No contexto específico de ransomware, 54% das vítimas tinham credenciais previamente expostas em logs de infostealers antes do ataque. Initial Access Brokers vendem esses acessos prontos, permitindo que operadores comprem a entrada e foquem nas fases seguintes. A exploração de VPNs e dispositivos de borda cresceu fortemente, com exploits contra VPNs aumentando quase oito vezes.

Persistência e escalonamento de privilégios. Após entrar, o atacante instala mecanismos para manter o acesso e busca credenciais administrativas, frequentemente contornando MFA via prompt bombing, roubo de token de sessão ou ataques adversary-in-the-middle.

Movimentação lateral. Usando ferramentas legítimas (living-off-the-land, como PsExec, WMI e RDP) e credenciais roubadas, o atacante se espalha pela rede, mapeia ativos críticos e localiza servidores de arquivos, controladores de domínio e, crucialmente, os repositórios de backup.

Exfiltração. Antes de criptografar, os dados sensíveis são copiados para fora, frequentemente em volume, viabilizando a dupla extorsão. Esta é uma janela de detecção valiosa: picos anômalos de tráfego de saída são um sinal forte.

Impacto. Por fim, o atacante desativa antivírus e ferramentas de backup, apaga snapshots e shadow copies, e dispara a criptografia em massa — geralmente fora do horário comercial para retardar a resposta. O ransomware apareceu em 44% de todas as violações analisadas no DBIR 2025, contra 32% no ano anterior.

Como prevenir ransomware: os controles que realmente reduzem risco

A prevenção eficaz ataca a cadeia em múltiplos pontos, partindo da premissa de que credenciais serão comprometidas. Os controles a seguir são priorizados por impacto real na redução de risco.

MFA resistente a phishing. Como o abuso de credenciais é o vetor de acesso número um, MFA em todos os acessos externos (VPN, e-mail, painéis administrativos, RDP) é a primeira linha. Prefira fatores resistentes a phishing — chaves FIDO2/WebAuthn — sobre SMS ou push simples, que são vulneráveis a prompt bombing e AiTM.

EDR/XDR em todos os endpoints. Detecção e resposta de endpoint identifica comportamentos da kill chain — execução de ferramentas de descoberta, tentativas de apagar shadow copies, criptografia em massa — e permite isolamento automático da máquina. Servidores, estações e cargas de nuvem precisam de cobertura completa, sem pontos cegos.

Gestão de vulnerabilidades baseada em risco. Como 20% das violações começam por exploração de vulnerabilidades, o patching deve priorizar o que está sob exploração ativa (catálogo CISA KEV) e os ativos expostos à internet: VPNs, firewalls, gateways e aplicações públicas. Reduza a superfície de ataque desativando RDP exposto e serviços desnecessários.

Segmentação de rede e menor privilégio. Segmentação limita a movimentação lateral: redes planas permitem que um único endpoint comprometido alcance toda a infraestrutura. Aplique Zero Trust, separe ambientes administrativos (PAW/tiering de AD), e conceda apenas os privilégios mínimos necessários.

Backup imutável no padrão 3-2-1-1-0. Esta é a apólice de recuperação. Mantenha três cópias dos dados, em dois tipos de mídia, com uma cópia offsite, mais uma cópia imutável ou air-gapped, e zero erros validados por testes de restauração. Backups imutáveis usam WORM e impedem alteração ou exclusão dentro da janela de retenção mesmo por quem tem credenciais de administrador — desde que as credenciais de backup estejam isoladas do sistema de identidade de produção, o alvo preferido dos atacantes ao apagar backups.

Hardening, hygiene e treinamento. Desabilite macros não assinadas, aplique application allowlisting, monitore o uso anômalo de PowerShell, faça gestão de superfície externa e treine equipes contra phishing. Nenhum controle isolado basta; a resiliência vem da sobreposição.

O que fazer durante o ataque: isolar, não desligar e acionar resposta

As primeiras horas determinam o tamanho do dano. A ordem de ações abaixo prioriza conter a propagação sem destruir as evidências necessárias para recuperar e investigar.

Isole, não desligue. Desconecte as máquinas afetadas da rede — cabo, Wi-Fi, isolamento via EDR — para interromper a criptografia e a movimentação lateral. Não desligue os equipamentos: muitas variantes mantêm chaves de criptografia e artefatos forenses apenas na memória RAM, que se perde no shutdown. Desligar pode inviabilizar tanto a investigação quanto eventuais oportunidades de descriptografia.

Acione resposta a incidentes imediatamente. Ative o plano de IR e a equipe especializada. Quanto antes a contenção começa, menor o número de sistemas perdidos. A Decripte opera resposta a incidentes 24x7 com SLA de contenção de incidente crítico em até 1 hora, conduzindo isolamento, erradicação e investigação forense em paralelo.

Preserve evidências. Capture imagens de memória e disco dos sistemas afetados, preserve logs (EDR, firewall, VPN, autenticação, e-mail) e a nota de resgate antes de qualquer remediação. Essa evidência sustenta a identificação do vetor de entrada, a avaliação do que foi exfiltrado e as obrigações legais de notificação.

Pagar ou não pagar. A recomendação técnica de agências como CISA e FBI é não pagar. O pagamento não garante a recuperação dos dados nem a destruição das cópias exfiltradas, financia o crime organizado, marca a empresa como pagadora (aumentando o risco de reincidência) e pode violar sanções dependendo do grupo envolvido. A taxa de vítimas que efetivamente pagam caiu para cerca de 28% em 2025, à medida que mais organizações recuperam por backup. A decisão envolve fatores jurídicos, regulatórios e de continuidade e deve ser tomada com assessoria especializada — nunca como reação isolada do time técnico sob pressão.

Recuperação a partir de backups validados

A recuperação não é apenas restaurar arquivos — é restaurar com segurança, sem reintroduzir o atacante no ambiente. Restaurar para uma rede ainda comprometida resulta em recriptografia em dias.

Erradique antes de restaurar. Confirme que o vetor de entrada foi fechado, que as credenciais comprometidas foram redefinidas (incluindo contas de serviço e chaves), que as backdoors foram removidas e que os endpoints estão limpos. A restauração deve ocorrer em um ambiente sabidamente íntegro, idealmente reconstruído.

Recupere de backups validados e imutáveis. Use a cópia imutável ou air-gapped, que o atacante não conseguiu alterar. Verifique a integridade dos backups e garanta que o ponto de restauração é anterior ao comprometimento inicial — não apenas anterior à criptografia, já que o atacante pode ter estado na rede por semanas.

Priorize por criticidade. Defina a ordem de restauração pelos serviços essenciais ao negócio, respeitando os objetivos de RTO (tempo) e RPO (perda máxima aceitável de dados) definidos previamente. A orientação da CISA é validar a capacidade de restaurar pelo menos sete dias de operação.

Teste antes do incidente, não durante. A linha '0' do 3-2-1-1-0 — zero erros — só existe com testes regulares: verificação mensal de restauração de arquivos, testes trimestrais de recuperação em nível de aplicação e exercícios anuais de failover do ambiente completo. Backup que nunca foi testado é uma suposição, não uma garantia.

Notificação à ANPD e aspectos legais

No Brasil, ransomware com exfiltração de dados pessoais é um incidente de segurança sob a LGPD, e o tratamento jurídico-regulatório corre em paralelo à resposta técnica, com prazos próprios.

Dever de comunicar. O artigo 48 da LGPD obriga o controlador a comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados quando o incidente possa acarretar risco ou dano relevante. A Resolução CD/ANPD nº 15, de 24 de abril de 2024, aprovou o Regulamento de Comunicação de Incidente de Segurança (RCIS), detalhando como, quando e o que comunicar.

Prazo. A comunicação à ANPD e aos titulares deve ser feita em até 3 dias úteis a partir do conhecimento do incidente, salvo prazo diverso em legislação específica. Informações complementares ainda em apuração podem ser fornecidas em até 20 dias úteis. Desde julho de 2025, a ANPD passou a atuar com mais rigor, com mais de 20 empresas notificadas por falha em reportar incidentes.

O que comunicar. A notificação deve descrever a natureza dos dados afetados, os titulares envolvidos, as medidas técnicas e de segurança adotadas, os riscos relacionados e as medidas de mitigação. Por isso a preservação de evidências na fase de resposta é decisiva: sem saber o que foi exfiltrado, não há como cumprir a obrigação corretamente.

Outras frentes legais. Dependendo do setor, há obrigações adicionais — Banco Central e regulação de fintechs/instituições de pagamento, registro de boletim de ocorrência, e comunicação contratual a clientes B2B. A decisão sobre pagamento de resgate também tem implicações legais relativas a sanções. Empresas de setores regulados como fintechs, crypto e e-commerce devem tratar a resposta a incidentes como um processo integrado de segurança, jurídico e compliance, definido antes do incidente.

Passo a passo

1. Implemente MFA resistente a phishing (FIDO2/WebAuthn) em todos os acessos externos — VPN, e-mail, RDP e painéis administrativos — para fechar o vetor de acesso número um, o abuso de credenciais.
2. Instale EDR/XDR em todos os endpoints e servidores, sem pontos cegos, configurado para isolar automaticamente máquinas que exibam comportamento de kill chain de ransomware.
3. Estabeleça gestão de vulnerabilidades baseada em risco, priorizando o patching de ativos expostos à internet e falhas sob exploração ativa (catálogo CISA KEV); desative RDP e serviços desnecessários expostos.
4. Segmente a rede e aplique menor privilégio e Zero Trust para conter a movimentação lateral, separando ambientes administrativos e contas de serviço.
5. Configure backup imutável no padrão 3-2-1-1-0 (três cópias, duas mídias, uma offsite, uma imutável/air-gapped, zero erros), com as credenciais de backup isoladas do sistema de identidade de produção.
6. Teste a recuperação regularmente: verificação mensal de restauração de arquivos, testes trimestrais por aplicação e exercício anual de failover completo, validando RTO e RPO.
7. Defina previamente um plano de resposta a incidentes integrando segurança, jurídico e compliance — incluindo isolamento sem desligar, preservação de evidências e o fluxo de notificação à ANPD — e ensaie-o antes que o incidente ocorra.

Perguntas frequentes