- A maioria das organizações restaura antes de confirmar que o atacante saiu, causando reinfecção em até 72 horas
- 40% das organizações que pagaram o resgate não recuperaram todos os dados (Sophos 2024)
- Grupos de ransomware atacam ativamente a infraestrutura de backup; valide cada backup em hardware isolado
- A LGPD exige notificação à ANPD em prazo razoável, com referência de 2 dias úteis para incidentes graves
- A recuperação média leva 21 dias; organizações com backups com air gap testados recuperam em 13 dias
Por que a maioria das recuperações falha
Três padrões de falha respondem pela maioria dos incidentes de ransomware prolongados.
O primeiro é restaurar antes de eliminar o atacante. A equipe restaura a partir do backup, reconecta à rede e a reinfecção ocorre em horas. O agente de ameaça nunca foi embora. Tarefas agendadas, novas contas de administrador, ferramentas de acesso remoto e credenciais implantadas sobrevivem à restauração e permitem que o atacante implante a criptografia novamente.
O segundo é pagar o resgate e tratar isso como plano de recuperação. Pesquisa da Sophos com 5.000 organizações mostrou que 40% das que pagaram não recuperaram todos os dados. Os desencriptadores falham em arquivos corrompidos, retornam chaves parciais ou não funcionam em variantes de criptografia mais recentes.
A terceira falha é mais silenciosa: reconstruir no mesmo estado que possibilitou o ataque. Se o seu ambiente tinha vulnerabilidades, restaurar a partir de backup as reinstala.
Etapa 1: confirme que o atacante saiu
A implantação do ransomware normalmente ocorre semanas após o acesso inicial. O Mandiant M-Trends 2024 aponta o tempo médio de permanência em 11 dias antes da implantação da criptografia. No setor financeiro, o tempo médio de permanência supera 45 dias. Alguns grupos mantiveram acesso persistente por mais de 200 dias. A criptografia marca o fim do ataque, não o início.
Antes de qualquer trabalho de restauração começar, sua equipe de resposta a incidentes precisa ter uma visão completa: cada sistema afetado, cada credencial comprometida, cada nova conta criada durante a violação e cada mecanismo de persistência encontrado e confirmado como removido.
Como a persistência se manifesta
Investigações de ransomware costumam encontrar:
- Tarefas agendadas que reexecutam o loader ou payload de callback
- Novas contas de administrador local criadas durante movimento lateral
- Ferramentas de monitoramento e gerenciamento remoto que continuam em execução após o acesso inicial
- Webshells implantadas em servidores voltados para a internet
- Alterações de política de grupo do domínio que mantêm privilégios do atacante
- Modificações de registro que desativam ferramentas de segurança de endpoint
- Tokens OAuth e chaves de API criados para acesso persistente à nuvem
Alguns grupos aguardam 30 a 60 dias após a detecção inicial para reingressar, visando organizações que recuperaram sem eliminação completa.
Etapa 2: valide seus backups
Famílias modernas de ransomware tratam os backups como o principal obstáculo ao pagamento. Conti, LockBit 3.0 e BlackCat/ALPHV incluem módulos que tentam criptografar ou excluir Volume Shadow Copies, arquivos de software de backup e repositórios de backup acessíveis pela rede. Se o seu sistema de backup estava acessível a partir do ambiente infectado, trate-o como possivelmente comprometido.
O processo de validação
- Identifique a última data de backup limpa. Isso é antes do acesso inicial do atacante, não antes da criptografia.
- Monte o backup em hardware isolado sem conectividade de rede com o ambiente de produção ou domínio.
- Execute suas ferramentas EDR e antivírus atualizadas sobre o backup montado.
- Realize uma restauração de teste de um sistema crítico nesse hardware isolado e verifique se ele inicializa corretamente.
- Confie apenas em backups que passam em todas as quatro verificações.
Etapa 3: elimine primeiro, restaure depois
Não tente limpar sistemas infectados. Reconstrua-os. Verificar que um sistema está completamente limpo exige mais esforço do que reconstruir a partir de uma imagem limpa conhecida. Formate endpoints, servidores e controladores de domínio comprometidos e reconstrua a partir de uma baseline validada.
O Active Directory merece atenção especial. Se os controladores de domínio foram comprometidos, trate cada conta com privilégios de administrador de domínio como comprometida. Redefina todas as credenciais privilegiadas antes de conectar sistemas restaurados ao domínio.
Muitas equipes reconstruem estações de trabalho mas mantêm controladores de domínio comprometidos. Uma estação de trabalho limpa que se conecta a um domínio comprometido permanece dentro do alcance do atacante. Eliminação completa significa o domínio, não apenas máquinas individuais.
Etapa 4: planeje a sequência de restauração
Restaure em ordem de prioridade de negócio, não de conveniência técnica. Defina seus níveis antes de um incidente para que a decisão de sequenciamento seja tomada a partir de um plano, não sob pressão.
A abordagem em três camadas
Camada 1 — Continuidade central dos negócios: folha de pagamento, serviços voltados ao cliente, ERP central e comunicações. Meta: operacional em 72 horas após a conclusão da eliminação.
Camada 2 — Suporte operacional: aplicações de negócio secundárias, relatórios, análises e ferramentas internas. Meta: operacional na primeira semana.
Camada 3 — Não crítico: arquivos, ambientes de desenvolvimento, sistemas de teste e ferramentas internas de pouco uso. Esses aguardam até que a Camada 2 esteja confirmada como limpa e estável.
Defina seus procedimentos manuais de emergência antes de um incidente, não durante ele. Fluxos de trabalho em papel ou offline para aprovação de folha de pagamento, processamento de pedidos de clientes e autorização financeira evitam paralisia operacional nas primeiras 48 a 72 horas.
Etapa 5: cumpra as obrigações de notificação regulatória
As obrigações de notificação correm em paralelo com o trabalho de recuperação, não depois. Uma notificação perdida enquanto você está focado na restauração é uma infração regulatória separada.
LGPD: notificação à ANPD
O artigo 48 da LGPD exige que o controlador notifique a ANPD e os titulares de dados afetados sobre incidente de segurança que possa acarretar risco ou dano relevante. A Resolução CD/ANPD nº 2/2022 estabelece 2 dias úteis como referência para casos graves após o conhecimento do incidente. Um ataque de ransomware que criptografa dados pessoais se enquadra nessa obrigação. O ransomware quase sempre criptografa dados pessoais porque criptografa aleatoriamente em todos os sistemas de arquivos.
A notificação deve conter: a natureza dos dados afetados, informações sobre os titulares envolvidos, indicação das medidas técnicas e de segurança aplicadas, riscos e possíveis consequências do incidente, e as medidas tomadas ou planejadas. Você não precisa aguardar uma investigação completa. Notifique dentro do prazo e atualize à medida que seu entendimento cresce.
GDPR: se sua organização trata dados de residentes da UE
O artigo 33 do GDPR exige notificação à autoridade supervisora competente dentro de 72 horas após o conhecimento de uma violação de dados. Se sua organização processa dados de residentes europeus, essa obrigação corre em paralelo com a notificação à ANPD. As duas obrigações têm prazos e formatos diferentes; consulte um advogado de proteção de dados para coordenar ambas as notificações.
Envolva um advogado especializado em proteção de dados no início da resposta ao incidente, não ao final. O envolvimento jurídico precoce proporciona proteção de sigilo profissional para materiais de investigação e reduz o risco de erros nas notificações que criam uma segunda exposição regulatória.
Etapa 6: fortaleça durante a reconstrução
Aquele estado anterior tinha vulnerabilidades que o atacante encontrou e explorou. Reconstruir na mesma configuração dá ao próximo grupo as mesmas condições para trabalhar.
Enquanto cada sistema retorna online:
- Force MFA em todas as contas privilegiadas antes de conectá-las à rede
- Implante ou verifique a cobertura de EDR em cada endpoint antes de colocá-lo em produção
- Revise e implemente o tiering do Active Directory: a maioria dos ransomwares se move lateralmente por contas de domínio com privilégios excessivos
- Ative o registro de auditoria centralizado antes de qualquer sistema processar dados de produção
- Aplique todos os patches pendentes antes de o sistema entrar em produção
O último sistema voltando online não é a linha de chegada. Uma postura de segurança melhor do que antes do ataque é.
Quanto tempo leva a recuperação?
O relatório Sophos State of Ransomware 2024 aponta uma média de 21 dias para recuperação completa das operações de negócio. Incidentes em grandes empresas têm média de 38 dias. Organizações com backups com air gap testados recuperaram em média em 13 dias.
Recuperações mais rápidas tinham três coisas em comum: um plano de resposta a incidentes praticado, backups testados nos seis meses anteriores e uma rede segmentada que limitou o alcance do movimento do atacante.
Como a Cyvra ajuda
A Cyvra apoia a recuperação de ransomware desde a investigação inicial e forense até o fortalecimento pós-incidente. Trabalhamos ao lado de suas equipes internas ou assumimos a liderança quando a capacidade é limitada.
- Investigação e forense: identificar cada sistema afetado, credencial comprometida e mecanismo de persistência antes de iniciar a recuperação
- Validação de backup: avaliação independente da integridade do backup em infraestrutura isolada antes de sua equipe confiar nele
- Reconstrução em ambiente limpo: restaurar sistemas críticos a partir de imagens validadas em ambiente isolado antes de ir para produção
- Notificações regulatórias: redigir e submeter notificações à ANPD, GDPR e outras autoridades dentro dos prazos exigidos
- Fortalecimento pós-incidente: tiering do AD, implantação de MFA, EDR, arquitetura de logs e segmentação de rede
- Exercícios de simulação: pratique sua resposta antes de precisar dela, para que as decisões sejam tomadas a partir de um plano
Entre em contato com nossa prática de cibersegurança ou saiba mais sobre nossos serviços de conformidade e resposta a incidentes.