- O ransomware moderno exfiltra dados antes de criptografá-los, portanto, os backups por si só não eliminam o risco de extorsão
- Backups imutáveis e isolados testados trimestralmente são o controle de recuperação mais eficaz
- Isole os sistemas afetados minutos após a detecção, mas preserve as evidências forenses antes de apagá-los
- O Artigo 33 do GDPR exige notificação regulatória dentro de 72 horas após a descoberta de uma violação de dados pessoais
- Pagar o resgate sem negociação profissional e aconselhamento jurídico cria riscos financeiros, jurídicos e de reputação
- A maioria dos ataques bem-sucedidos explora software sem correção, credenciais RDP fracas ou phishing, todos evitáveis
O que o ransomware faz
Ransomware é um software malicioso que criptografa arquivos em sistemas infectados e exige pagamento, normalmente em criptomoeda, pela chave de descriptografia. Essa única frase subestima o quão destrutivo é um ataque moderno. O cronograma desde o acesso inicial até a criptografia completa em uma rede corporativa pode ser inferior a quatro horas. No momento em que a nota de resgate aparece na tela, o invasor geralmente já está dentro do ambiente há dias ou semanas.
A maioria dos grupos profissionais de ransomware agora opera um modelo de dupla extorsão. Antes de criptografar qualquer coisa, o invasor exfiltra uma cópia de arquivos confidenciais: registros de clientes, dados financeiros, informações pessoais de funcionários, propriedade intelectual, registros de pacientes no caso de prestadores de serviços de saúde. O pedido de resgate abrange tanto a descriptografia quanto a promessa de não publicar os dados roubados no site público de vazamento do grupo. Isto significa que a restauração a partir do backup resolve a crise operacional, mas não elimina a ameaça. Os dados já estão em mãos hostis.
O ataque normalmente começa muito antes da criptografia. Os atores da ameaça obtêm acesso inicial por meio de e-mails de phishing, exploração de software de acesso remoto sem correção (o protocolo de área de trabalho remota exposto à Internet é um ponto de entrada perenemente comum), credenciais VPN comprometidas adquiridas de corretores de acesso inicial ou exploração indireta de um navegador ou plug-in vulnerável. Uma vez dentro, o atacante passa algum tempo na fase de reconhecimento e escalonamento de privilégios: mapeando a rede, identificando sistemas de backup, descobrindo credenciais de administrador de domínio e garantindo que consegue acessar o máximo possível do ambiente antes de acionar o payload de criptografia. Os sistemas de backup são o alvo principal durante esta fase. Os invasores que excluem ou corrompem backups antes de criptografar os arquivos aumentam drasticamente sua vantagem.
Três setores enfrentam uma segmentação desproporcional: cuidados de saúde, serviços financeiros e hospitalidade. As organizações de saúde detêm dados pessoais de elevado valor sob rigorosas obrigações regulamentares e enfrentam uma enorme pressão operacional para restaurar os sistemas rapidamente, o que as torna propensas a pagar. As instituições financeiras detêm fundos e dados confidenciais de clientes. As empresas de hospitalidade processam grandes volumes de dados de pagamento com cartão e muitas vezes executam sistemas legados de ponto de venda com gerenciamento deficiente de patches. Todos os três setores também tendem a operar em vários locais com redes distribuídas, proporcionando aos invasores mais área de superfície para se movimentarem quando entrarem.
Antes de um ataque: as defesas que importam
A prevenção não consiste em eliminar todos os riscos. Nenhum controle técnico faz isso. A prevenção consiste em tornar sua organização um alvo mais difícil do que a próxima e garantir que, quando um invasor entrar, o dano seja contido e não catastrófico.
Backups imutáveis e testados
O controle de ransomware mais importante é um backup que um invasor não pode excluir ou criptografar. Os backups imutáveis usam armazenamento de gravação única, por meio de serviços de armazenamento de objetos que impõem políticas de bloqueio de objetos (AWS S3 Object Lock, Azure Immutable Blob Storage) ou por meio de dispositivos dedicados com firmware de armazenamento imutável. O backup também deve ser isolado, o que significa que não pode ser acessado pela rede de produção. Um backup armazenado em um compartilhamento de rede que os administradores de domínio podem acessar é um backup que o invasor pode acessar.
O teste não é negociável. Um backup não testado é uma hipótese. Execute exercícios de restauração no mínimo trimestralmente para sistemas críticos e pelo menos anualmente para todo o ambiente. Documente o tempo de recuperação de cada sistema crítico e compare-o com a tolerância real do seu negócio em relação ao tempo de inatividade. A maioria das empresas descobre que a diferença entre o tempo de recuperação assumido e o tempo de recuperação testado é medida em dias, não em horas.
Gerenciamento de patches em um cronograma definido
A maioria dos ataques de ransomware explora vulnerabilidades conhecidas com patches publicados. O invasor não precisa de dia zero. Eles precisam de um CVE de seis meses atrás que seu ciclo de patches ainda não tenha abordado. Estabeleça um ciclo de patches com prazos definidos por gravidade: patches críticos aplicados dentro de 48 horas após o lançamento, alta gravidade dentro de 7 dias, médio dentro de 30 dias. Os serviços de acesso remoto (gateways VPN, RDP, Citrix, Exchange) garantem os prazos mais curtos porque são expostos diretamente à Internet e verificados ativamente por operadores de ransomware poucas horas após a divulgação de uma vulnerabilidade.
Autenticação multifator em todos os serviços externos
Credenciais comprometidas são o segundo ponto de entrada de ransomware mais comum depois do phishing. Aplique o MFA em todos os serviços acessíveis pela Internet, sem exceção: VPN, Remote Desktop Gateway, Microsoft 365, Google Workspace, acesso ao console em nuvem e qualquer aplicativo da web que autentique usuários. Use MFA resistente a phishing sempre que possível, especificamente chaves ou senhas de hardware FIDO2/WebAuthn, em vez de senhas de uso único baseadas em SMS, que podem ser interceptadas por meio de troca de SIM ou proxies de phishing em tempo real. Para obter um guia detalhado sobre a implementação do MFA, consulte nosso Guia MFA.
Segmentação de rede
A flat network, where every system can communicate with every other system, means that a single compromised workstation can reach your backup servers, domain controllers, and financial systems without restriction. Segmente sua rede para que os sistemas de produção, a infraestrutura de backup, o Wi-Fi de convidado e a tecnologia operacional existam em zonas separadas com regras de firewall que regem o que pode se comunicar com o quê. No mínimo, coloque os sistemas de backup em um segmento de rede que nenhuma estação de trabalho de usuário padrão possa alcançar e restrinja o acesso do controlador de domínio a hosts de gerenciamento nomeados.
Detecção e resposta de endpoint
Assinaturas de antivírus detectam malware conhecido. As plataformas Endpoint Detection and Response (EDR), incluindo CrowdStrike Falcon, Microsoft Defender for Endpoint e SentinelOne, detectam padrões comportamentais associados à execução de ransomware: criptografia de arquivos em massa, exclusão de cópia de sombra via vssadmin, movimentação lateral usando PsExec e despejo de credenciais via acesso LSASS. O EDR dá visibilidade à sua equipe de segurança e, em algumas configurações, contenção automatizada de hosts comprometidos antes que a criptografia se espalhe. A plataforma é tão eficaz quanto a equipe que a monitora.
Um plano de resposta a incidentes escrito e testado
Quando um ataque começar, sua equipe terá minutos para tomar decisões. Um plano que existe apenas na cabeça de alguém não é um plano. Documente procedimentos de isolamento para cada tipo de sistema, critérios de decisão para escalar para liderança, números de contato de seu retentor de resposta a incidentes e seguradora cibernética e modelos de comunicação para clientes e reguladores. Armazene uma cópia off-line, pois o ransomware criptografa frequentemente compartilhamentos de rede e documentos sincronizados na nuvem.
Pagar sem orientação profissional. As empresas que pagam resgate sem contratar negociadores especializados e aconselhamento jurídico muitas vezes pagam o valor total exigido, recebem uma chave de descriptografia quebrada ou parcial e enfrentam o escrutínio regulatório por potencialmente fazerem um pagamento sancionado. Alguns grupos de ransomware estão sujeitos a sanções, o que significa que o pagamento por uma empresa do Reino Unido ou da UE pode ser uma violação legal.
Descobrir que os backups foram comprometidos. A falha mais comum na resposta ao ransomware é descobrir que os backups também foram criptografados ou excluídos porque estavam em um compartilhamento de rede acessível a partir de sistemas infectados. Teste seus backups antes de precisar deles.
Nenhum plano de resposta documentado. As organizações sem um plano de resposta a incidentes por escrito levam em média 15 dias a mais para conter um incidente de ransomware do que aquelas que têm um. O plano não precisa ser longo. Precisa ser específico e acessível.
Durante um ataque: as primeiras 24 a 48 horas
A velocidade é importante. Cada minuto de conectividade de rede após a descoberta dá ao invasor mais tempo para se espalhar, exfiltrar mais dados e criptografar mais sistemas. O objetivo na primeira hora é reduzir o raio da explosão, não investigar.
Isole os sistemas afetados imediatamente
Desconecte os sistemas infectados da rede desativando suas interfaces de rede. Não os desligue. Os sistemas desligados podem ter chaves de criptografia residentes na memória que as ferramentas forenses podem recuperar, e o desligamento destrói as evidências. Desative as interfaces de rede por meio do sistema operacional ou, se o sistema não responder, desconecte fisicamente o cabo Ethernet ou desative a porta do switch de rede. Para dispositivos conectados sem fio, desative o adaptador sem fio ou remova o dispositivo da lista de clientes conectados do ponto de acesso sem fio.
Se você identificar o ponto de acesso inicial, como uma conta VPN comprometida ou um serviço RDP exposto, desative-o imediatamente. Altere as credenciais de qualquer conta que possa ter sido comprometida, começando pelas contas de administrador de domínio, contas de serviço com permissões amplas e contas associadas a alvos de phishing conhecidos.
Não pague imediatamente
A nota de resgate cria urgência por design. Os invasores definem cronômetros de contagem regressiva e ameaçam publicar dados ou aumentar a demanda. Contratar um negociador especialista em ransomware antes de qualquer decisão de pagamento ganha tempo e reduz o valor pago nos casos em que o pagamento se torna necessário. Antes de qualquer pagamento, consulte um consultor jurídico sobre o cumprimento de sanções, verifique se sua apólice de seguro cibernético exige a aprovação da seguradora antes do pagamento e verifique se a chave de descriptografia fornecida após o pagamento para ataques semelhantes por este grupo produziu resultados confiáveis.
Preservar evidências forenses
Antes de limpar e reconstruir sistemas, capture imagens forenses dos hosts afetados. Colete logs de eventos do Windows, histórico do PowerShell, histórico do navegador e quaisquer arquivos suspeitos identificados durante a investigação inicial. Preserve os logs do firewall e os dados de fluxo da rede do período que abrange o tempo de permanência suspeito. Esta evidência é necessária para a investigação regulamentar que se seguirá a qualquer violação de dados pessoais, para reclamações de seguros e para a análise forense pós-incidente que identifica como o atacante entrou e se mantém alguma persistência.
Notificar as partes relevantes
Notifique sua seguradora cibernética dentro do prazo especificado em sua apólice. Muitas políticas exigem notificação dentro de 24 a 72 horas após a descoberta; a falha na notificação dentro do período exigido pode anular a cobertura. Entre em contato com seu agente de resposta a incidentes, se você tiver um; caso contrário, contrate um especialista imediatamente, em vez de tentar gerenciar um incidente em grande escala apenas com recursos internos.
Se estiverem envolvidos dados pessoais, inicie o relógio de notificação regulatória de 72 horas. De acordo com o Artigo 33 do GDPR, você deve notificar sua autoridade supervisora dentro de 72 horas após tomar conhecimento de uma violação de dados pessoais, a menos que seja improvável que a violação resulte em risco para os indivíduos. Um ataque de ransomware que criptografa ou exfiltra dados pessoais quase sempre atinge o limite de notificação. Nos Países Baixos, notifique a Autoriteit Persoonsgegevens. No Reino Unido, notifique a OIC. Não são necessárias informações completas para fazer a notificação inicial; o regulamento aceita um relatório inicial com mais detalhes a seguir.
Comunique-se internamente com cuidado
Limite as informações sobre o incidente a quem precisa delas. A comunicação prematura ou imprecisa com a equipe pode levar a mais destruição de evidências (funcionários desligando sistemas), exposição legal e vazamentos de mídia. Prepare uma breve declaração factual para os funcionários cobrindo o que eles devem e não devem fazer. Certifique-se de que a equipe de TI não discuta detalhes sobre plataformas que possam estar monitoradas ou comprometidas.
Depois de um ataque: recuperação, análise forense e lições
A contenção põe fim à crise imediata. A recuperação e o trabalho pós-incidente determinam se o ataque se repetirá.
Investigação forense completa antes da reconstrução
Reconstruir sistemas antes de concluir a perícia corre o risco de reinfecção. Os invasores frequentemente estabelecem persistência por meio de mecanismos que sobrevivem à recriação de imagens padrão: tarefas agendadas que exigem infraestrutura de comando e controle, credenciais comprometidas reutilizadas em sistemas reconstruídos ou implantes de cadeia de suprimentos em atualizações de software. A investigação forense deve identificar o vetor de acesso inicial, o âmbito completo dos sistemas acedidos, a extensão da exfiltração de dados, quaisquer mecanismos de persistência deixados para trás e as contas comprometidas durante o movimento lateral. Todas as credenciais comprometidas devem ser redefinidas, não apenas aquelas visivelmente usadas durante o ataque.
Recuperação em fases de backups limpos
Restaure os sistemas em ordem de prioridade com base na criticidade do negócio e não na velocidade de recuperação. Confirme se cada sistema restaurado está limpo antes de reconectá-lo à rede de produção. Execute sua plataforma EDR e revise sua telemetria em cada host restaurado antes de colocá-lo online. Se os backups também foram comprometidos, você enfrentará um processo de reconstrução mais longo do zero. Documente antecipadamente os procedimentos de reconstrução para cada sistema crítico como parte do seu planejamento de continuidade de negócios, para que o processo de reconstrução sob pressão não dependa da memória institucional mantida por um único membro da equipe.
Obrigações de notificação regulamentar
A notificação do Artigo 33 do GDPR à autoridade supervisora dentro de 72 horas abrange o relatório inicial. As obrigações subsequentes dependem de quais dados foram acessados. O Artigo 34 exige a notificação direta aos indivíduos afetados quando a violação puder resultar em alto risco para eles, por exemplo, se registros de saúde, detalhes de contas financeiras ou números de identificação governamental forem exfiltrados. Obrigações específicas do setor se sobrepõem ao GDPR: as organizações de saúde na Holanda enfrentam requisitos adicionais da NEN 7510, as instituições financeiras reguladas pelo De Nederlandsche Bank ou pelo FCA enfrentam seus próprios cronogramas de relatórios de incidentes e as entidades cobertas pelo PCI DSS devem notificar seu banco adquirente e marca de pagamento dentro de prazos especificados após um comprometimento confirmado dos dados do titular do cartão.
Revisão pós-incidente
Execute uma revisão estruturada pós-incidente dentro de duas semanas após a contenção, enquanto os detalhes ainda estão claros. A revisão deve identificar o vetor de acesso inicial e a falha de controle que o permitiu, o tempo de permanência e por que a detecção não ocorreu mais cedo, se o plano de resposta a incidentes funcionou conforme o esperado e onde falhou, e quais mudanças específicas evitarão a recorrência. Atribua cada ação de correção a um proprietário nomeado com um prazo. Não enquadre as descobertas como falhas individuais: os incidentes de ransomware quase sempre refletem uma combinação de fatores técnicos, de processo e de recursos. A revisão produz uma lista de soluções priorizadas e não uma atribuição de culpa.
Cada análise post-mortem de ransomware revela controles ausentes e lacunas na cobertura. O trabalho após a recuperação é identificar essas lacunas e fechá-las antes da próxima tentativa.
Revisão de seguro cibernético
Revise sua apólice de seguro cibernético após o incidente. As políticas diferem significativamente no que cobrem: algumas cobrem pagamentos de resgate, algumas cobrem custos de investigação forense, algumas cobrem multas regulatórias e a maioria exclui a cobertura para incidentes que resultam da falha na manutenção de controles básicos (sistemas não corrigidos, MFA ausente). Entenda o que sua apólice realmente cobre e quais obrigações você deve cumprir para permanecer elegível para sinistros. Use o período pós-incidente para verificar se seus limites de cobertura refletem o custo real de uma recuperação total, e não o custo que você estimou antes de experimentá-la.
O que a maioria das empresas erram
Certas falhas aparecem de forma consistente em incidentes de ransomware em PMEs e empresas regulamentadas. Compreendê-los antes de um ataque faz a diferença entre um incidente contido e um incidente catastrófico.
Backups armazenados em compartilhamentos de rede. Um backup armazenado em uma unidade compartilhada acessível aos usuários do domínio é um backup que o ransomware criptografará. O backup deve ser imutável, com proteção contra gravação aplicada na camada de armazenamento, e não apenas por controles de acesso que uma conta de administrador de domínio comprometida pode ignorar.
Backups nunca testados. As tarefas de backup concluídas sem erros não significam que os dados possam ser recuperados. Backups corrompidos, tarefas incompletas e configurações alteradas do sistema causam regularmente falhas de restauração exatamente no momento em que são mais necessárias. Teste a restauração de arquivos individuais mensalmente e teste a restauração de um servidor completo trimestralmente.
RDP deixou aberto para a internet. O protocolo de área de trabalho remota na porta TCP 3389 exposto diretamente à Internet é verificado e atacado continuamente. Se a equipe precisar de acesso remoto, solicite que eles se conectem por meio de uma VPN com o MFA antes de acessar a sessão RDP. Não há justificativa operacional para expor diretamente o RDP.
Nenhuma segmentação entre TI e TO. As empresas de manufatura, saúde e hospitalidade com tecnologia operacional, incluindo sistemas de gerenciamento predial, dispositivos médicos e sistemas de ponto de venda, frequentemente os conectam à rede de TI principal sem segmentação. O ransomware que atinge os sistemas de TO pode desabilitar operações físicas, em vez de apenas sistemas de dados, e a recuperação de TO é medida em semanas, e não em dias.
Pagando sem garantia de descriptografia. As chaves de descriptografia fornecidas após o pagamento frequentemente produzem recuperação corrompida ou incompleta, especialmente para grandes conjuntos de arquivos. Alguns grupos desaparecem após o pagamento sem fornecer qualquer chave. Contrate um negociador especialista que possa verificar a reputação do grupo em honrar pagamentos antes de autorizar qualquer transação.
Nenhum caminho de escalonamento documentado. Quando o ataque começa às 2h de um sábado, o que não é incomum, dado que os invasores cronometram a criptografia para períodos de baixa cobertura, o gerente de TI de plantão precisa saber quem acordar, quem tem autoridade para colocar sistemas críticos off-line e onde está o número da apólice de seguro. Essas informações precisam existir em um documento impresso em um local físico, e não apenas em um arquivo na rede que esteja atualmente criptografado.
Para empresas em setores regulamentados, o Autoriteit Personsgegevens publica orientações sobre obrigações de notificação de violação. O NCSC Holanda mantém uma avaliação de ameaças de ransomware e um registro público de ferramentas de descriptografia conhecidas para certas variantes de ransomware por meio do projeto No More Ransom.