← Voltar ao Blog
🦠

Ransomware: como proteger sua empresa antes do ataque

⏱ 10 min min de leitura · 📅 15/04/2025 · ✍️ Equipe Infomek

Em 2024, o Brasil foi o 5º país mais atacado por ransomware no mundo. O custo médio de um incidente para empresas brasileiras ultrapassa R$ 1,5 milhão quando se somam parada operacional, recuperação, multas e danos de reputação. A boa notícia: a maioria dos ataques bem-sucedidos exploram falhas básicas que são totalmente evitáveis.

⚠️ Ransomware não discrimina porte. Pequenas empresas são alvos frequentes justamente por terem defesas menores e maior probabilidade de pagar o resgate.

Como funciona um ataque de ransomware

Entender o ataque ajuda a construir a defesa certa. A maioria dos ataques modernos segue este caminho:

  1. Acesso inicial: phishing por e-mail, credencial comprometida, RDP exposto ou vulnerabilidade não corrigida
  2. Persistência: o invasor instala backdoor e mantém acesso sem ser detectado (às vezes por semanas)
  3. Reconhecimento: mapeia a rede, identifica backups, sistemas críticos e dados valiosos
  4. Movimento lateral: se espalha para outros sistemas usando credenciais roubadas
  5. Exfiltração: copia dados para servidores externos (para ameaça dupla de vazamento)
  6. Criptografia: ativa o ransomware e exige resgate

💡 O tempo médio entre a invasão inicial e a ativação do ransomware é de 9 dias. Essa é a janela de oportunidade para detectar e interromper o ataque.

Os 7 pontos críticos de proteção

1. Backup imutável e testado — o mais importante

Backup é sua última linha de defesa. Mas não qualquer backup: o ransomware moderno ativamente procura e deleta backups antes de ativar a criptografia. Você precisa de:

  • Backup offsite — cópia em local fisicamente separado ou nuvem
  • Backup imutável — que não pode ser deletado nem pelo administrador por um período definido
  • Regra 3-2-1: 3 cópias, 2 mídias diferentes, 1 offsite
  • Teste de restore mensal — backup não testado não é backup

2. Autenticação multifator (MFA) em tudo

Credenciais comprometidas são a principal porta de entrada. Com MFA, mesmo que o invasor tenha login e senha, não consegue entrar. Implemente MFA em:

  • E-mail corporativo (Office 365, Google Workspace)
  • VPN e acesso remoto
  • Sistemas administrativos e financeiros
  • Painéis de gerenciamento de nuvem
  • Active Directory / Azure AD

3. Patch management — atualizar sem exceções

Vulnerabilidades conhecidas com patch disponível são exploradas massivamente. Ter um processo de atualização regular — sistemas operacionais, aplicações e firmwares — elimina uma enorme superfície de ataque.

4. EDR nos endpoints — além do antivírus

Antivírus tradicional detecta ameaças por assinatura. Ataques modernos usam técnicas fileless que não deixam arquivo no disco. EDR (Endpoint Detection and Response) monitora comportamento em tempo real e detecta atividades suspeitas independente de assinatura.

5. Segmentação de rede

Se um computador é comprometido, a segmentação impede que o ataque se espalhe para o resto da rede. Servidores, estações de trabalho, sistemas de câmeras, impressoras e dispositivos IoT devem estar em VLANs separadas com regras de firewall entre elas.

6. Princípio do menor privilégio

Cada usuário deve ter acesso apenas ao que precisa para trabalhar. Usuários comuns nunca devem ser administradores locais. Quanto menos privilégio, menos dano quando uma conta é comprometida.

7. Monitoramento e detecção (SIEM/EDR)

Você não pode defender o que não consegue ver. Monitoramento contínuo com alertas para comportamentos anômalos — como acesso a grandes volumes de arquivos em curto tempo, comunicações com IPs suspeitos ou tentativas de login fora do horário — permite detectar o ataque na janela de 9 dias antes da criptografia.

Checklist de avaliação rápida

Responda honestamente. Cada "não" é um risco ativo:

  • Tenho backup offsite testado nos últimos 30 dias?
  • MFA está ativo no e-mail e na VPN de todos os usuários?
  • Meus sistemas estão atualizados (sem pendências críticas há mais de 30 dias)?
  • Tenho EDR instalado em todos os computadores e servidores?
  • Minha rede está segmentada por função?
  • Nenhum usuário comum tem privilégio de administrador?
  • Tenho monitoramento ativo com alertas de comportamento anômalo?

E se já fomos atacados?

Se o ransomware já ativou, a sequência é: isolar imediatamente os sistemas afetados da rede (desconectar o cabo), não pagar o resgate (não garante recuperação e financia futuros ataques), acionar especialistas para análise forense, e notificar a ANPD se dados pessoais foram afetados (obrigação da LGPD).

A Infomek realiza assessments de segurança em empresas de Curitiba, identificando vulnerabilidades antes que invasores as explorem. Entre em contato para um diagnóstico gratuito do seu ambiente.

Precisa de ajuda para aplicar isso na sua empresa?

A Infomek tem mais de 30 anos de experiência em infraestrutura, segurança e TI corporativa em Curitiba.

Fale conosco!