Ransomware: como funciona e como se proteger

Ransomware deixou de ser cybercrime de oportunidade e virou indústria. Grupos operam como empresas, com afiliados, suporte, "atendimento" às vítimas e modelos de negócio sofisticados. Para defender, é preciso entender o modus operandi.

Como funciona um ataque moderno: double extortion

Ransomware "clássico" criptografava e pedia resgate pela chave. Os grupos modernos operam double extortion — ou até triple e quadruple:

1. Acesso inicial: phishing, exploração de VPN/RDP exposto, compra de acesso de Initial Access Brokers
2. Persistência e escalada: elevação de privilégios, abuso de Active Directory, comprometimento de contas administrativas
3. Movimentação lateral: dias ou semanas dentro do ambiente, mapeando ativos críticos
4. Exfiltração: cópia de dados sensíveis para infraestrutura do grupo (esta é a parte do double extortion)
5. Destruição de backups: alvo prioritário — sem backup, o resgate vira opção mais atrativa
6. Criptografia em massa: normalmente em horário de menor pessoal (madrugada, fim de semana)
7. Extorsão: "pague ou divulgamos seus dados em nosso site de vazamentos"

Onde a defesa precisa funcionar

1. Bloquear o acesso inicial

• MFA em tudo — especialmente VPN, RDP, M365, painéis administrativos
• Patching em sistemas expostos à internet (VPN gateways, firewalls, web servers)
• Email security moderno (DMARC, SPF, DKIM, sandboxing de anexos)
• Treinamento de usuários contra phishing — com testes reais, não apenas e-learning

2. Dificultar persistência e escalada

• Hardening de Active Directory — eliminar contas privilegiadas desnecessárias, tiered admin model
• Princípio do menor privilégio em todos os ambientes
• EDR/XDR em todos os endpoints com regras para comportamentos pós-exploração
• LAPS (Local Administrator Password Solution) para evitar passar o mesmo hash entre máquinas

3. Limitar movimentação lateral

• Segmentação de rede — VLANs, microsegmentação, ZTNA
• Restrições de SMB, WMI, RDP entre estações de trabalho
• Logging de autenticações entre máquinas e detecção de patterns anômalos

4. Detectar antes da criptografia

• SOC 24/7 com cobertura em endpoints e identidade
• Threat hunting proativo para TTPs de grupos ativos no seu setor
• Alertas para indicadores específicos: criação de contas privilegiadas fora do horário, execução de tools como Mimikatz, Cobalt Strike, Brute Ratel
• Honeypots e canary tokens dentro da rede

5. Proteger backups

• Backups imutáveis e/ou offline — sem credenciais do AD podendo apagar
• Regra 3-2-1-1: 3 cópias, 2 mídias, 1 fora do site, 1 offline/imutável
• Testes de restore regulares e cronometrados

6. Plano de resposta testado

Não basta ter um documento. Faça tabletop exercises trimestrais com a liderança, simulando ransomware. Quem decide pagar? Quem comunica clientes? Como segue operando sem TI? Quem chama o time forense? Esses jogos salvam empresas reais.

Devo pagar?

Esta é uma decisão de negócio, jurídica e ética. Em geral, especialistas e autoridades desencorajam o pagamento por três motivos:

• Financia futuras operações criminosas
• Não há garantia de descriptografia ou de não republicação
• Em alguns países, pode configurar violação de sanções

Empresas com plano de resposta sólido, backups íntegros e segmentação adequada se recuperam sem pagar. As que não têm, frequentemente pagam — e ainda assim sofrem prejuízo enorme.

Como Pentest e Red Team ajudam

• Pentest identifica os vetores de acesso inicial mais óbvios (VPN, web, RDP, AD)
• Red Team simula a kill chain completa de um operador de ransomware — incluindo o teste do SOC e do plano de resposta
• Assumed breach exercises partem do pressuposto que o atacante já está dentro — e validam contenção, segmentação e detecção

Conclusão

Ransomware não é técnica nova; é um pipeline. Defender exige bloquear, dificultar e detectar em todas as etapas — e ter um plano para o pior cenário. A boa notícia: cada etapa que você quebra reduz drasticamente a probabilidade de virar manchete.