Recuperacao de dados: como agir em caso de ransomware

O que é ransomware e por que sua empresa está em risco

Ransomware é uma categoria de malware que criptografa arquivos e sistemas inteiros, exigindo pagamento de resgate — geralmente em criptomoedas — para liberar a chave de descriptografia. Segundo o relatório da Sophos State of Ransomware 2024, 59% das organizações foram atingidas por ransomware no último ano, com um custo médio de recuperação de US$ 2,73 milhões por incidente, sem contar o valor do resgate em si. No Brasil, o cenário é ainda mais alarmante: o país figura consistentemente entre os cinco mais atacados do mundo, com pequenas e médias empresas representando mais de 60% das vítimas.

O modelo de negócio do ransomware evoluiu drasticamente. O que antes era um ataque oportunista disparado por e-mail agora opera como Ransomware-as-a-Service (RaaS), onde grupos criminosos vendem kits prontos para afiliados em troca de comissão sobre os resgates. Variantes como LockBit 3.0, BlackCat (ALPHV) e Cl0p utilizam técnicas de dupla extorsão: além de criptografar os dados, exfiltram informações sensíveis e ameaçam publicá-las caso o pagamento não seja feito. Isso significa que mesmo empresas com backup podem ser chantageadas.

O tempo médio entre a invasão inicial e a detonação do ransomware — chamado de dwell time — caiu para cerca de 5 dias, segundo a Mandiant. Isso dá aos atacantes tempo suficiente para mapear a rede, escalar privilégios, desabilitar ferramentas de segurança e comprometer backups antes de executar a criptografia em massa. Entender esse ciclo é fundamental para montar um plano de resposta eficaz.

Primeiras horas: como agir imediatamente após a detecção

Os primeiros 60 minutos após a detecção de um ataque de ransomware são os mais críticos. Decisões erradas nessa janela podem ampliar drasticamente o dano. A regra número um é: não desligue os equipamentos abruptamente. Em vez disso, isole a máquina da rede — desconecte o cabo Ethernet ou desative o Wi-Fi — mas mantenha o sistema ligado. Desligar bruscamente pode corromper a memória RAM, onde muitas vezes a chave de criptografia ainda está acessível para ferramentas forenses.

Monte imediatamente um time de resposta a incidentes (CSIRT), mesmo que informal. Esse grupo deve incluir, no mínimo: o responsável pela TI, um decisor executivo e, idealmente, um especialista externo em segurança. Documente tudo desde o primeiro momento — capturas de tela da nota de resgate, horários de detecção, sistemas afetados e ações tomadas. Essa documentação será essencial tanto para a investigação forense quanto para eventuais notificações à ANPD exigidas pela LGPD.

• Isolar imediatamente: desconecte máquinas infectadas da rede (LAN e Wi-Fi), mas não desligue
• Identificar a variante: use ferramentas como ID Ransomware (id-ransomware.malwarehunterteam.com) para identificar a cepa a partir da nota de resgate ou extensão dos arquivos criptografados
• Preservar evidências: faça imagens forenses dos discos afetados antes de qualquer tentativa de recuperação
• Verificar o escopo: mapeie quais servidores, estações, compartilhamentos de rede e serviços em nuvem foram comprometidos
• Desabilitar tarefas agendadas: atacantes frequentemente criam scheduled tasks e GPOs maliciosas para reinfecção
• Trocar credenciais: force a redefinição de todas as senhas do Active Directory, começando pelas contas privilegiadas (Domain Admin, Enterprise Admin)

"A diferença entre uma empresa que se recupera de ransomware em dias e outra que leva meses não está na sofisticação do ataque, mas na maturidade do plano de resposta a incidentes e na qualidade dos backups." — Instituto SANS, Incident Response Guidelines

Um erro comum é tentar negociar com os atacantes ou pagar o resgate precipitadamente. Dados do Coveware mostram que apenas 8% das empresas que pagaram receberam todos os dados de volta sem corrupção. Além disso, pagar incentiva o ecossistema criminoso e pode violar sanções internacionais. A recomendação unânime de órgãos como FBI, Europol e Cert.br é: não pague o resgate. Em vez disso, concentre seus esforços na recuperação a partir de backups confiáveis.

Estratégia de backup: a linha de defesa que define o desfecho

A capacidade de recuperação após um ataque de ransomware depende inteiramente da estratégia de backup implementada antes do incidente. A regra de ouro continua sendo a estratégia 3-2-1-1-0: três cópias dos dados, em dois tipos de mídia diferentes, uma cópia offsite, uma cópia offline (air-gapped) e zero erros nos testes de restauração. A evolução da regra 3-2-1 tradicional para incluir o componente offline é resposta direta ao fato de que atacantes de ransomware priorizam a destruição de backups acessíveis pela rede.

Backups imutáveis são uma camada de proteção essencial. Soluções como Veeam com hardened repository, Azure Blob Storage com WORM (Write Once, Read Many) e AWS S3 Object Lock garantem que, mesmo que o atacante obtenha credenciais administrativas, os backups não possam ser alterados ou excluídos durante o período de retenção configurado. Empresas que implementam imutabilidade reduzem o tempo de recuperação em até 96%, segundo dados da Veeam Ransomware Trends Report 2024.

Além da imutabilidade, o isolamento de rede dos backups é fundamental. Um backup armazenado em um NAS acessível pelo mesmo domínio Active Directory da rede comprometida será criptografado junto com todo o resto. As melhores práticas incluem:

1. Repositórios Linux hardened fora do domínio AD, com autenticação própria e acesso restrito por IP
2. Rotação de fitas LTO armazenadas fisicamente fora da empresa — método antigo, mas extremamente eficaz contra ransomware
3. Backup em nuvem com credenciais separadas do ambiente on-premises, preferencialmente com MFA dedicado
4. Snapshots de storage configurados para retenção mínima de 30 dias, com proteção contra exclusão administrativa

Outro aspecto frequentemente negligenciado é o teste periódico de restauração. De nada adianta manter backups sofisticados se, no momento do desastre, a restauração falha por incompatibilidade de versão, mídia corrompida ou procedimento desconhecido pela equipe. Testes de restauração completos — incluindo boot de máquinas virtuais a partir do backup — devem ser realizados mensalmente no mínimo, com documentação formal dos resultados.

Processo de recuperação: do diagnóstico à restauração completa

Com o ataque contido e os backups verificados, o processo de recuperação pode começar. A primeira etapa é estabelecer um ambiente limpo de recuperação. Nunca restaure dados diretamente na infraestrutura comprometida sem antes garantir que o vetor de ataque foi eliminado. Isso geralmente significa provisionar servidores temporários — físicos ou em nuvem — com sistema operacional instalado do zero, patches atualizados e agentes de segurança (EDR) ativos antes de qualquer restauração de dados.

A ordem de restauração deve seguir uma prioridade baseada em impacto ao negócio, tipicamente organizada em camadas:

• Camada 0 — Identidade e DNS: Active Directory, controladores de domínio, DNS e DHCP. Sem esses serviços, nada mais funciona. A restauração do AD exige cuidados especiais para evitar replicação de objetos comprometidos
• Camada 1 — Infraestrutura crítica: firewalls, servidores de e-mail, sistemas ERP/CRM, bancos de dados de produção e servidores de arquivos com dados regulados (LGPD)
• Camada 2 — Operações do negócio: aplicações de linha de negócio, sistemas de atendimento, plataformas de comunicação interna
• Camada 3 — Serviços complementares: servidores de impressão, sistemas de monitoramento, ambientes de desenvolvimento e homologação

Para cada sistema restaurado, execute uma verificação de integridade antes de colocá-lo em produção. Isso inclui: varredura com EDR atualizado, verificação de hashes de arquivos críticos do sistema operacional, análise de tarefas agendadas e serviços instalados, e revisão de contas de usuário ativas. Atacantes frequentemente instalam backdoors persistentes que sobrevivem até mesmo a restaurações de backup se o backup foi feito após a invasão inicial, mas antes da detonação do ransomware.

O Recovery Point Objective (RPO) e o Recovery Time Objective (RTO) definidos no plano de continuidade de negócios determinam quanto dado pode ser perdido e quanto tempo de indisponibilidade é aceitável. Organizações que definem esses parâmetros previamente conseguem priorizar a recuperação de forma racional em vez de reagir ao pânico. Um RPO de 4 horas para o banco de dados de produção, por exemplo, exige backups incrementais a cada 4 horas no máximo — e o time precisa saber restaurar esse incremental em menos tempo que o RTO estabelecido.

Prevenção: fortalecendo a postura de segurança pós-incidente

Sobreviver a um ataque de ransomware sem implementar mudanças estruturais é garantir que o próximo ataque será igualmente devastador. O período pós-incidente é o momento de maior receptividade organizacional para investimentos em segurança — aproveite essa janela. As medidas mais eficazes, segundo o framework NIST Cybersecurity e as recomendações do CISA, incluem:

Segmentação de rede (Zero Trust): elimine redes planas onde qualquer estação acessa qualquer servidor. Implemente VLANs, microsegmentação e políticas de firewall que restrinjam o tráfego lateral. O modelo Zero Trust assume que a rede já está comprometida e exige autenticação e autorização para cada acesso, independentemente da localização do dispositivo. Organizações com segmentação adequada reduzem o escopo de ataques de ransomware em até 80%.

Gerenciamento de privilégios (PAM): contas com privilégios administrativos são o principal alvo dos atacantes. Implemente o princípio do menor privilégio, elimine contas de Domain Admin desnecessárias, utilize soluções de PAM (Privileged Access Management) com rotação automática de senhas e implante a autenticação multifator (MFA) em todos os acessos remotos e administrativos, sem exceção.

• EDR em todos os endpoints: antivírus tradicional não detecta ransomware moderno. Soluções de EDR (Endpoint Detection and Response) como Microsoft Defender for Endpoint, CrowdStrike ou SentinelOne oferecem detecção comportamental e capacidade de isolamento automático
• Patching automatizado: 60% dos ataques de ransomware exploram vulnerabilidades conhecidas com patches disponíveis há mais de 30 dias. Automatize o gerenciamento de patches com WSUS, Intune ou ferramentas similares
• Treinamento de conscientização: phishing continua sendo o vetor número um. Programas de simulação de phishing com frequência mensal reduzem a taxa de cliques de 30% para menos de 5% em 12 meses
• Monitoramento 24/7 (SOC/SIEM): detectar o ataque durante o dwell time — antes da detonação — é a diferença entre um incidente menor e uma catástrofe. Soluções como Microsoft Sentinel ou Splunk com alertas automatizados são essenciais
• Plano de resposta a incidentes testado: documente procedimentos, atribua responsabilidades e realize simulações (tabletop exercises) trimestrais. Um plano não testado é apenas um documento

"Empresas que realizam simulações de resposta a incidentes pelo menos duas vezes ao ano reduzem o custo médio de uma violação em US$ 2,66 milhões comparadas àquelas que não simulam." — IBM Cost of a Data Breach Report 2024

Como a Duk Informática & Cloud protege sua empresa contra ransomware

Construir e manter toda essa estrutura de prevenção, backup e resposta a incidentes exige expertise dedicada — algo que a maioria das pequenas e médias empresas não consegue manter internamente. É exatamente nesse cenário que a Duk Informática & Cloud atua como parceira estratégica de TI. Com mais de 18 anos de experiência e 550+ empresas atendidas, a Duk oferece um ecossistema completo de proteção contra ransomware que abrange desde a prevenção até a recuperação.

Como Microsoft Gold Partner, a Duk implementa e gerencia soluções de segurança de ponta, incluindo Microsoft Defender for Endpoint, Azure Backup com imutabilidade, Microsoft Sentinel para monitoramento SIEM e políticas de Conditional Access via Entra ID. O diferencial está na operação contínua: a equipe da Duk monitora o ambiente dos clientes com SLA médio de resposta de 3,7 minutos, o que significa que tentativas de ataque são detectadas e contidas em tempo real, antes que o ransomware tenha chance de se espalhar pela rede.

A abordagem da Duk inclui: auditoria completa de vulnerabilidades, implementação de backup 3-2-1-1-0 com testes mensais de restauração, segmentação de rede, gestão de privilégios, treinamento periódico de usuários e um plano de resposta a incidentes personalizado para cada cliente. Tudo isso operado a partir de data center próprio em Alphaville, com redundância e conformidade com a LGPD. Para empresas que já sofreram um ataque, a Duk também oferece serviço de resposta emergencial com análise forense e recuperação assistida.

Não espere o ransomware bater à porta para agir. Fale agora com um especialista da Duk e descubra como proteger os dados e a continuidade da sua empresa com quem tem a experiência e a infraestrutura para responder quando cada minuto conta.

Falar com especialista via WhatsApp