Ransomware.

Ransomware é a classe de malware que cifra dados e exige pagamento pela chave, frequentemente combinada com roubo de dados e extorsão (dupla extorsão). Vetores de ataque: phishing, exposição a sistemas com acesso à internet, cadeia de abastecimento. Os seguros cobrem cada vez menos; os reguladores examinam cada vez mais. O trabalho preventivo (backups, segmentação, plano de IR) determina o resultado, não a negociação.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

A perspetiva da Cyber Academy

Ransomware é a classe de malware que cifra dados e exige pagamento pela chave, frequentemente combinada com roubo de dados e extorsão (dupla extorsão). Vetores de ataque: phishing, exposição a sistemas com acesso à internet, cadeia de abastecimento. Os seguros cobrem cada vez menos; os reguladores examinam cada vez mais. O trabalho preventivo (backups, segmentação, plano de IR) determina o resultado, não a negociação.

O que é realmente um ransomware, e por que a cifragem é a parte fácil

Um ransomware é um software malicioso que se apodera de algo de que você precisa e o obriga a pagar para recuperá-lo. O mecanismo clássico é a cifragem: o malware embaralha os arquivos nos sistemas que alcança e oferece a chave de decifragem em troca de um pagamento, normalmente em criptomoeda. Mas tratar o ransomware como um problema de cifragem ignora o que o torna tão prejudicial. A cifragem é o sintoma visível de uma intrusão que muitas vezes já está em curso há dias ou semanas.

Antes que um único arquivo seja bloqueado, um atacante normalmente obteve um acesso inicial, elevou privilégios, moveu-se lateralmente pela rede, localizou os sistemas que importam e, com frequência, copiou os dados para fora. O bloqueio final é simplesmente o momento em que o operador decide converter esse acesso em dinheiro.

Essa sequência explica por que os piores incidentes de ransomware já não se resumem a arquivos cifrados. Os operadores aprenderam que uma vítima com bons backups podia recusar-se a pagar e restaurar, então acrescentaram uma segunda alavanca: roubar primeiro os dados e depois ameaçar publicá-los. Isso é a dupla extorsão, e muda o cálculo por completo. Mesmo uma organização que restaura de forma limpa a partir de um backup ainda enfrenta a perspectiva de dados confidenciais, registros de clientes ou contratos serem divulgados num site público.

Alguns grupos vão além com pressões adicionais, contatando diretamente clientes ou reguladores, ou acrescentando um ataque de negação de serviço. A negociação, quando há uma, não é realmente sobre uma chave de decifragem. É sobre se os dados roubados permanecem privados.

Como ele entra, e por que o regulador agora se importa

A via de entrada raramente é exótica. Os vetores dominantes são os mais banais: um e-mail de phishing que entrega um loader ou coleta credenciais, um serviço exposto à Internet deixado sem proteção ou sem correção, uma senha de acesso remoto fraca ou reutilizada, e a cadeia de suprimentos, onde um fornecedor ou software de confiança se torna o caminho para a sua rede. Nada disso requer um exploit inédito. Basta uma porta aberta, e é por isso que a gestão da exposição e a higiene de identidade reduzem mais o risco de ransomware do que qualquer produto isolado.

Um incidente de ransomware é hoje um evento regulatório, não apenas técnico. Como o ataque quase sempre envolve roubo de dados, ele costuma acionar as obrigações de violação de dados pessoais previstas no GDPR, o que implica uma avaliação de notificação à autoridade de controle e, em casos graves, às pessoas afetadas. Os operadores de serviços essenciais e importantes enfrentam deveres de notificação de incidentes que se sobrepõem sob a diretiva NIS2. Agências nacionais como a ANSSI e a ENISA publicam orientações justamente porque o mesmo modus operandi continua a funcionar. A consequência prática para uma função de risco é que o plano de resposta deve incluir a via jurídica e de notificação desde a primeira hora, conduzida em paralelo à recuperação técnica, e não acrescentada depois.

O desfecho é decidido antes do ataque, não durante a nota de resgate

A ideia mais importante para os profissionais é que o resultado de um incidente de ransomware é em grande parte determinado pelo trabalho realizado muito antes de ele acontecer. Uma organização capaz de restaurar rapidamente a partir de backups limpos, testados, offline ou imutáveis pode recusar-se a pagar por uma chave. Aquela cujos backups estavam acessíveis a partir da mesma rede, e portanto foram cifrados junto com todo o resto, não tem essa opção. A segmentação da rede limita até onde uma intrusão pode se espalhar antes de alcançar os sistemas que importam. Uma autenticação forte no acesso remoto e no e-mail fecha as portas de entrada mais comuns. Uma detecção que capta o movimento lateral ganha as horas que separam um incidente contido de um evento de cifragem em toda a empresa.

O que as equipes competentes realmente fazem, portanto, é investir na postura prévia ao incidente em vez de na habilidade de negociação. Elas mantêm backups isolados do domínio de produção, cifrados em repouso e restaurados conforme um calendário, de modo que a recuperação seja comprovada e não apenas presumida. Elas segmentam as redes para que uma estação de trabalho comprometida não consiga alcançar sem obstáculos o servidor de backup ou os controladores de domínio.

Elas mantêm um plano de resposta a incidentes que nomeia funções, responsáveis pelas decisões, perícia forense externa e assessoria jurídica, além do caminho de notificação, e o ensaiam. É aqui que o ransomware se conecta diretamente à gestão da continuidade de negócios e à recuperação de desastres: o tempo de recuperação e o ponto de recuperação que uma organização pode efetivamente alcançar, testados frente a um cenário realista, são a diferença entre uma semana ruim e uma crise existencial.

Frequently asked questions

01O que é a dupla extorsão no ransomware?

A dupla extorsão ocorre quando os atacantes roubam os dados antes de cifrá-los, depois ameaçam publicar ou vender os dados roubados além de reter a chave de decifragem. Ela derrota a defesa baseada em backups: mesmo uma vítima que restaura de forma limpa ainda enfrenta o vazamento de dados confidenciais, razão pela qual a pressão já não é apenas sobre recuperar os arquivos.

02Devemos pagar o resgate?

Essa é uma decisão jurídica e de risco, não técnica, e deve ser tomada com aconselhamento jurídico. O pagamento pode fornecer uma chave, mas não desfaz a violação de dados nem os seus deveres de notificação, os dados podem ser vazados de qualquer forma, e pagar a uma entidade sancionada acarreta a sua própria exposição jurídica. A maioria das agências, incluindo a ANSSI, desaconselha o pagamento.

03Os backups nos protegem do ransomware?

Bons backups são a defesa individual mais sólida, mas apenas se forem isolados, imutáveis ou offline, e regularmente testados por uma restauração real. Os backups acessíveis a partir da rede de produção são rotineiramente cifrados no mesmo ataque. E contra a dupla extorsão, os backups permitem recuperar, mas não impedem o vazamento dos dados roubados.

04Um ataque de ransomware é uma violação de dados que deve ser notificada?

Normalmente sim. Como o ransomware moderno quase sempre envolve roubo de dados, ele costuma acionar as obrigações de violação de dados pessoais previstas no GDPR e, para as entidades essenciais e importantes, a notificação de incidentes sob a NIS2. A avaliação de notificação deve começar na primeira hora, em paralelo à recuperação técnica.

05Como o ransomware costuma entrar numa organização?

Por portas comuns: o phishing que entrega malware ou rouba credenciais, sistemas expostos à Internet sem proteção ou sem correção, senhas de acesso remoto fracas ou reutilizadas, e a cadeia de suprimentos. Ele raramente precisa de um exploit inédito, e é por isso que a higiene de identidade e a gestão da exposição reduzem o risco mais do que qualquer ferramenta isolada.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.