Introdução
Em 14 de maio de 2017, o sistema do Serviço Nacional de Saúde do Reino Unido entrou em colapso em questão de horas. Hospitais cancelaram cirurgias, médicos perderam o acesso a prontuários e pacientes foram encaminhados para outros centros de emergência. O culpado não foi um exército de hackers trabalhando durante semanas: foi um malware que se espalhou sozinho em minutos, explorando uma vulnerabilidade que havia sido corrigida dois meses antes.
Esse ataque, conhecido como WannaCry, infectou mais de 230.000 sistemas em 150 países em um único dia e se tornou o lembrete mais brutal do que o ransomware pode fazer quando encontra as condições certas.
Quase uma década depois, o ransomware não desapareceu. Ele evoluiu. Tornou-se mais profissional. E a América Latina, historicamente subestimada como alvo, tornou-se uma das regiões com o crescimento mais rápido do número de ataques no mundo.
Este artigo explica o que é ransomware, como funciona, o que está acontecendo na região e, principalmente, o que uma empresa pode fazer para se proteger de forma concreta e eficaz.
O que é ransomware?
O ransomware é um tipo de software malicioso que criptografa os arquivos de um sistema ou de uma rede inteira, tornando-os inacessíveis aos seus proprietários. Após a criptografia ser concluída, os atacantes exigem um resgate em troca da chave que permite a recuperação dos dados.
O nome já diz tudo: ransom significa resgate. É, em essência, um sequestro digital.
O que torna o ransomware especialmente devastador não é apenas a criptografia de arquivos. É a combinação de fatores que a acompanha. Os sistemas tornam-se imediatamente inutilizáveis, paralisando as operações comerciais. A recuperação sem o pagamento do resgate pode levar dias ou semanas, período durante o qual a empresa não pode operar normalmente. E nos ataques mais sofisticados, os dados também são exfiltrados antes de serem criptografados, adicionando uma segunda ameaça: se o resgate não for pago, as informações confidenciais são publicadas na dark web.
Como funciona um ataque de ransomware
Compreender o mecanismo de um ataque ajuda a entender por que as defesas tradicionais nem sempre são suficientes.
Um ataque de ransomware moderno normalmente segue uma sequência que os especialistas chamam de cadeia de destruição, a cadeia de eventos que vai do primeiro ponto de entrada até a criptografia final.
O ponto de entrada é quase sempre um dos três vetores: um e-mail de phishing com um anexo malicioso ou um link que leva a uma página que instala malware, uma vulnerabilidade em um software desatualizado que permite ao invasor entrar no sistema sem interação do usuário, ou credenciais roubadas ou vazadas que permitem o acesso a sistemas de acesso remoto, como RDP ou VPN.
O período de latência é talvez o aspecto mais perturbador dos ransomwares modernos. Uma vez dentro de um sistema, o malware não age imediatamente. Pode levar dias, semanas ou até meses para que a criptografia seja ativada. Durante esse tempo, o invasor escaneia silenciosamente a rede, mapeia os sistemas, identifica os dados mais valiosos, exclui quaisquer backups que consiga alcançar e garante o maior alcance possível antes de revelar sua presença.
A criptografia ocorre quando o atacante decide que está pronto. Nos ataques mais sofisticados, ela é executada simultaneamente em centenas ou milhares de dispositivos dentro da organização, maximizando o impacto e reduzindo a possibilidade de contenção.
A extorsão ocorre por meio de uma mensagem que aparece nas telas dos sistemas afetados, contendo instruções de pagamento e um prazo. Nos grupos de ransomware mais organizados, existe até mesmo um departamento de atendimento ao cliente para negociar o resgate.
Perspectivas para a América Latina: uma região em destaque
Durante anos, a América Latina foi considerada um alvo secundário para grupos de ransomware. Isso mudou significativamente nos últimos anos.
De acordo com dados do relatório de ameaças da Kaspersky de 2024, a América Latina registrou mais de 1,1 milhão de tentativas de ataques de ransomware em um único ano, o equivalente a aproximadamente 3.000 tentativas por dia. Brasil, México, Colômbia, Peru e Argentina foram responsáveis pela maioria dos incidentes, mas nenhum país da região ficou imune.
Casos de grande repercussão estão se acumulando. Em 2022, o governo da Costa Rica sofreu um ataque do Grupo Conti que paralisou diversos ministérios e forçou o país a declarar estado de emergência nacional. No Chile, o judiciário foi vítima de um ataque em 2022 que comprometeu mais de 360 gigabytes de informações. Na Argentina, a PAMI, maior operadora de planos de saúde para aposentados do país, sofreu um ataque em 2023 que expôs os dados de milhões de membros. Na Colômbia, a Keralty, empresa que opera a rede de saúde Sanitas, foi atacada em 2022, afetando o atendimento de milhares de pacientes.
Por que a América Latina se tornou um alvo cada vez mais comum? Os motivos são numerosos e se reforçam mutuamente. A rápida digitalização dos últimos anos expandiu enormemente a superfície de ataque sem um aumento correspondente no investimento em cibersegurança. O uso generalizado de softwares não licenciados ou desatualizados deixa vulnerabilidades abertas que já foram corrigidas em outros mercados. E a fraca cultura de cibersegurança em muitas organizações torna os ataques de phishing, o vetor de entrada mais comum, particularmente eficazes.
Os grupos de ransomware mais ativos na região
O ransomware deixou de ser obra de hackers solitários. É uma indústria organizada com modelos de negócios sofisticados.
O modelo dominante é chamado de Ransomware como Serviço (RaaS) : os desenvolvedores de malware o alugam para grupos afiliados que realizam ataques e dividem os lucros. Isso permite que pessoas com habilidades técnicas limitadas realizem ataques sofisticados usando ferramentas desenvolvidas por terceiros.
Os grupos que têm sido mais ativos na América Latina nos últimos anos incluem o LockBit , um dos mais prolíficos globalmente e com inúmeras vítimas na região; o BlackCat/ALPHV , conhecido por sua sofisticação técnica e pelo uso de técnicas de dupla extorsão; o Cl0p , que atacou instituições financeiras e educacionais em diversos países da América Latina; e o Medusa , um grupo mais recente que cresceu rapidamente com ataques em vários países da região.
Esses grupos possuem estruturas organizacionais, equipes de negociação e, em alguns casos, até mesmo políticas sobre quais setores não devem ser alvo de seus ataques. São, em todos os sentidos relevantes, organizações criminosas profissionais.
Por que o antivírus tradicional já não é suficiente
Um dos equívocos mais perigosos em cibersegurança é acreditar que ter um software antivírus instalado equivale a estar protegido contra ransomware. Isso não é verdade, e entender o porquê é crucial para tomar melhores decisões de segurança.
Os softwares antivírus tradicionais funcionam comparando arquivos com um banco de dados de ameaças conhecidas. Se o malware corresponder a uma assinatura registrada, ele o bloqueia. Caso contrário, permite sua passagem.
O problema é que os grupos de ransomware modificam constantemente seu código para evitar correspondência com qualquer assinatura conhecida. Um novo ransomware pode circular por dias sem ser detectado por qualquer software antivírus. E muitas técnicas de ataque modernas nem sequer usam arquivos maliciosos: elas executam o código diretamente na memória, usando ferramentas legítimas do sistema operacional, de uma forma que os softwares antivírus convencionais simplesmente não conseguem detectar.
A proteção eficaz contra ransomware moderno exige uma abordagem em camadas, onde vários controles se complementam para cobrir as vulnerabilidades uns dos outros.
Como proteger seu negócio: uma abordagem em camadas
A primeira camada: detecção baseada em comportamento.
Em vez de procurar por ameaças conhecidas, as soluções modernas analisam o comportamento dos processos em tempo real. Quando um processo começa a criptografar arquivos em massa, a se comunicar com servidores externos desconhecidos ou a tentar desativar ferramentas de segurança, o sistema o detecta como anômalo e o interrompe, mesmo que nunca tenha encontrado esse malware antes.
O Bitdefender GravityZone é uma das plataformas que aparece com mais frequência em rankings independentes de detecção de ameaças. Seu módulo de proteção contra ransomware inclui detecção comportamental, correção automática que pode reverter as alterações feitas pelo malware antes que ele seja bloqueado e proteção direcionada aos processos de backup para impedir que o ransomware os exclua antes da ativação. Para empresas de médio e grande porte que precisam gerenciar a segurança de muitos endpoints a partir de um console central, o GravityZone oferece visibilidade e controle sobre toda a infraestrutura em um único painel.
O Heimdal Security complementa essa proteção em uma camada diferente. Seu módulo de Prevenção de Ameaças opera nas camadas de DNS e de rede, bloqueando a comunicação entre o malware e seus servidores de comando e controle antes que um ataque possa ser executado. A maioria dos ransomwares modernos precisa se comunicar com um servidor externo para receber chaves de criptografia; se essa comunicação for interrompida, o ataque não poderá ser concluído. O Heimdal também automatiza o gerenciamento de patches, eliminando uma das causas mais frequentes de infecção.
A segunda camada: backup e recuperação.
Se a primeira camada de segurança falhar, o backup é o que determina se uma empresa sobrevive a um ataque de ransomware ou não. E não qualquer backup: um backup que o ransomware não consiga alcançar e destruir.
Os grupos de ransomware sabem disso. Uma de suas primeiras ações ao obterem acesso a um sistema é procurar e excluir backups locais e snapshots de sistemas de virtualização. Se tiverem sucesso, a única opção restante é pagar o resgate.
A resposta para isso são backups imutáveis na nuvem : cópias que, uma vez criadas, não podem ser modificadas ou excluídas por um determinado período, nem mesmo por alguém com credenciais de administrador.
O Acronis CyberProtect combina backup com proteção contra malware em uma única plataforma. Sua funcionalidade de backup imutável na nuvem garante que uma cópia dos seus dados esteja sempre disponível, inacessível a ransomware. Ele também inclui detecção de malware integrada ao processo de backup, impedindo que uma cópia infectada restaure o problema juntamente com os dados. Para empresas que buscam simplificar sua infraestrutura de segurança, combinar proteção e backup em uma única ferramenta oferece um valor operacional significativo.
A terceira camada: gestão de acesso e credenciais
Uma parcela significativa dos ataques de ransomware ocorre por meio de credenciais comprometidas, seja por phishing, vazamentos de dados ou ataques de força bruta contra sistemas de acesso remoto com senhas fracas.
Reduzir esse risco exige dois controles básicos que muitas empresas ainda não implementaram. O primeiro é a autenticação multifator para todos os pontos de acesso críticos: sistemas de acesso remoto, e-mail corporativo e painéis de administração. O segundo é o gerenciamento centralizado de senhas para garantir que as credenciais corporativas sejam únicas, complexas e não reutilizadas em vários sistemas.
A quarta camada: treinamento em equipe
A tecnologia pode abranger muitos vetores de ataque, mas o phishing continua sendo o ponto de entrada mais frequente em ataques de ransomware, e o phishing depende de uma pessoa clicar em algo que não deveria.
O treinamento em segurança não é um evento isolado; é um processo contínuo que inclui simulações de phishing, treinamento sobre como reconhecer e-mails suspeitos e protocolos claros sobre o que fazer quando alguém recebe algo duvidoso. Organizações que investem nesse processo reduzem consideravelmente a taxa de incidentes relacionados a phishing.
O que fazer se sua empresa já foi atacada?
Se, apesar das precauções, um ataque de ransomware for bem-sucedido, a forma como a organização responde nas primeiras horas determinará em grande parte a extensão dos danos.
O primeiro passo é isolar imediatamente os sistemas afetados da rede para impedir que o ransomware se espalhe ainda mais. Desconectar os computadores comprometidos da rede, mesmo que estejam executando processos importantes, é a decisão correta.
A segunda coisa a evitar é desligar os sistemas afetados. Contrariamente ao que se possa pensar, desligá-los pode destruir evidências na memória que podem ser úteis para análises forenses posteriores e, em alguns casos, para tentar recuperar chaves de criptografia.
O terceiro passo é contatar especialistas em resposta a incidentes antes de tomar qualquer outra decisão, incluindo se deve ou não pagar o resgate. Organizações como a No More Ransom, um projeto conjunto da Europol e diversas empresas de segurança, mantêm um repositório de chaves de descriptografia para muitas variantes conhecidas de ransomware. Em alguns casos, a recuperação é possível sem o pagamento.
O quarto ponto é não pagar o resgate se houver outra alternativa. Além das implicações éticas de financiar organizações criminosas, o pagamento não garante a recuperação dos dados: um número significativo de empresas que pagam não recebem as chaves ou recebem chaves que não funcionam corretamente.
Conclusão
O ransomware é uma das ameaças mais concretas e dispendiosas que as empresas latino-americanas enfrentam atualmente. Não se trata de uma ameaça abstrata, nem se limita a grandes corporações: grupos de ransomware atacam qualquer organização que considerem vulnerável, independentemente do seu tamanho ou setor.
A boa notícia é que a proteção é possível e não exige orçamentos exorbitantes. Ela requer uma abordagem em camadas, onde a detecção comportamental, backups imutáveis, gerenciamento de acesso e treinamento da equipe trabalham em conjunto para reduzir tanto a probabilidade de um ataque bem-sucedido quanto o seu impacto, caso ele ocorra.
Nenhuma ferramenta isolada garante proteção completa. Mas a combinação certa de controles pode fazer a diferença entre um incidente controlado e uma crise empresarial.
Deseja avaliar a vulnerabilidade da sua empresa a ransomware? Em aufieroinformatica.com, você pode consultar nossos especialistas em cibersegurança.
