O que é Ransomware?

O ransomware é uma forma sofisticada de malware desenvolvida para sequestrar seus dados, bloqueando totalmente o acesso aos seus arquivos e sistemas. Ele utiliza criptografia avançada para tornar seus dados inacessíveis sem uma chave de decifração exclusiva, que permanece em posse dos criminosos. Para recuperar o acesso, normalmente é exigido o pagamento de um resgate, geralmente em criptomoedas, preservando o anonimato do atacante.

O ransomware moderno evoluiu para além da simples criptografia. Novas variantes, como o crypto-ransomware e o CryptoWall, elevaram o nível da ameaça. Algumas versões adotam a técnica de dupla extorsão, criptografando seus dados e ainda ameaçando divulgar informações sensíveis caso o pagamento não seja efetuado. Isso aumenta consideravelmente a pressão, especialmente sobre empresas preocupadas com danos à reputação e exigências regulatórias.

Os ataques de ransomware se tornaram cada vez mais comuns, atingindo organizações de todos os portes e setores. De pequenas empresas a grandes corporações, ninguém está imune. Os ataques normalmente impõem prazos rigorosos, adicionando urgência a uma situação já estressante. Se o resgate não for pago no prazo, é possível perder seus dados de forma definitiva ou enfrentar cobranças ainda maiores.

Embora a tentação de pagar o resgate seja grande, principalmente diante de dados críticos, diversos órgãos — inclusive o FBI — desaconselham essa abordagem. Pagar incentiva novos ataques e não garante a devolução segura dos dados. Na prática, cerca de metade das vítimas que pagam acabam sendo alvo de novos ataques, principalmente quando a infecção inicial não foi completamente eliminada do ambiente.

O ransomware tem suas origens em 1989, quando o chamado “vírus da AIDS” foi utilizado para extorquir dinheiro de vítimas. Naquela época, os pagamentos eram enviados pelo correio para o Panamá, e somente após isso a chave de decifração era fornecida aos usuários.

Em 1996, os pesquisadores Moti Yung e Adam Young, da Universidade de Columbia, introduziram o conceito conhecido como “extorsão criptoviral”, ilustrando a evolução e o potencial das novas ferramentas criptográficas. Eles apresentaram o primeiro ataque de criptovirologia na Conferência IEEE Security and Privacy daquele ano. O vírus continha a chave pública do atacante e criptografava os arquivos da vítima, que então era instruída a enviar o conteúdo cifrado ao atacante, responsável por devolver a chave de decifração, mediante pagamento.

Com o passar dos anos, os atacantes passaram a exigir pagamentos cada vez mais difíceis de rastrear, mantendo seu anonimato. Por exemplo, o famoso ransomware móvel Fusob exigia que as vítimas pagassem em cartões-presente do iTunes, em vez de moedas tradicionais.

O aumento da popularidade das criptomoedas, como o Bitcoin, proporcionou um novo impulso aos ataques de ransomware. Essas moedas digitais utilizam criptografia para validar e proteger transações e controlar a criação de novas unidades. Além do Bitcoin, outras criptomoedas, como Ethereum, Litecoin e Ripple, também passaram a ser solicitadas por criminosos.

Quase todos os setores já foram alvo de ransomware, incluindo ataques de destaque como o que atingiu o Hospital Memorial Presbyterian, afetando laboratórios, farmácias e prontos-socorros — um exemplo do potencial destrutivo do ransomware.

Com a evolução da engenharia social, golpistas têm inovado ainda mais. O jornal The Guardian relatou ataques em que, para obter a chave de decifração, a vítima precisava convencer outras duas pessoas a instalar o link malicioso e pagar o resgate, ampliando o alcance do ataque.

O ransomware bloqueia o acesso a dados ou sistemas até que um resgate seja pago, geralmente por meio da criptografia de arquivos (encryptors) ou do bloqueio total do sistema (screen lockers). Os criminosos exigem pagamentos em criptomoedas para fornecer as chaves de decifração, mas o sucesso nesta “negociação” varia bastante. Empresas são alvos frequentes devido ao maior potencial financeiro, e os ataques geralmente começam com campanhas de phishing ou golpes por telefone.

Principais mecanismos de infecção e propagação

• Phishing e engenharia social: E-mails enganosos induzem usuários a abrir anexos ou clicar em links maliciosos, normalmente simulando remetentes confiáveis e explorando senso de urgência ou autoridade. Após a ativação, o ransomware pode se espalhar por toda a rede conectada.
• Exploração de RDP: Conexões RDP (Remote Desktop Protocol) mal configuradas, sobretudo em ambientes de trabalho remoto, facilitam a invasão dos criminosos. Credenciais comprometidas ou falhas não corrigidas abrem caminho para a instalação do ransomware.
• Vulnerabilidades em sistemas: Softwares desatualizados ou sem correções de segurança são portas de entrada. Atacantes escaneiam sistemas em busca de falhas em firewalls, sistemas operacionais ou aplicações para instalar o malware de forma silenciosa.
• Dispositivos USB infectados: Pen drives ou outros dispositivos físicos contaminados conseguem burlar defesas de rede. Ao serem conectados, o ransomware é instalado automaticamente e pode contaminar outros sistemas ligados à rede.
• Malvertising e exploit kits: Anúncios e sites comprometidos direcionam usuários para domínios maliciosos, que identificam vulnerabilidades e fazem a entrega do ransomware.

Após o acesso inicial, os criminosos criptografam arquivos e extraem dados para aplicar a dupla extorsão. Temas como anonimato das criptomoedas, trabalho remoto e sistemas legados contribuem para a proliferação deste tipo de ameaça. Medidas preventivas, como adoção do modelo de confiança zero e treinamento dos colaboradores, são fundamentais para enfrentar ameaças em constante evolução.

A crescente prevalência do ransomware fez com que os ataques se tornassem cada vez mais sofisticados e diversificados.

• Scareware: Este tipo comum de ransomware exibe alertas falsos afirmando ter detectado malware no computador da vítima. Muitas vezes, se disfarça de antivírus e exige pagamento para eliminar ameaças inexistentes. Apesar de parecer menos perigoso, o scareware causa estresse e prejuízos financeiros. Sempre verifique a legitimidade de alertas de segurança e utilize antivírus reconhecidos.
• Bloqueadores de tela (Screen lockers): Impedem o acesso ao computador, bloqueando toda a tela e exibindo uma mensagem de resgate. Podem tornar o sistema inutilizável. Ter backups de dados e conhecimento em inicialização segura são essenciais para lidar com esse tipo de ameaça.
• Ransomware de criptografia (Encrypting ransomware ou Crypto-ransomware): Criptografa arquivos da vítima e exige pagamento pela chave de decifração. Pode ser devastador, deixando todos os arquivos inacessíveis. A melhor defesa é manter backups atualizados e investir em soluções robustas de cibersegurança.
• Extorsão por DDoS: O atacante ameaça realizar um ataque de negação de serviço distribuído (DDoS) contra o site ou rede da vítima caso o resgate não seja pago. Empresas que dependem de presença digital estão particularmente vulneráveis. Implementar proteção contra DDoS e planos de resposta a incidentes é essencial.
• Ransomware móvel: Ataca dispositivos como smartphones e tablets, exigindo pagamento para desbloqueio ou decifração dos dados. Com o crescimento do uso desses dispositivos, essa modalidade se tornou cada vez mais preocupante. Atualizações regulares do sistema operacional e cautela ao instalar aplicativos são medidas preventivas fundamentais.
• Doxware (Leakware): Variante sofisticada que ameaça expor ou divulgar informações confidenciais, explícitas ou sensíveis, caso o resgate não seja pago. A proteção reforçada dos dados e o cuidado com o armazenamento digital ajudam a mitigar esse risco.
• Ransomware-as-a-Service (RaaS): Criminosos oferecem programas prontos de ransomware para outros atacantes, facilitando a multiplicação dos ataques mesmo para quem não tem conhecimento técnico avançado. O modelo opera de forma similar ao Software como Serviço, com suporte e atualizações para os “clientes”.

Esses são alguns dos principais tipos de ransomware. À medida que estratégias de proteção evoluem, os criminosos também inovam, buscando constantemente novas formas de explorar vulnerabilidades.

Alguns ataques notáveis de ransomware ajudam empresas a entender táticas e mecanismos de cada ameaça. Embora códigos, alvos e funções variem, a inovação costuma avançar de forma incremental.

• WannaCry: Utilizou uma vulnerabilidade no Windows para criar um worm global que chegou a infectar mais de 250 mil sistemas antes de ser contido. A Proofpoint analisou e desmontou a amostra que acionou o kill switch, ajudando a interromper a propagação do ataque. Saiba mais sobre como a Proofpoint ajudou a impedir o WannaCry.
• CryptoLocker: Detectado pela primeira vez em 2013, utilizava criptografia RSA e exigia pagamentos em Bitcoin. Espalhou-se via e-mails de phishing com falsas notificações de encomendas usando a botnet Gameover ZeuS. Sua infraestrutura foi desabilitada em 2014, mas variantes como o CryptoLocker 2.0 seguem ativas, agora também mirando dispositivos USB e carteiras de Bitcoin.
• NotPetya: Um dos ataques mais destrutivos já registrados, usou táticas similares ao Petya, criptografando o setor de inicialização do Windows. Apesar das cobranças de resgate em Bitcoin, muitos consideram o NotPetya mais um wiper do que um verdadeiro ransomware, pois não permite recuperar o sistema.
• Bad Rabbit: Compartilha códigos e técnicas com o NotPetya, mas seu foco foi especialmente empresas de mídia na Rússia e Ucrânia. Era distribuído como atualização falsa do Flash Player, em ataques do tipo “drive-by”.
• REvil: Grupo orientado financeiramente, exfiltra dados antes de criptografá-los, usando chantagem para pressionar o pagamento. Em um caso marcante, invadiu sistemas corporativos via software de gerenciamento de TI comprometido (Kaseya).
• Ryuk: Ao contrário dos demais, é distribuído manualmente e baseado em spear-phishing. As vítimas são escolhidas após um processo detalhado de reconhecimento, e todos os arquivos são criptografados após a infecção.

• 59% das organizações sofreram algum ataque de ransomware em 2024, sendo que 70% dos casos resultaram na criptografia de dados, segundo o relatório The State of Ransomware 2024 da Sophos.
• Os valores de resgate dispararam: o pagamento médio subiu de menos de US$ 200 mil em 2023 para US$ 1,5 milhão em junho de 2024, conforme o IBM Ransomware Stories 2024.
• 88% das violações em pequenas empresas foram causadas por ransomware, e 64% das vítimas recusaram-se a pagar — um aumento de 14% em relação a 2023, de acordo com o relatório Verizon DBIR.
• 32% dos ataques exploraram vulnerabilidades não corrigidas, enquanto 68% dos funcionários admitiram comportamentos arriscados que facilitaram o phishing — principal vetor de ransomware, segundo o Proofpoint State of the Phish 2024.
• A Cybersecurity Ventures prevê US$ 57 bilhões em perdas globais em 2025, podendo chegar a US$ 275 bilhões por ano até 2031, à medida que ataques passam a ocorrer a cada dois segundos.

As táticas dos operadores de ransomware ficaram mais sofisticadas e impactantes, acompanhando estratégias criminosas em constante evolução e novas medidas de defesa. Entre as principais tendências destacam-se:

1. Crescimento exponencial dos ataques

Em 2024, foram registrados 5.263 ataques de ransomware — o maior volume desde 2021 —, com aumento de 25% ano a ano. Grupos como LockBit e RansomHub lideraram, enquanto outros exploraram vulnerabilidades críticas especialmente em setores como saúde e manufatura.

2. Dupla e tripla extorsão consolidam-se

Atualmente, 93% dos ataques envolvem exfiltração de dados, e 43% das vítimas pagaram o resgate para evitar vazamentos (BlackFog). Criminosos combinam criptografia, ameaça de vazamentos e interrupções em terceiros, como já visto no ataque ao setor de saúde do Reino Unido, que expôs 300 milhões de registros de pacientes.

3. Ataques mais rápidos e direcionados

Hoje, as negociações começam em poucas horas após a invasão. Atacantes utilizam phishing alimentado por IA e ameaças internas para contornar defesas. Pequenas e médias empresas foram alvo de mais de 41% dos ataques, indicando a mudança no perfil das vítimas.

4. Proliferação do Ransomware-as-a-Service (RaaS)

“A profissionalização da economia do ransomware só cresce, já que o modelo RaaS reduziu as barreiras para novatos executarem ataques cibernéticos e aproximou pesquisadores de segurança de grupos criminosos”, avalia Christian Have, CTO da Logpoint.

5. Foco em infraestrutura crítica

Ataques contra setores industriais, de saúde e manufatura seguem crescendo. Segundo o IT-ISAC, 20% dos ataques recentes visaram manufatura crítica, seguidos por instalações comerciais, saúde, TI e serviços financeiros.

6. Contramedidas governamentais

Governos intensificaram ações para desmantelar operações de ransomware por meio de ações policiais coordenadas e novas regulações. Em 2024, operações como a Endgame da Europol derrubaram mais de 100 servidores e 2 mil domínios utilizados em ataques, enquanto EUA, Reino Unido e Austrália sancionaram atores ligados a grupos como o Evil Corp.

Embora cada ataque de ransomware possa apresentar detalhes específicos, a maioria segue uma sequência semelhante de etapas. Veja como normalmente ocorre:

1. Brecha inicial: O ataque começa quando os cibercriminosos conseguem acessar o sistema. Isso pode ocorrer por meio de um e-mail de phishing, exploração de uma vulnerabilidade ou mesmo um clique descuidado em um link malicioso — como se uma janela tivesse sido deixada aberta para os invasores entrarem.
2. Estabelecimento de presença: Uma vez dentro do ambiente, o atacante busca garantir seu acesso. Para isso, pode instalar outros malwares ou criar “portas dos fundos” que permitam o retorno ao sistema futuramente, sem ser detectado.
3. Reconhecimento: Já acomodado no sistema, o criminoso passa a mapear o ambiente, procurando dados valiosos, informações sobre a estrutura da rede e possíveis alvos. É como um ladrão explorando cada cômodo da casa em busca de objetos de valor.
4. Escalação de privilégios: Os invasores tentam aumentar seu nível de acesso no ambiente, buscando permissões elevadas que lhes permitam controlar ainda mais partes do sistema — como se conseguissem a chave mestra da casa.
5. Coleta de dados (Data harvesting): Com privilégios ampliados, os criminosos começam a copiar arquivos confidenciais, roubar credenciais e coletar informações sensíveis.
6. Preparação para o ataque: Antes de acionar o ransomware, eles desabilitam mecanismos de segurança e apagam backups, preparando o terreno para maximizar o impacto — semelhante a cortar as linhas de comunicação da casa antes do roubo.
7. Acionamento do ransomware: Por fim, o código é acionado. Os arquivos são criptografados, os sistemas bloqueados e a demanda de resgate é apresentada. É o momento que você percebe que foi vítima e recebe o “bilhete” exigindo pagamento para devolver suas informações.

Essas etapas podem ser percorridas em poucas horas. Por isso, a vigilância contínua e a implantação de controles de segurança robustos em todas as fases são imprescindíveis para proteger os ativos digitais da sua empresa.

Quando uma empresa é vítima de ransomware, as perdas podem chegar a milhares ou milhões de reais em produtividade e dados comprometidos. Com acesso aos dados, os criminosos chantageiam as vítimas, ameaçando divulgar informações confidenciais ou dados pessoais caso o resgate não seja pago rapidamente. O impacto do ransomware vai muito além da perda financeira imediata, comprometendo a reputação e a continuidade operacional do negócio.

Como o ransomware paralisa a produtividade, a primeira ação geralmente é conter o incidente. Depois disso, a organização precisa escolher entre restaurar os dados a partir de backups ou pagar o resgate — lembrando que nem sempre há garantia de recuperação após o pagamento, e isso pode estimular novos ataques. Mesmo ao restaurar sistemas a partir de backups confiáveis, é possível sofrer períodos de inatividade e eventuais perdas definitivas de informações.

A investigação policial é acionada, mas processos para rastrear os autores podem prolongar a recuperação do ambiente. Esse atraso pode agravar a dimensão do prejuízo financeiro e da interrupção dos negócios. Além disso, a necessidade de envolver autoridades pode expor publicamente o caso, deteriorando ainda mais a imagem da empresa.

A análise da causa raiz é fundamental, mas também pode prolongar o tempo de retorno. Após superar a emergência, as organizações tendem a investir mais em atualizações de infraestrutura, treinamento dos colaboradores e reforço dos times de segurança.

As consequências de um ataque de ransomware podem se arrastar por meses, afetando a credibilidade perante clientes e parceiros. Em setores regulados, ainda há o risco de multas e processos legais por falhas na proteção de dados. O impacto psicológico sobre os funcionários também merece atenção — o estresse e a insegurança tendem a comprometer a moral e a produtividade mesmo após a normalização dos sistemas.

Ao infectar os arquivos, o ransomware exibe uma mensagem informando o bloqueio dos dados e o valor exigido pelo resgate, frequentemente com prazo determinado para efetivar o pagamento — sob ameaça de aumento do valor ou exposição pública do incidente.

O maior risco de pagar o resgate está em, mesmo assim, não receber as chaves de decifração dos dados. Especialistas e órgãos de segurança costumam desaconselhar o pagamento justamente para não alimentar o ciclo de lucro dos criminosos. Mesmo assim, muitas empresas acabam recorrendo ao pagamento, por não enxergarem alternativas viáveis no curto prazo. Como os pagamentos são feitos em criptomoedas, não há possibilidade de reversão ou rastreamento.

O impacto do ransomware normalmente é imediato: uma mensagem surge na tela do usuário com orientações para pagamento e informação sobre os arquivos bloqueados. A resposta precisa ser ágil, pois o ransomware pode se espalhar para outros dispositivos e áreas da rede.

Veja os passos básicos para reagir a um ataque — lembrando que profissionais especializados são essenciais para análise profunda e limpeza completa:

• Identifique os sistemas afetados: Isole imediatamente os computadores comprometidos para evitar a propagação do ataque para a rede.
• Desconecte e desligue equipamentos, se necessário: Como a contaminação pode avançar muito rápido, interrompa o acesso à rede ou desligue fisicamente os sistemas infectados.
• Priorize a restauração dos sistemas críticos: Defina quais sistemas devem voltar ao ar primeiro, normalmente aqueles que afetam diretamente produtividade e faturamento.
• Erradique a ameaça: Com o auxílio de especialistas, remova todo vestígio do ransomware e eventuais backdoors. Isso envolve análise detalhada de logs e identificação de vulnerabilidades.
• Avalie oportunidades de melhoria na segurança: Reforça medidas de proteção, já que vítimas de ransomware frequentemente voltam a ser alvo em curto prazo. Não detectar e corrigir todas as brechas pode resultar em novos incidentes.

Os autores de ransomware constantemente desenvolvem variantes para driblar sistemas de detecção. Equipes de TI e desenvolvedores de antivírus precisam acompanhar de perto as novas técnicas para impedir a disseminação do malware. Entre as ameaças emergentes estão:

• DLL side loading: O malware utiliza DLLs e serviços que se passam por funções legítimas do sistema para escapar da detecção.
• Alvo em servidores web: Em ambientes de hospedagem compartilhada, um único ransomware pode comprometer todos os sites hospedados, como já observado em ataques do Ryuk.
• Spear-phishing: Ao invés de disparar campanhas em massa, os criminosos realizam pesquisas sobre os alvos e miram colaboradores com acesso privilegiado à rede.
• Ransomware-as-a-Service (RaaS): Democratiza o acesso à ferramenta, permitindo que qualquer pessoa, mesmo sem conhecimento técnico, lance ataques devastadores.
• Aumentos pelo trabalho remoto: Equipes em home office normalmente não têm a mesma proteção oferecida pelas redes corporativas, aumentando brechas de segurança. Dispositivos pessoais infectados podem contaminar redes empresariais ao serem conectados.

A melhor estratégia para lidar com ransomware é evitar a infecção, mantendo backups testados regularmente e implementando camadas de proteção em ferramentas de segurança. Gateways de e-mail são a primeira linha de defesa, enquanto o monitoramento de endpoints e redes oferece barreiras secundárias. Sistemas de detecção de intrusão (IDS) são capazes de alertar sobre comunicações suspeitas entre sistemas infectados e servidores de comando do ransomware. No geral, o ransomware é entregue via phishing por email.

O treinamento de usuários é crucial, mas deve ser acompanhado da adoção de múltiplas camadas de proteção. Em casos mais extremos — especialmente em hospitais e hotéis, onde vidas e operações físicas podem ser impactadas —, algumas empresas consideram manter uma reserva de criptomoedas para respostas emergenciais.

Como prevenir ataques de ransomware

• Proteja seu e-mail contra ransomware: O phishing é o principal vetor de ransomware. Gateways de e-mail com proteção avançada são essenciais para filtrar anexos, links e documentos maliciosos.
• Proteja dispositivos móveis: Ferramentas de MDM (gestão de dispositivos móveis), em conjunto com soluções de proteção específicas, analisam apps instalados e alertam sobre possíveis ameaças em dispositivos móveis imediatamente.
• Navegação segura: Gateways de navegação verificam tráfego web para bloquear anúncios ou sites maliciosos que possam direcionar a ataques de ransomware.
• Monitore servidores e redes e faça backups regulares: Ferramentas de monitoramento detectam acessos e atividades suspeitas, uso anormal de CPU, vírus e movimentações de dados incomuns. Manter backups atualizados de sistemas críticos reduz drasticamente o impacto de falhas ou criptografia forçada.

Em 2019, os criminosos arrecadaram em média US$ 115.123 por incidente de ransomware, valor que saltou para US$ 312.493 em 2020. Em um caso, o prejuízo chegou a US$ 40 milhões para uma única organização. Além do resgate, esses ataques geram altíssimos custos indiretos: interrupção de negócios, despesas com remediação e danos irreparáveis à reputação da marca.