oHub Base PME / Desafios / Crise / Sofri um ataque cibernético

Sofri um ataque cibernético

Ransomware, invasão, sequestro de sistemas — protocolo de resposta imediata, comunicação a clientes e órgãos, recuperação de dados e o que mudar para evitar reincidência.

Resposta rápida

A primeira ordem é parar a hemorragia. Desconecte máquinas afetadas da rede (cabo de rede fora, Wi-Fi desligado), mas não desligue ainda — desligar pode apagar evidência forense importante. Em paralelo, acione quem entende: prestador de TI de confiança, especialista em resposta a incidentes, e advogado. Não pague resgate por impulso — pagamento não garante recuperação, financia o próximo ataque e pode ter implicações legais. Identifique o tamanho real: o que foi acessado, o que foi sequestrado, se há vazamento de dados pessoais. Se houve dado pessoal de clientes ou colaboradores comprometido, você tem 72 horas para comunicar à ANPD pela LGPD. Comunique clientes e funcionários quando o quadro estiver definido — não antes, não depois.

Solo / Microempresa até 9 colaboradores

Com até nove pessoas, raramente há qualquer pessoa de TI — sua infraestrutura é Gmail, planilha em nuvem, sistema SaaS de gestão e talvez um computador com arquivo local. Quando o ataque acontece, o telefone toca para você. Não desligue a máquina afetada, mas tire da rede (cabo fora, Wi-Fi off). Ligue para um prestador de resposta a incidentes (tenha esse contato salvo antes da crise — empresa solo que descobre quem chamar no meio do ataque perde 24 horas críticas). Não pague resgate por impulso, mesmo que pareça barato — pagamento financia o próximo e raramente devolve dado intacto. Avise o time pequeno do que pode e não pode fazer (não abrir e-mail, não conectar pen drive, não tentar consertar sozinho). Se houve dado pessoal de cliente comprometido, você tem 72 horas para comunicar à ANPD. Aproveite o susto para o básico que não dá mais para adiar: 2FA em e-mail e banco, backup em nuvem fora da rede, gerenciador de senha.

Pequena empresa 10–49 colaboradores

Com 10 a 49 colaboradores, normalmente já há um prestador de TI fixo ou um técnico contratado, mas raramente governança formal de segurança. O ataque costuma expor o atalho: senha compartilhada no time financeiro, conta de e-mail antiga que ninguém revogou, sistema integrado por API com credencial fixa. Acione o prestador de TI imediatamente, mas chame também um especialista em resposta a incidentes — TI cotidiana e resposta a incidente são habilidades diferentes. Em paralelo, envolva advogado para avaliar exposição LGPD e comunicação a cliente. Avalie quanto da operação parou e por quanto tempo aguenta antes de quebrar — isso define se foco é restaurar pelo backup ou negociar (com advogado, nunca direto). Comunique cliente-chave antes que ele descubra por terceiro. Use o caso como gatilho para implantar matriz de acesso, MFA em tudo, backup imutável e treinamento contra phishing — empresa pequena que volta com a mesma infraestrutura é alvo do próximo.

Média empresa 50–200 colaboradores

Em empresa de 50 a 200 colaboradores, costuma haver TI estabelecida e, em muitos casos, alguém com responsabilidade explícita por segurança ou um terceirizado especializado. O ataque deve acionar plano de resposta a incidente — se ele não existe formalmente, o aprendizado pós-crise é exatamente esse. Monte força-tarefa com TI, jurídico, RH, operações e comunicação, com uma pessoa centralizando decisão para evitar versão divergente. Avalie o risco em três frentes: operacional (paralisação de áreas críticas, contratos com SLA), regulatório (ANPD em 72 horas se houve dado pessoal, eventual obrigação setorial) e reputacional (cliente corporativo, imprensa local). Não improvise comunicação pública — revisão jurídica e de comunicação corporativa antes de qualquer publicação. A governança é mais sofisticada, mas o processo é mais lento — defina prazos firmes para cada decisão. Faça post-mortem técnico completo, atualize matriz de risco e reporte à governança ou conselho consultivo.

Sinais de que sua empresa está sob ataque
  • Arquivos com extensão estranha que não abrem mais
  • Tela com pedido de resgate em bitcoin ou criptomoeda
  • Sistemas críticos parados sem motivo aparente (ERP, e-mail, gestão)
  • Funcionários reclamando que não conseguem entrar em sistemas internos
  • Tráfego de internet anormalmente alto vindo de máquinas internas
  • Alertas do antivírus disparando em série
  • Clientes recebendo e-mails estranhos vindos do domínio da empresa
  • Senhas que pararam de funcionar de uma hora para outra

As primeiras 4 horas: contenção

Velocidade importa, e calma também. A primeira ação é isolar o que está infectado para não contaminar o resto — equipamento que continua na rede continua espalhando o ataque. Desconectar fisicamente (cabo de rede e Wi-Fi) é melhor do que desligar a máquina porque preserva memória RAM que ajuda na perícia depois.

Em paralelo, identifique o alcance: quais máquinas, quais servidores, qual sistema está comprometido. Se houver máquina ainda saudável, mantenha a operação mínima por ela. Se for ataque generalizado em servidor central, vai precisar parar a operação por algumas horas — e é melhor parar de propósito do que continuar operando com sistema infectado e contaminar backups, clientes e parceiros.

Resposta nas primeiras 24 horas
  1. Isolar imediatamente as máquinas afetadas. Cabo de rede fora, Wi-Fi desligado. Não desligue ainda — preserva memória útil para a perícia. Anote número de série e horário do isolamento.
  2. Acionar suporte técnico especializado. Seu prestador de TI habitual pode não dar conta. Resposta a incidente é especialidade — empresa de cibersegurança, perícia digital, consultoria de resposta a ransomware. Quanto antes chega gente certa, melhor a recuperação.
  3. Não pagar resgate por impulso. Pagamento não garante recuperação dos arquivos, marca sua empresa como pagadora (atrai novos ataques) e financia o ecossistema criminoso. Mesmo quando vale considerar pagamento, é decisão com advogado e técnico, não decisão de quem está em pânico nas primeiras horas.
  4. Mapear o que foi acessado. Banco de dados de cliente? Folha de pagamento com CPF? Cadastro com cartão? Backups íntegros ou também comprometidos? O alcance define a comunicação e a obrigação legal.
  5. Comunicar ANPD em até 72 horas se houver dado pessoal vazado. A LGPD obriga a comunicação à ANPD e aos titulares afetados quando há risco relevante. Atraso ou omissão amplifica a sanção.
  6. Comunicar clientes e funcionários quando o quadro estiver claro. Não nas primeiras horas (informação ainda incerta), não dias depois (vira escândalo). Em até 72 horas, com transparência sobre o que aconteceu, o que está sendo feito e o que eles precisam fazer (trocar senha, atenção a golpes).
Sobre pagar resgate: em ransomware, pagamento não garante chave funcional, não impede revenda dos dados na deep web e marca sua empresa como pagadora futura. Em alguns países há restrição legal a pagamentos. Decisão de pagar — quando ela é considerada — vem depois de tudo o mais ter sido tentado, com advogado e especialista de cibersegurança avaliando. Nunca é a primeira opção.

Comunicação sem agravar a crise

Comunicação ruim multiplica o dano do ataque. Cliente que descobre por terceiros que teve dado vazado vira inimigo público; cliente avisado pela empresa, com transparência e plano, na maioria das vezes fica. Três regras: rapidez razoável (até 72 horas após confirmar), clareza honesta (o que aconteceu, o que pode ter sido acessado, o que está sendo feito), e ação prática (o que o cliente precisa fazer agora — trocar senha, atenção a tentativa de golpe usando dados vazados).

Internamente, comunique no mesmo dia. Time precisa saber que o problema é real, que a operação pode ficar limitada, e o que pode e o que não pode fazer (não abrir links suspeitos, não usar pendrive antigo, reportar qualquer sinal estranho). Silêncio interno gera boato e ação errada por iniciativa individual.

Comunicação que ajuda

  • Fato direto: o que aconteceu e quando
  • Escopo claro: que dados podem ter sido acessados
  • Ação concreta para o destinatário (trocar senha, atenção a phishing)
  • Canal aberto para dúvidas (e-mail, telefone, responsável nomeado)
  • Compromisso de atualização conforme apuração avança

Comunicação que piora

  • Linguagem genérica ("incidente de segurança") sem dizer o que houve
  • Minimização ("dado não sensível", "sob controle desde o início")
  • Demora superior a uma semana para comunicar
  • Negação seguida de admissão dias depois quando vaza
  • Ausência de canal de contato real para o cliente

Recuperação e o que mudar

Recuperação tem três frentes paralelas. Primeira, restaurar operação por backup limpo — assumindo que você tem backup limpo. Se o backup também foi comprometido (cenário cada vez mais comum em ransomware), a opção pode ser reconstrução parcial, pagamento avaliado tecnicamente, ou perda definitiva de período de dados. Segunda, fortalecer a defesa antes de reconectar: trocar todas as senhas, exigir autenticação em dois fatores em tudo, atualizar sistemas operacionais, reinstalar antivírus, segmentar a rede. Terceira, revisar o que falhou — ataque cibernético sempre entra por porta conhecida (e-mail de phishing aberto, senha fraca, software desatualizado, RDP exposto, backup mal isolado).

O ataque corrige o que a empresa adiou. Backups devem ser isolados da rede (offline ou em conta separada), autenticação em dois fatores deve ser obrigatória em e-mail e sistemas críticos, treinamento de equipe contra phishing deve ser recorrente. Cada uma dessas medidas é barata comparada ao custo do ataque.

Armadilhas comuns durante e depois de ataque cibernético

Pagar resgate por desespero nas primeiras horas. Sem confirmação técnica de que vale, sem advogado consultado, sem tentar outras vias. Pagamento impulsivo raramente recupera tudo e marca a empresa como alvo futuro.

Reconectar máquinas infectadas antes de limpeza completa. Pressão para retomar operação faz dono reconectar equipamento ainda comprometido. Em horas, o ataque volta a se espalhar e o trabalho da limpeza foi desperdiçado.

Não comunicar à ANPD ou aos titulares quando há vazamento de dado pessoal. LGPD obriga comunicação tempestiva. Omitir amplifica a sanção quando o fato vier à tona — e quase sempre vem.

Confiar apenas no antivírus para detectar o estrago. Antivírus padrão muitas vezes não detecta o que já estava antes do ataque virar visível. Resposta a incidente exige ferramentas de perícia digital, não scan rotineiro.

Ignorar backup offline depois do susto. Empresa que passou por ransomware com backup conectado e foi salva por sorte deveria sair do incidente com backup offline imediato. Adiar por preço da solução é apostar contra a próxima.

Não treinar o time depois. A maioria dos ataques entra por clique humano em e-mail malicioso. Sem treinamento periódico sobre phishing, senha forte e atenção a anexos, a defesa técnica não basta.

Checklist nas primeiras 72 horas de um ataque
  • Máquinas afetadas isoladas fisicamente da rede (sem desligar)
  • Suporte técnico especializado em incidente acionado
  • Advogado consultado sobre obrigações LGPD e eventual pagamento
  • Escopo do ataque mapeado: o que foi acessado, o que foi comprometido
  • Backups verificados quanto a integridade
  • Decisão sobre pagar resgate tomada com técnico e advogado (raramente sim)
  • Time comunicado no mesmo dia com orientação prática
  • ANPD comunicada em até 72 horas se houver vazamento de dado pessoal
  • Clientes e parceiros comunicados em até 72 horas após confirmação
  • Senhas redefinidas em todos os sistemas críticos
  • Autenticação em dois fatores ativada onde ainda não estava
  • Backup limpo restaurado em ambiente seguro antes de voltar à operação
  • Revisão pós-incidente documentada com mudanças a implementar
  • Treinamento do time contra phishing agendado nas próximas semanas

Vale pagar o resgate em um ataque de ransomware?

Quase nunca como primeira ação. Pagar não garante chave funcional, não impede a revenda dos dados, marca sua empresa como pagadora (atraindo novos ataques) e financia o ecossistema criminoso. Quando o pagamento é considerado, é decisão tomada depois de esgotadas as outras opções, com técnico especializado avaliando a viabilidade e advogado avaliando o risco legal. Em todo caso, a prioridade nas primeiras horas é conter, mapear o estrago e tentar restaurar por backup limpo — não decidir pagamento sob pânico.

Em quanto tempo preciso comunicar a ANPD e os clientes?

Quando há vazamento de dado pessoal com risco relevante, a LGPD exige comunicação à ANPD em prazo curto, tipicamente em até 72 horas, e aos titulares afetados em prazo razoável. Atraso ou omissão agrava a sanção. Não comunique nas primeiras horas (informação ainda é incerta), mas também não espere até virar escândalo. Em até 72 horas, com transparência sobre o que aconteceu, que dados podem ter sido acessados, o que está sendo feito e o que o cliente precisa fazer (trocar senha, atenção a golpes).

O que fazer no minuto em que percebo o ataque?

Isolar fisicamente as máquinas afetadas — cabo de rede fora, Wi-Fi desligado — sem desligar a máquina, porque desligar apaga memória útil para a perícia. Em paralelo, acione um especialista em resposta a incidentes (não só o suporte de TI habitual) e o advogado. Não tome decisão sobre pagamento por impulso. Avalie se há máquina saudável para manter operação mínima e mapeie rapidamente o escopo: que sistemas foram comprometidos, se backups continuam íntegros, se dados pessoais foram acessados.

Meu backup também foi criptografado. E agora?

Cenário cada vez mais comum em ransomware moderno, porque o atacante busca o backup conectado antes de disparar. Verifique se há cópia offline esquecida — pendrive antigo, HD externo guardado, backup em conta cloud separada com autenticação em dois fatores. Se nada disso existir, as opções são: reconstrução parcial a partir do que sobrou, pagamento avaliado tecnicamente (em último caso, com risco assumido), ou perda definitiva do período. Saia do incidente com backup offline implementado imediatamente — é a defesa que salvaria desta vez.

Como evitar um próximo ataque depois desse?

Ataque cibernético entra por porta conhecida na maioria dos casos: e-mail de phishing aberto, senha fraca reutilizada, software desatualizado, acesso remoto exposto, backup mal isolado. Endereçar essas portas é a defesa que mais reduz risco: autenticação em dois fatores obrigatória em e-mail e sistemas críticos, atualização contínua dos sistemas, segmentação da rede, backup isolado da rede (offline ou em conta separada) e treinamento recorrente do time contra phishing. Defesa em camadas é o que segura, não ferramenta única.

Leituras essenciais

5 artigos para fundamentar a decisão
O que fazer em caso de incidente de segurança ou vazamento
Segurança e LGPD Prática
Phishing e engenharia social: como proteger a empresa
Segurança e LGPD Prática
Segurança da informação na PME: o essencial que não pode faltar
Segurança e LGPD Prática
Métricas que indicam que um negócio foi validado (e as que enganam)
Validação de Negócio
Ponto de pedido e estoque de segurança: como calcular
Logística e Estoque
Aprofundar
Ver todos os artigos sobre Segurança e LGPD Prática (Tecnologia e Dados)