oHub Base TI / Desafios / Crise / Sofri um ataque de ransomware

Sofri um ataque de ransomware

Sistemas sequestrados, dados criptografados — protocolo de resposta em 24h, decisão sobre pagar resgate (e por que geralmente não), recuperação por backup e comunicação.

Resposta rápida

Ransomware exige resposta nas primeiras horas, em uma ordem específica: isolar antes de tudo. Desconecte as máquinas afetadas da rede (sem desligar — desligar destrói evidências em memória), corte conectividade externa, isole servidores e ambientes ainda íntegros para o ataque não se alastrar. Em paralelo, acione um especialista em resposta a incidente e o seu seguro cibernético, se houver, preserve logs e imagens das máquinas comprometidas, e abra um canal de comunicação interno restrito — assumir que o atacante lê o e-mail corporativo. Não pague o resgate sem orientação especializada e jurídica: pagar não garante a chave, financia o próximo ataque e pode constituir crime se o grupo estiver em lista de sanções. A recuperação verdadeira vem do backup — por isso, em paralelo, valide se ele está limpo e quanto tempo levará para restaurar.

Pequena até 50 colaboradores

Na empresa pequena, raramente há time interno de resposta — quem sustenta as primeiras horas é o MSP. Por isso o número do MSP precisa estar acessível fora do ambiente atacado (impresso, em celular pessoal de mais de uma pessoa), e o contrato precisa explicitar a obrigação de resposta a incidente. A falta de seguro cibernético é comum nesse porte, e isso pesa: pagar perito forense do bolso, no calor da crise, custa caro e atrasa decisões. O backup quase sempre existe, mas raramente foi testado — e ataque é o pior momento para descobrir que a restauração não funciona. A comunicação interna cabe em conversa direta com o dono e poucos gestores; o desafio é não silenciar o time e não improvisar com fornecedores não preparados para incidente.

Média 51–500 colaboradores

Na empresa média, costuma haver coordenador de TI interno, um SOC ou MSSP contratado, e seguro cibernético em alguns casos. O risco aqui é a confusão de papéis no calor da crise: time interno achando que o MSP cuida; MSP achando que o seguro vai trazer o forense; ninguém abrindo o canal de comunicação externo. Defina antes do incidente quem aciona o quê (matriz simples: TI interno chama MSSP, jurídico aciona seguradora, RH prepara comunicação interna, comercial avalia impacto a cliente). Esse porte costuma ter o que é necessário, mas falha na orquestração. Crie um runbook de uma página com os telefones e a ordem das ações — guardado fora do ambiente da empresa — e teste em simulação anual.

Grande +500 colaboradores

Na empresa grande, há CSIRT (Computer Security Incident Response Team) interno, contrato com forense pré-acordado (retainer), seguro cibernético robusto, jurídico próprio e área de comunicação. O risco característico é o tempo perdido na governança: decisões que precisam de minutos passam por comitês que demoram horas. A solução é pré-aprovação: o plano de resposta a incidente, validado por jurídico e diretoria, autoriza o CSIRT a executar o protocolo de contenção sem nova aprovação, e estabelece quem pode autorizar pagamento (que, ainda assim, raramente é a resposta correta). Comunicação a clientes e mercado costuma ser o ponto que mais expõe a empresa publicamente — RI, comunicação institucional e jurídico precisam de mensagem pré-rascunhada, ajustada na hora ao fato, não construída do zero sob pressão.

Você está vivendo isso se…
  • Apareceu mensagem de resgate em uma ou mais máquinas da empresa
  • Arquivos foram renomeados com extensões estranhas e ficaram ilegíveis
  • Sistemas críticos pararam sem causa técnica conhecida
  • Usuários relatam pastas inteiras "sumidas" ou criptografadas
  • O ERP ou banco de dados retornou erro de acesso a arquivos
  • Há indícios de movimentação fora do horário em contas administrativas

As primeiras horas: ordem das ações

Nas primeiras horas, o erro mais comum é querer entender antes de conter. A ordem certa é o inverso: contenha primeiro, investigue depois. Cada minuto adicional com máquinas comprometidas conectadas é mais arquivo criptografado e mais lateralização do atacante para servidores ainda íntegros. Mas atenção: isolar não é desligar. Desligar uma máquina infectada destrói o que está em memória — chaves, processos em execução, evidências forenses que ajudam a investigação e, em alguns casos, podem até possibilitar recuperação parcial. Desconecte da rede, mantenha ligada.

Protocolo das primeiras 24 horas
  1. Isole, não desligue. Desconecte da rede as máquinas afetadas (cabo de rede, Wi-Fi desabilitado). Mantenha ligadas para preservar evidência em memória.
  2. Contenha o escopo. Corte conectividade externa do ambiente afetado, isole servidores ainda íntegros, bloqueie contas administrativas comprometidas e force troca de senhas em todas as contas privilegiadas.
  3. Acione especialista de resposta a incidente. Empresa especializada em forense e resposta tem ferramenta, método e isenção que o time interno raramente tem em meio à crise.
  4. Acione o seguro cibernético. Se houver, a apólice tem prazo curto para notificação. Atraso pode invalidar cobertura. O seguro costuma indicar fornecedores credenciados.
  5. Preserve evidências. Imagens forenses das máquinas afetadas, logs de firewall, servidor, EDR e contas. Sem isso, a investigação é cega — e a apólice de seguro ou eventual ação legal fica fragilizada.
  6. Comunique internamente em canal restrito. E-mail corporativo pode estar comprometido. Use canal externo (WhatsApp dedicado, telefonia, ferramenta de chat fora do ambiente) e restrinja ao núcleo de resposta.
  7. Avalie o backup. Confira se o backup mais recente está íntegro e isolado, se contém os dados críticos e estime o tempo de restauração.

Sobre pagar o resgate

A pressão para pagar é altíssima — operação parada, dados sequestrados, dúvida sobre o backup. Decida em vez de reagir. Pagar tem cinco problemas que precisam estar na mesa antes da decisão. Primeiro, não há garantia: parte considerável das vítimas que pagam recebe chave que não funciona ou recupera só parte dos dados. Segundo, alimenta o ecossistema criminoso, financiando os próximos ataques — inclusive contra a sua empresa de novo. Terceiro, sinaliza ao grupo que você paga: extorsão dupla (cobrar segundo pagamento para "não publicar" dados) e reincidência meses depois são comuns. Quarto, em alguns países pagar a determinados grupos criminosos constitui crime se eles estiverem em listas de sanções internacionais. Quinto, mesmo após o pagamento, o backdoor instalado pelo atacante continua no ambiente até ser removido — e ele saberá voltar.

A decisão sobre pagamento precisa envolver, no mínimo, jurídico, seguradora, especialista de resposta e diretoria — nunca o time de TI sozinho sob pressão. E precisa vir depois da avaliação realista do backup: se houver backup íntegro, o caminho é a restauração, mesmo que demore mais.

Particularidade brasileira: a Lei Geral de Proteção de Dados exige comunicação à ANPD em prazo razoável quando o incidente envolve risco a titulares de dados pessoais. Em muitos ataques de ransomware há também exfiltração de dados antes da criptografia — ou seja, vazamento. A apuração dessa exfiltração precisa entrar na investigação desde o início, porque dispara obrigações de comunicação distintas das de indisponibilidade.

Recuperação: backup e ambiente limpo

A recuperação verdadeira raramente vem da chave do atacante. Vem do backup, restaurado em ambiente limpo. Reinstalar sistemas no ambiente que foi atacado, sem garantia de que o backdoor foi removido, é convidar o atacante para a próxima rodada. A sequência correta é: validar que o backup mais recente é anterior à infecção; reconstruir o ambiente em infraestrutura limpa (servidores formatados ou novos, contas e credenciais zeradas, controles reforçados); restaurar dados; só então religar para a operação. Em paralelo, a investigação precisa identificar o vetor de entrada — phishing, credencial vazada, vulnerabilidade não corrigida — e fechar a porta, ou o ataque se repete.

Armadilhas comuns nas primeiras horas

Desligar máquinas em vez de desconectar. Desligar destrói evidência em memória e, em alguns casos, chances de recuperação parcial. Desconecte da rede, mantenha ligada.

Comunicar pelo canal corporativo. O atacante lê e-mail interno. Crie canal externo para o núcleo de resposta e trate isso como regra desde o primeiro minuto.

Pagar sem orientação jurídica e técnica. Pagar não garante a chave, financia o próximo ataque, pode constituir crime e ainda mantém o backdoor no ambiente. Decida com a mesa cheia.

Restaurar no ambiente sujo. Religar sistemas sem reconstruir infraestrutura limpa convida o atacante para o segundo round. Validar que o ambiente está limpo é parte da recuperação, não etapa opcional.

Esquecer da LGPD. Se houve exfiltração de dados pessoais, há obrigação de comunicar ANPD e possivelmente titulares. Apurar exfiltração precisa ser parte da investigação, não da reflexão pós-crise.

Antes de tomar qualquer decisão sobre pagamento, confira:
  • Especialista de resposta a incidente está engajado
  • Seguro cibernético foi notificado dentro do prazo da apólice
  • Backup mais recente foi validado como íntegro e anterior à infecção
  • Tempo realista de restauração foi estimado
  • Jurídico avaliou implicações de sanções e LGPD
  • Diretoria está informada e a decisão não é só do time técnico
  • Há plano de reconstrução em ambiente limpo, não restauração no ambiente atacado

O que fazer nas primeiras horas após detectar um ataque de ransomware?

Isole antes de investigar. Desconecte as máquinas afetadas da rede sem desligar (desligar destrói evidência em memória), corte conectividade externa, isole servidores ainda íntegros e bloqueie contas administrativas comprometidas. Em paralelo, acione um especialista em resposta a incidente, notifique o seguro cibernético dentro do prazo da apólice, preserve logs e imagens forenses, e abra um canal de comunicação externo, porque o e-mail corporativo pode estar comprometido.

Devo pagar o resgate de ransomware?

A recomendação majoritária é não pagar. Pagar não garante a chave, financia ataques futuros, sinaliza ao grupo que sua empresa paga (atraindo extorsão dupla e reincidência), pode constituir crime se o grupo estiver em lista de sanções internacionais, e mesmo após o pagamento o backdoor no ambiente continua até ser removido. A decisão nunca deve ser tomada pelo time de TI sozinho sob pressão — envolva jurídico, seguradora, especialista de resposta e diretoria, e avalie o backup antes.

Por que não devo desligar as máquinas infectadas?

Desligar destrói evidência em memória — chaves de criptografia em execução, processos do malware, conexões ativas com servidor de comando do atacante. Em alguns casos essa evidência permite recuperação parcial de arquivos ou identificação do atacante. A ação correta é desconectar da rede: tirar o cabo ou desabilitar Wi-Fi, mantendo a máquina ligada até a equipe forense fazer a imagem. Desconectar contém a propagação; manter ligada preserva a investigação.

Ransomware caracteriza incidente LGPD?

Quando há tratamento de dados pessoais comprometido, sim. Muitos ataques de ransomware envolvem exfiltração de dados antes da criptografia — o atacante copia para depois cobrar o resgate sob ameaça de publicação. Essa exfiltração, quando atinge dados pessoais, dispara a obrigação da LGPD de comunicar a ANPD em prazo razoável e, dependendo do risco, comunicar os titulares. Apurar se houve exfiltração precisa fazer parte da investigação desde o início, não esperar a recuperação técnica terminar.

Como recuperar a operação depois do ataque?

A recuperação vem do backup, restaurado em ambiente limpo — não no ambiente atacado. A sequência é: validar que o backup mais recente é anterior à infecção e está íntegro, reconstruir a infraestrutura em servidores limpos com credenciais zeradas e controles reforçados, restaurar os dados e só então religar para a operação. Em paralelo, a investigação identifica o vetor de entrada (phishing, credencial vazada, vulnerabilidade) e fecha a porta. Sem fechar a porta, o atacante volta.
Aprofundar
Ver todos os artigos sobre Ameaças Cibernéticas (Cibersegurança e Proteção de Dados)