Ransomware não começa na criptografia, começa meses antes

Quando o ransomware finalmente aparece na tela, a sensação é de ruptura súbita. Sistemas parados, arquivos inacessíveis, operação interrompida. Mas essa explosão final raramente é o começo da história. Na maioria dos casos, o ataque já estava em andamento havia semanas, às vezes meses.

A criptografia é apenas o último ato visível de uma campanha longa, silenciosa e metódica. Entender essa linha do tempo é o primeiro passo para tratar ransomware não como um incidente pontual de TI, mas como um risco direto à continuidade do negócio.

A cadeia real do ataque: do acesso inicial ao impacto

Ransomware moderno não funciona no improviso. Ele segue uma lógica operacional clara, repetida em diferentes grupos e incidentes:

Tudo começa com o acesso inicial. Hoje, esse acesso raramente exige engenharia social sofisticada. Ele acontece por credenciais válidas reaproveitadas, serviços expostos, VPNs acessíveis ou falhas conhecidas que demoraram a ser corrigidas. O ponto crítico é que, nesse momento, nada “quebra” visivelmente. O ambiente continua funcionando.

Depois vem a persistência. O atacante garante que poderá voltar: cria contas, instala ferramentas legítimas, estabelece túneis, planta mecanismos de acesso remoto. O objetivo é simples, não perder a porta de entrada.

Na sequência, ocorre a escalada de privilégio. Aqui, o foco deixa de ser um usuário ou máquina e passa a ser o ambiente como um todo: diretório, servidores críticos, sistemas de backup, identidade. Com privilégios elevados, o atacante ganha liberdade.

O passo seguinte é o movimento lateral. A intrusão se espalha, mapeando ativos, entendendo dependências e preparando o terreno. Controles são observados, desativados ou contornados. A defesa ainda não percebe, ou percebe tarde demais.

Só então chega o impacto. Criptografia, extorsão, paralisação. Para a empresa, parece o início do ataque. Na prática, é apenas o momento em que o ataque se torna impossível de ignorar.

Por que a empresa “descobre” tarde demais

A razão é simples e desconfortável: as fases mais importantes do ataque não geram sinais óbvios.

Quando o acesso acontece por credencial válida ou serviço legítimo, não há malware gritantenem alerta imediato. O atacante se comporta como usuário. O tempo joga a favor dele.

É nesse intervalo, entre o acesso inicial e o impacto, que as decisões (ou a falta delas) definem o desfecho. Quem não enxerga a intrusão cedo acaba reagindo apenas quando o dano já é alto demais para ser contido.

Backups falham não por falta de tecnologia, mas por falta de validação

Em quase todo pós-incidente grave, a mesma frase aparece: “Temos backup.” O problema é que ter backup não é o mesmo que conseguir restaurar.

Backups falham por motivos recorrentes: nunca foram testados em condições reais, dependem de credenciais e sistemas que também foram comprometidos, estão online, acessíveis ao mesmo domínio e acabam criptografados, não têm ordem de restauração definida e não consideram o tempo real necessário para retomar a operação.

Um backup que nunca foi restaurado sob pressão não é plano de recuperação. É apenas uma expectativa.

Resiliência exige disciplina: testes periódicos, simulações, clareza de RTO e RPO, playbooks e responsabilidades definidas. Sem isso, o backup existe, mas a operação não volta quando mais precisa.

O papel de cada capacidade na continuidade do negócio

É aqui que o ransomware deixa de ser um “problema de TI” e passa a ser tema de gestão de risco operacional.

Cada capacidade atua em um ponto diferente da linha do tempo do ataque:

Pentest atua antes do acesso. Ele revela caminhos reais que podem ser explorados, reduzindo o tempo até a intrusão acontecer. É prevenção baseada em evidência, não suposição.

MDR e operação de segurança atuam durante a intrusão. Eles encurtam o tempo entre sinal, investigação e contenção. O objetivo não é impedir todos os ataques, mas interromper o avanço antes que ele amadureça.

Resposta a incidentes e recuperação atuam após a detecção. Elas determinam se a empresa volta a operar em horas, dias ou semanas, e se o mesmo ataque poderá acontecer de novo do mesmo jeito.

Essas capacidades não competem entre si. Elas se complementam. Quando uma falha, as outras ficam sobrecarregadas. Quando todas existem e são testadas, o impacto deixa de ser catastrófico.

Segurança como proteção da operação

Ransomware expõe uma verdade incômoda: segurança não é sobre evitar incidentes a qualquer custo, é sobre manter a empresa funcionando apesar deles.

A pergunta certa não é “somos imunes?”. É:

Quanto tempo o atacante tem antes de ser contido?

Quanto tempo a operação leva para se recuperar?

O que aprendemos para que isso não se repita?

Organizações resilientes não são as que nunca sofrem ataques. São as que reduzem o tempo, o impacto e a recorrência. E isso só acontece quando a segurança é tratada como capacidade contínua de proteção da operação, não como um conjunto de ferramentas isoladas.

No fim, ransomware não começa na criptografia. Ele começa quando o tempo passa sem que ninguém perceba. E termina quando a empresa descobre se estava preparada para continuar.

Fontes

FBI / CISA / DC3 / HHS (IC3) — #StopRansomware: Akira Ransomware (atualização nov/2025).

Verizon — 2025 Data Breach Investigations Report (DBIR).

Google Cloud / Mandiant — M-Trends 2025.

NIST — SP 800-61r3: Computer Security Incident Handling Guide (2025).

NIST — SP 800-184: Guide for Cybersecurity Event Recovery.

NIST NCCoE — Protecting Data from Ransomware and Other Data Destructive Events.

CISA / MS-ISAC — Ransomware Guide & Back Up Business Data.