Proteção contra Ransomware para Empresas: Guia Completo

Pontos-Chave deste Artigo

• O Brasil sofreu aumento superior a 40% em ataques de ransomware, sendo o mais atacado da América Latina, segundo a Kaspersky
• O custo médio de uma violação de dados no Brasil atinge R$ 6,75 milhões, conforme o IBM Cost of a Data Breach Report
• 82% dos ataques de ransomware em 2026 miraram empresas com menos de 1.000 funcionários (Coveware)
• O backup imutável com tecnologia WORM é a última linha de defesa quando o ransomware já está dentro da rede
• Este guia apresenta 12 medidas práticas organizadas em prevenção, detecção e recuperação

O Cenário de Ransomware no Brasil em 2026

Ransomware deixou de ser um problema exclusivo de grandes corporações. Em 2026, operações criminosas como LockBit, Black Basta, Akira e Play atacam desde hospitais e escritórios de contabilidade até pequenas indústrias do interior. O Brasil se consolidou como o país mais atacado da América Latina e figura entre os dez mais visados do planeta.

Os números são contundentes. Segundo o Verizon Data Breach Investigations Report (DBIR), ransomware está presente em parcela significativa das violações globais. No Brasil, os dados do CERT.br apontam crescimento contínuo nos incidentes reportados, e especialistas estimam que a maioria dos casos sequer chega a ser notificada.

A pergunta que todo gestor de TI precisa responder não é se sua empresa será atacada, mas quando. E quando esse momento chegar, a diferença entre uma recuperação de horas e o fechamento da empresa está nas medidas que foram implementadas antes do ataque. Para entender o panorama completo, leia nosso levantamento sobre ransomware no Brasil em 2026.

Por que o Brasil é um alvo preferencial

• Digitalização acelerada com segurança defasada: muitas empresas migraram para a nuvem e trabalho remoto sem reforçar as defesas
• Orçamentos apertados de cibersegurança: especialmente em PMEs, que representam 99% do tecido empresarial brasileiro
• Maturidade irregular em backup: pesquisas indicam que mais da metade das empresas brasileiras não possuem política de backup documentada
• Pagamento rápido: empresas brasileiras tendem a pagar resgates mais rapidamente, tornando-se alvos lucrativos
• Cadeia de supply chain: fornecedores menores servem como porta de entrada para ataques a empresas maiores

Setores mais visados

Embora nenhum setor esteja imune, alguns concentram a atenção dos grupos criminosos: saúde (pela criticidade operacional), governo e setor público (infraestrutura defasada), educação (redes amplas e perímetro poroso), indústria (ambientes OT conectados), serviços financeiros e varejo (alto valor dos dados). Conheça as diferentes variantes em nosso artigo sobre tipos de ransomware.

12 Medidas de Proteção contra Ransomware

A proteção eficaz contra ransomware exige uma abordagem em camadas. Nenhuma medida isolada é suficiente. Organizamos as 12 medidas em três grupos complementares: prevenção (impedir a entrada), detecção (identificar rapidamente) e recuperação (restaurar sem pagar resgate).

Prevenção: Impedindo a Entrada do Ransomware

1. Segmentação de rede

A segmentação divide a rede corporativa em zonas isoladas, limitando a movimentação lateral do ransomware. Se o atacante compromete uma estação de trabalho, a segmentação impede que ele alcance os servidores de banco de dados ou o ambiente de backup corporativo.

• Separe redes de produção, desenvolvimento, IoT e administração em VLANs distintas
• Implemente firewalls internos entre segmentos com regras de menor privilégio
• Isole completamente a rede de backup dos demais segmentos
• Utilize micro-segmentação para cargas críticas em ambientes de nuvem

2. EDR (Endpoint Detection and Response)

Antivírus tradicionais baseados em assinaturas são insuficientes contra ransomware moderno. Soluções EDR monitoram o comportamento dos endpoints em tempo real, detectando padrões suspeitos como criptografia em massa de arquivos, desabilitação de serviços de segurança ou tentativas de escalar privilégios.

• Implemente EDR em todos os endpoints: estações, servidores e dispositivos móveis
• Configure alertas para comportamentos típicos de ransomware: criptografia rápida de múltiplos arquivos, alteração de extensões em massa, tentativa de deletar shadow copies
• Habilite resposta automática para isolar endpoints comprometidos da rede
• Mantenha a inteligência de ameaças atualizada diariamente

3. Segurança de e-mail

O e-mail permanece como o vetor de entrada número um. Segundo o Verizon DBIR, phishing está envolvido em parcela expressiva das intrusões iniciais. Proteger o e-mail corporativo é, portanto, uma das medidas de maior impacto.

• Implemente gateway de e-mail com sandbox para detonação de anexos suspeitos
• Configure DMARC, DKIM e SPF no domínio corporativo para prevenir spoofing
• Bloqueie extensões perigosas: .exe, .scr, .js, .vbs, macros em documentos Office
• Habilite avisos visuais para e-mails externos

4. Autenticação multifator (MFA)

Credenciais comprometidas são o segundo vetor mais explorado. O MFA adiciona uma camada extra que impede o uso de senhas vazadas ou roubadas. Deve ser implementado em todos os sistemas críticos, sem exceção.

• VPN e acessos remotos (RDP nunca deve estar exposto sem MFA)
• Painéis administrativos de infraestrutura (firewall, switches, servidores)
• Consoles de backup e disaster recovery
• Serviços em nuvem: Microsoft 365, Google Workspace, AWS, Azure
• Prefira tokens FIDO2 ou apps autenticadores ao invés de SMS

5. Gerenciamento de patches

Vulnerabilidades não corrigidas são portas abertas. Grupos de ransomware exploram CVEs conhecidas em servidores VPN, Exchange, VMware e outros sistemas expostos. Um programa disciplinado de patching reduz drasticamente a superfície de ataque.

• Estabeleça ciclos de atualização: críticos em até 48 horas, importantes em até 7 dias
• Priorize sistemas expostos à internet: VPN, webservers, gateways de e-mail
• Inclua firmwares de firewall, switches e storage na rotina de patches
• Automatize com ferramentas de gerenciamento de patches para não depender de processos manuais

6. Treinamento de funcionários

Pessoas são ao mesmo tempo o elo mais fraco e a primeira linha de defesa. Campanhas regulares de security awareness transformam funcionários em sensores humanos capazes de identificar e reportar tentativas de phishing antes que causem dano.

• Realize simulações de phishing mensais com métricas de taxa de clique
• Treine especificamente sobre: reconhecimento de URLs falsas, anexos suspeitos, engenharia social por telefone
• Estabeleça um canal fácil e sem penalidades para reportar e-mails suspeitos
• Inclua exercícios de tabletop com cenários de ransomware para a liderança e TI

Detecção: Identificando o Ataque Rapidamente

A detecção precoce é decisiva. Segundo o IBM Cost of a Data Breach Report, o tempo médio para identificar uma violação é de 194 dias. Quanto mais cedo o ataque é detectado, menor o dano e mais eficaz a contenção.

7. SIEM e correlação de eventos

Um SIEM (Security Information and Event Management) centraliza logs de toda a infraestrutura e correlaciona eventos para identificar padrões de ataque que seriam invisíveis isoladamente.

• Colete logs de firewalls, EDR, Active Directory, servidores de e-mail e proxy
• Configure regras para detectar: logins impossíveis (geolocalização), acessos fora do horário, uso de ferramentas como PsExec, Mimikatz, Cobalt Strike
• Estabeleça um SOC (próprio ou terceirizado) para triagem e resposta 24/7
• Integre com feeds de inteligência de ameaças para correlação com IoCs conhecidos

8. Análise comportamental

Soluções de UEBA (User and Entity Behavior Analytics) constroem uma linha base do comportamento normal de usuários e sistemas. Desvios significativos, como um usuário acessando volumes incomuns de arquivos ou processos de criptografia inéditos, geram alertas automáticos.

• Monitore padrões de acesso a arquivos: volume, horário, tipo
• Detecte movimentação lateral: conexões entre estações que normalmente não se comunicam
• Identifique escalonamento de privilégios: contas que subitamente acessam recursos administrativos
• Configure alertas para tentativas de desabilitar serviços de backup ou shadow copies

9. Honeypots e armadilhas de rede

Honeypots são sistemas-isca que não possuem função legítima na rede. Qualquer interação com eles é, por definição, maliciosa. São ferramentas de detecção de alta fidelidade e baixo custo.

• Posicione arquivos-isca (honeyfiles) em compartilhamentos de rede com nomes atrativos como Senhas.xlsx ou Dados Financeiros.docx
• Implemente servidores-isca com RDP e SMB abertos em segmentos internos
• Configure alertas imediatos para qualquer acesso ou modificação nos honeypots
• Utilize soluções de deception technology para escalar a cobertura automaticamente

Recuperação: Restaurando sem Pagar Resgate

Mesmo com prevenção e detecção robustas, nenhuma defesa é 100% infalível. A camada de recuperação garante que, quando um ataque for bem-sucedido, a empresa consiga restaurar seus dados e operações sem ceder à extorsão. Para saber como agir nas primeiras horas, leia nosso guia sobre como recuperar dados após ransomware.

10. Backup imutável

O backup imutável com tecnologia WORM (Write Once, Read Many) é a medida mais crítica de recuperação. Ele impede que qualquer pessoa, incluindo administradores com credenciais privilegiadas, altere ou exclua os backups durante o período de retenção configurado. Ransomware moderno é programado para encontrar e destruir backups acessíveis na rede. O backup imutável torna essa estratégia ineficaz.

• Implemente retenção imutável em todas as cópias de backup críticas
• Siga a regra 3-2-1 de backup: 3 cópias, 2 mídias diferentes, 1 offsite
• Armazene pelo menos uma cópia em nuvem com imutabilidade nativa
• Configure períodos de retenção imutável de no mínimo 30 dias

11. Plano de disaster recovery

Um plano de disaster recovery documentado e testado transforma uma crise em um procedimento operacional. Sem ele, cada decisão durante o ataque será tomada sob pressão, com informação incompleta e tempo limitado.

• Defina RTO e RPO para cada sistema e aplicação crítica
• Documente procedimentos de restauração passo a passo, incluindo ordem de prioridade
• Estabeleça infraestrutura de DR pronta para ativação: ambiente de contingência, rede alternativa, comunicação fora de banda
• Mantenha cópias offline do plano de DR, pois o plano digital pode estar inacessível durante o ataque
• Considere soluções de Backup as a Service (BaaS) para simplificar a gestão e garantir SLAs de recuperação

12. Testes regulares de restauração

Um backup que nunca foi testado é uma promessa sem garantia. Testes regulares de restauração são a única forma de confirmar que os backups são íntegros, que os procedimentos funcionam e que a equipe está preparada.

• Execute testes de restauração completa no mínimo trimestralmente
• Valide a integridade dos dados restaurados: compare checksums, teste aplicações
• Meça o tempo real de restauração e compare com o RTO definido
• Realize exercícios de tabletop com cenários de ransomware envolvendo TI, liderança e jurídico
• Documente os resultados e implemente melhorias continuamente

Backup Imutável: A Última Linha de Defesa

De todas as 12 medidas listadas, o backup imutável merece atenção especial. Ele é o que separa empresas que se recuperam em horas daquelas que negociam desesperadamente com criminosos ou fecham as portas.

Por que backups convencionais falham contra ransomware

Grupos de ransomware modernos são sofisticados. Antes de detonar a carga de criptografia, eles sistematicamente buscam e destroem os backups da vítima. As táticas incluem:

• Exclusão de shadow copies: o comando vssadmin delete shadows /all é executado em praticamente todos os ataques
• Criptografia de compartilhamentos de rede: backups em NAS ou pastas compartilhadas são encontrados e criptografados junto com os dados de produção
• Comprometimento de credenciais de backup: atacantes escalam privilégios para acessar consoles de gerenciamento de backup e deletar jobs e repositórios
• Desabilitação de agentes: serviços de backup são parados antes da detonação

Como o backup imutável resolve o problema

A tecnologia WORM garante que, uma vez gravado, o backup não pode ser alterado, sobrescrito ou excluído por ninguém, nem mesmo pelo administrador do sistema, durante o período de retenção configurado. Mesmo que o atacante obtenha credenciais de administrador do console de backup, ele não conseguirá destruir as cópias imutáveis.

A DataBackup oferece backup imutável nativo com as seguintes características:

• Imutabilidade no nível do storage: a proteção não depende apenas de software, mas é implementada na camada de armazenamento
• Retenção configurável: defina períodos de 7, 30, 90 ou 365 dias de imutabilidade conforme sua política de backup
• Criptografia AES-256: dados protegidos em trânsito e em repouso com criptografia de nível militar
• Integração com a regra 3-2-1: cópias locais e em nuvem, ambas com imutabilidade
• Verificação automática de integridade: checksums garantem que os dados restaurados são idênticos aos originais

Para empresas que precisam estar em conformidade com a LGPD, o backup imutável também atende aos requisitos de proteção de dados pessoais, garantindo que registros não sejam alterados indevidamente.

Plano de Resposta a Incidentes em 6 Passos

Quando o ransomware atinge sua empresa, cada minuto conta. Um plano de resposta a incidentes bem estruturado transforma o caos em ação coordenada. Estes são os 6 passos fundamentais:

Passo 1: Detecção e alerta

Identifique os sinais do ataque e acione o protocolo de resposta. Os indicadores mais comuns são: extensões de arquivos alteradas, mensagens de resgate na tela, serviços inacessíveis, alertas de EDR ou SIEM, e comportamento anômalo de processos.

• Valide o alerta: confirme que é um ataque real, não um falso positivo
• Registre data, hora e fuso horário da detecção
• Acione a equipe de resposta a incidentes conforme a lista de contatos

Passo 2: Contenção imediata

O objetivo é parar a propagação. Ransomware se move lateralmente e cada segundo de demora aumenta o escopo do dano.

• Desconecte fisicamente os sistemas infectados da rede (cabo, Wi-Fi)
• Isole segmentos de rede via regras emergenciais de firewall
• Desconecte VPNs e links com filiais e fornecedores
• Proteja os backups: desconecte o storage de backup da rede se ele não for imutável
• Não desligue os computadores infectados: a RAM pode conter chaves de criptografia

Passo 3: Avaliação do escopo

Mapeie a extensão do comprometimento para priorizar a recuperação.

• Quais sistemas foram criptografados? Servidores, estações, bancos de dados?
• Qual variante de ransomware? Consulte o No More Ransom para identificação
• Houve exfiltração de dados (dupla extorsão)?
• Qual foi o vetor de entrada: phishing, RDP, vulnerabilidade, credencial comprometida?
• Os backups estão íntegros e acessíveis?

Passo 4: Erradicação

Remova completamente a presença do atacante antes de iniciar a restauração. Restaurar sistemas sem erradicar o malware resultará em reinfecção.

• Identifique e remova todos os artefatos maliciosos: malware, backdoors, contas criadas pelo atacante
• Redefina senhas de todas as contas comprometidas ou potencialmente comprometidas
• Atualize e corrija a vulnerabilidade explorada na entrada
• Valide a limpeza com varreduras completas de EDR

Passo 5: Restauração e recuperação

Com o ambiente limpo, inicie a restauração a partir dos backups imutáveis, seguindo a prioridade definida no plano de disaster recovery.

• Restaure os sistemas críticos primeiro, conforme o RTO definido
• Valide a integridade dos dados restaurados antes de colocar em produção
• Monitore intensivamente os sistemas restaurados nas primeiras 72 horas
• Mantenha a segmentação de rede reforçada durante a fase de recuperação

Passo 6: Lições aprendidas e notificações

Após a estabilização, documente tudo e cumpra as obrigações legais.

• Notifique a ANPD se houve risco a dados pessoais, conforme exige a LGPD (artigo 48)
• Comunique clientes e parceiros afetados
• Registre boletim de ocorrência e notifique as autoridades competentes
• Conduza um post-mortem detalhado: o que falhou, o que funcionou, o que precisa melhorar
• Atualize o plano de resposta a incidentes com as lições aprendidas

Quanto Custa Proteger vs. Não Proteger

Muitas empresas adiam investimentos em segurança por considerá-los caros. Mas a comparação entre o custo de proteção e o custo de um ataque bem-sucedido deixa claro que a prevenção é sempre mais barata. Os dados abaixo, baseados em relatórios do IBM, da Sophos e da Statista, ilustram essa realidade.

A matemática é clara: o investimento anual em proteção representa entre 0,6% e 3,2% do custo médio de um único ataque. Para PMEs, que concentram a maioria dos ataques, existem planos de proteção escaláveis que se encaixam em orçamentos menores.

Além dos custos diretos, considere os custos intangíveis: perda de confiança de clientes, interrupção de contratos, danos à marca e o tempo que a liderança da empresa gasta gerenciando a crise ao invés de gerenciar o negócio. Segundo a Coveware, o downtime médio após um ataque de ransomware ultrapassa 22 dias. Para entender o impacto do downtime, leia nosso artigo sobre o custo do downtime para empresas.

Próximos Passos

Proteger sua empresa contra ransomware é um processo contínuo, não um projeto com data de término. As ameaças evoluem, e as defesas precisam acompanhar. Aqui estão os próximos passos recomendados:

1. Avalie sua postura atual: sua empresa tem backup imutável? Os backups são testados? Existe um plano de resposta a incidentes documentado?
2. Implemente o backup imutável primeiro: é a medida de maior impacto e a base de toda a estratégia de recuperação. Conheça a solução de backup imutável da DataBackup
3. Desenvolva seu plano de DR: use nosso guia de template de plano de disaster recovery como ponto de partida
4. Treine sua equipe: a conscientização dos funcionários é a medida preventiva de melhor custo-benefício
5. Aprofunde o conhecimento: leia nossos artigos complementares sobre ransomware no Brasil em 2026, tipos de ransomware e como recuperar dados após ransomware

Se sua empresa ainda não possui uma estratégia de proteção contra ransomware ou precisa avaliar se a estratégia atual é suficiente, fale com nossa equipe. A DataBackup oferece soluções de backup corporativo com imutabilidade nativa, criptografia AES-256, disaster recovery integrado e suporte especializado para ajudar sua empresa a se proteger antes que seja tarde.