Por Mikella Marley
19 de maio de 2026
Os grupos ativos de ransomware cresceram 49% em 2025 em comparação ao ano anterior, resultando em um número recorde de vítimas publicamente divulgadas no quarto trimestre do ano passado. Ao mesmo tempo, o custo médio de um ataque de ransomware agora ultrapassa US$ 5 milhões, mas o impacto indireto é ainda maior.
As organizações normalmente enfrentam interrupções operacionais que duram mais de três semanas após ataques de ransomware, à medida que os adversários direcionam seus esforços para sistemas que sustentam a continuidade dos negócios, como plataformas de agendamento de pacientes, linhas de produção, cadeias de suprimentos e infraestruturas de processamento financeiro. Como resultado, 86% dos incidentes cibernéticos atualmente causam indisponibilidade operacional, danos reputacionais ou ambos.
Na era dos ataques acelerados por IA, será cada vez mais difícil para os defensores conterem ameaças de ransomware de forma reativa.
Quando a indisponibilidade operacional é uma tática deliberada da campanha de ransomware, e não apenas um efeito colateral, as equipes de segurança precisam interromper a cadeia de ataque antes que o dano aconteça.
Vamos explorar como os ataques modernos de ransomware normalmente se desenvolvem, identificar os principais pontos de intervenção para proteger a continuidade dos negócios e apresentar os controles que as organizações podem implementar para impedir proativamente a propagação do ransomware.
Como os ataques modernos de ransomware causam indisponibilidade operacional: exemplos reais
A mudança para uma estratégia deliberada de interrupção operacional pode ser observada em diversos ataques recentes de grande repercussão. Esses incidentes compartilham um padrão consistente: os atacantes provocam interrupções ao se moverem livremente pela rede até alcançarem os sistemas que a organização menos pode perder.
Quatro dos ataques de ransomware mais disruptivos dos últimos tempos ilustram essa tendência:
Jaguar Land Rover (2025):
Um grupo de hackers que se autodenomina “Scattered Lapsus$ Hunters” reivindicou a responsabilidade por um ataque contra a fabricante de automóveis de luxo, causando prejuízos estimados em aproximadamente US$ 2,8 bilhões. O grupo utilizou engenharia social e roubo de credenciais para obter acesso inicial à rede e, em seguida, moveu-se lateralmente, escalando privilégios até alcançar infraestruturas críticas. A produção global foi interrompida por semanas, e os efeitos do ataque chegaram a impactar a economia do Reino Unido, demonstrando como interrupções operacionais na manufatura se propagam por fornecedores e clientes de formas difíceis de mensurar completamente.
Kettering Health (maio de 2025):
O grupo Interlock ransomware atacou a Kettering Health, organização responsável por 14 centros médicos e dezenas de clínicas em Ohio. Os invasores derrubaram sistemas clínicos críticos antes de exfiltrar dados sensíveis de pacientes, forçando equipes médicas a cancelar procedimentos, redirecionar pacientes e retornar a processos manuais. Menos de um mês após o ataque, uma ação coletiva foi movida alegando que pacientes perderam tratamentos agendados e ficaram impossibilitados de acessar medicamentos devido à interrupção.
Asahi Group Holdings (outubro de 2025):
A gangue de ransomware Qilin utilizou credenciais roubadas para obter acesso inicial à rede e, posteriormente, empregou ferramentas administrativas nativas para movimentação lateral, execução remota de código e estabelecimento de persistência, tudo sem acionar mecanismos de detecção. O resultado foi uma interrupção operacional significativa em uma das maiores fabricantes de bebidas do Japão, causando escassez de produtos em todo o país.
Marks & Spencer (2025):
As operações online da varejista ficaram comprometidas por semanas após um ataque conduzido pelo grupo DragonForce. O impacto financeiro foi estimado em aproximadamente US$ 400 milhões entre perda de lucro e custos adicionais. Os danos foram muito além do incidente inicial: interrupções na cadeia de suprimentos, perda de confiança dos clientes e impacto reputacional prolongado ampliaram os prejuízos durante meses.
O ponto em comum entre todos esses incidentes é claro: independentemente de como obtiveram acesso inicial, os grupos de ransomware conseguiram se mover lateralmente pela rede com pouca ou nenhuma resistência.
Por outro lado, atacantes contidos em seu ponto inicial de entrada não conseguem alcançar sistemas de agendamento de pacientes, linhas de produção ou infraestruturas financeiras. É exatamente por isso que impedir ransomware significa impedir movimento lateral.
Estágios de um ataque de ransomware: do reconhecimento à exigência de resgate
Assim como a maioria dos incidentes cibernéticos, ataques de ransomware geralmente seguem seis etapas: reconhecimento, infecção, escalonamento, varredura, criptografia e exigência de resgate.
Compreender o que acontece em cada estágio, e onde as equipes de segurança podem efetivamente intervir para proteger a continuidade dos negócios, é fundamental para evitar interrupções operacionais causadas por ransomware.
Estágio 1: Reconhecimento
Os atacantes começam estudando o ambiente antes de realizar qualquer ação visível. Eles identificam ativos de alto valor, mapeiam dependências de rede e localizam gargalos operacionais que causariam o maior impacto caso fossem comprometidos.
À medida que os atacantes utilizam IA cada vez mais, esse processo ocorre de forma mais rápida e silenciosa do que nunca.
Uma arquitetura de rede fechada por padrão reduz significativamente a capacidade de visualização e enumeração do ambiente, dificultando que grupos de ransomware identifiquem ativos críticos.
Estágio 2: Infecção
Os operadores de ransomware normalmente obtêm acesso inicial por meio de phishing, exploração de vulnerabilidades ou credenciais roubadas.
O caminho baseado em credenciais é particularmente perigoso. Quando os atacantes entram utilizando credenciais válidas, eles não precisam invadir, apenas fazer login. Como consequência, as defesas perimetrais são completamente contornadas e a atividade parece legítima.
Além disso, ferramentas de descoberta de vulnerabilidades impulsionadas por IA, como Mythos e Daybreak, estão facilitando a identificação e exploração de falhas em velocidade de máquina.
Embora as equipes de segurança precisem assumir que violações ocorrerão, reduzir proativamente a superfície de ataque por meio do fechamento dinâmico de portas privilegiadas com MFA Just-in-Time (JIT), segmentação granular de rede e controles baseados em identidade ajuda a minimizar a exposição.
Estágio 3: Escalonamento e movimento lateral
Após estabelecer presença no ambiente, os atacantes procuram expandir seu acesso. Eles se movem lateralmente, escalam privilégios e se posicionam para alcançar sistemas críticos para as operações.
É nesse momento que o impacto operacional do ataque é efetivamente decidido.
Na era dos ataques acelerados por IA, agentes de ameaça podem iniciar movimentação lateral em apenas 27 segundos, e um único sistema comprometido pode expor até 85% de um ambiente típico em apenas um salto.
Felizmente, este é o principal ponto da cadeia de ataque onde os defensores possuem oportunidade de intervenção.
Controles que limitam estruturalmente movimentações não autorizadas, como microssegmentação baseada em identidade, impedem que um pequeno comprometimento se transforme em uma crise corporativa.
Estágio 4: Varredura
Após expandirem seu acesso, os atacantes passam a ter uma visibilidade interna que a fase inicial de reconhecimento apenas tentava estimar.
Com privilégios elevados e sem barreiras significativas, eles realizam varreduras detalhadas em busca de arquivos, diretórios, bancos de dados e sistemas conectados que serão alvos da fase de execução.
Infraestruturas de backup, cópias de sombra e sistemas de recuperação de desastres são frequentemente alvos prioritários nesta etapa.
Controles de privilégio mínimo e microssegmentação que isolam os ambientes de backup limitam significativamente o que qualquer conta comprometida consegue visualizar e acessar.
Estágio 5: Implantação
A maioria dos ataques de ransomware culmina na implantação do payload malicioso. Porém, o ransomware em si representa apenas parte do dano.
Os atacantes executam tudo o que descobriram durante a fase de varredura: implantam o malware, apagam backups, bloqueiam administradores e exfiltram dados, muitas vezes simultaneamente.
O efeito combinado é uma interrupção operacional deliberada sem opções claras de recuperação, aumentando a pressão para pagamento do resgate.
Entretanto, quando controles de prevenção de escalonamento e movimento lateral estão implementados, eles limitam diretamente o alcance dos danos nessa fase final.
Um atacante incapaz de se mover lateralmente ou explorar privilégios elevados já teria encontrado um beco sem saída muito antes.
Estágio 6: Resgate
Com as operações interrompidas e as opções de recuperação comprometidas, os atacantes exigem pagamento, normalmente acompanhado de ameaças de divulgação pública dos dados roubados.
A indisponibilidade operacional aumenta dramaticamente a pressão sobre as organizações. Empresas paralisadas tendem a pagar mais e mais rapidamente.
Mesmo organizações com backups íntegros frequentemente enfrentam longos períodos de recuperação, e cada hora de indisponibilidade possui um custo significativo.
Organizações que adotam uma arquitetura orientada à contenção, utilizando microssegmentação, controles baseados em identidade e MFA Just-in-Time, interrompem a cadeia de ataque antes que a interrupção operacional e a exigência de resgate ocorram.
Como impedir a propagação do ransomware: melhores práticas para interromper a cadeia de ataque
Estratégias de segurança baseadas exclusivamente em detecção identificam ameaças quando atividades maliciosas já estão em andamento.
Mas quando o movimento lateral começa em segundos e a detecção média de uma violação ainda leva meses, as equipes de segurança precisam incorporar contenção diretamente na arquitetura de rede.
Priorizar as quatro abordagens abaixo permite que organizações construam uma postura proativa de defesa contra ransomware.
1. Microssegmentação: bloqueie o movimento lateral antes que o ransomware escale
A microssegmentação abrangente bloqueia os caminhos padrão explorados por operadores de ransomware para transformar um pequeno comprometimento em uma crise corporativa.
Toda comunicação entre ativos passa a exigir autorização explícita.
Quando não existe confiança implícita entre sistemas, ataques de ransomware ficam presos ao ponto inicial de entrada.
Um endpoint comprometido não consegue alcançar um controlador de domínio ou outras infraestruturas críticas, e uma estação infectada não consegue se comunicar com sistemas de backup.
O impacto de qualquer comprometimento fica estruturalmente limitado ao ponto inicial de invasão.
2. Controles de acesso baseados em identidade: aplique privilégio mínimo em toda a organização
A microssegmentação controla o que pode ser alcançado. Os controles de identidade determinam quem pode alcançar esses recursos e em quais circunstâncias.
Credenciais roubadas são, por definição, legítimas. Ferramentas perimetrais não conseguem distinguir um invasor usando uma senha válida do usuário real.
A solução é aplicar controles granulares sobre uma arquitetura fortemente segmentada.
Controles baseados em identidade garantem que cada identidade, humana ou não humana, acesse apenas os ativos estritamente necessários para sua função.
Assim, credenciais roubadas deixam de representar um passe livre para grupos de ransomware.
3. MFA Just-in-Time na camada de rede: feche a principal via de escalonamento de privilégios
Acesso privilegiado permanente é um dos caminhos favoritos do ransomware para alcançar sistemas críticos.
O MFA Just-in-Time substitui privilégios permanentes por acessos temporários e condicionados ao contexto.
A autenticação multifator aplicada diretamente na camada de rede permite exigir validação em protocolos como RDP, SMB, WinRM e SSH, responsáveis por mais de 70% das atividades utilizadas por agentes de ameaça.
4. Criação e aplicação automatizada de políticas: construa uma defesa adaptativa contra ransomware
Em ambientes dinâmicos, onde novos sistemas surgem constantemente e requisitos de acesso mudam continuamente, defesas mantidas manualmente inevitavelmente acumulam lacunas.
Com mecanismos determinísticos de automação supervisionados por humanos, políticas acompanham a evolução da rede automaticamente.
Os controles aprendem comportamentos legítimos, aplicam privilégio mínimo com base na realidade operacional e atualizam políticas conforme o ambiente muda.
O resultado é uma defesa dinâmica capaz de acompanhar a velocidade da infraestrutura sem atrasos, erros de configuração ou janelas de exposição.
Bloqueie ataques de ransomware em tempo real: construindo uma arquitetura ciber resiliente com Zero Networks
Velocidade, furtividade e movimento lateral são as armas mais poderosas do ransomware. Quando a maioria das organizações detecta a ameaça, a oportunidade de evitar impacto ao negócio já desapareceu.
A Zero Networks protege os ativos que as organizações não podem perder por meio de microssegmentação automatizada baseada em identidade, aplicando privilégio mínimo a todos os ativos e identidades para conter ameaças em tempo real.
Com MFA Just-in-Time na camada de rede e um mecanismo determinístico de automação, a Zero elimina lacunas exploradas por operadores de ransomware, alinhando políticas às necessidades reais do negócio sem aumentar a complexidade operacional.
Veja como a Zero Networks interrompe proativamente a propagação de ransomware e fortalece a resiliência cibernética. Solicite uma demonstração em cybergate.solutions.