Trace Id is missing
Avançar para o conteúdo principal
Microsoft Security

O que é o ransomware?

Saiba o que é o ransomware, como funciona e como proteger a sua empresa contra este tipo de ciberataque.
Proteja-se contra o ransomware

Compreender o ransomware

O ransomware é um tipo de software malicioso, ou malware, que os cibercriminosos utilizam para bloquear o acesso, destruir ou publicar os dados críticos de uma vítima, a menos que seja pago um resgate. O ransomware tradicional visa tanto indivíduos como organizações, mas dois desenvolvimentos recentes, o ransomware operado por humanos e o ransomware como serviço, tornaram-se uma ameaça maior para as empresas e outras grandes organizações.

Com o ransomware operado por humanos, um grupo de atacantes utiliza a sua inteligência coletiva para obter acesso a redes empresariais. Antes de instalarem o ransomware, investigam a empresa para perceberem as vulnerabilidades e, nalguns casos, descobrem documentos financeiros que os ajudam a definir o valor do resgate.

Num modelo de ransomware como serviço, um conjunto de programadores criminosos cria o ransomware e depois contrata outros afiliados cibercriminosos para invadir a rede de uma organização e instalar o ransomware. Os dois grupos dividem os lucros a uma taxa acordada.

Todo o ransomware tem um impacto significativo nos indivíduos e organizações atacados. Pode levar dias, semanas ou mesmo meses para que os sistemas afetados voltem a estar online, o que resulta em perda de produtividade e de vendas. As organizações podem também sofrer danos na sua reputação junto dos clientes e da comunidade.

Principais conclusões

  • O ransomware é um tipo de malware que encripta dados e exige o pagamento de um resgate para os desencriptar.
  • Pode propagar-se através de e-mails de phishing, sítios Web maliciosos e kits de exploração.
  • No ransomware operado por humanos, um grupo de atacantes utiliza a sua inteligência colectiva para obter acesso a redes empresariais.
  • Os dois principais tipos de ransomware são o cripto ransomware, que encripta dados e ficheiros sensíveis, e o locker ransomware, que bloqueia o acesso das vítimas aos seus dispositivos.
  • Os ataques de ransomware podem causar danos financeiros, de reputação e operacionais significativos a indivíduos e empresas.
  • Há medidas que pode tomar para se proteger de ataques de ransomware, como utilizar software de segurança forte, fazer cópias de segurança dos seus dados e promover a sensibilização para a cibersegurança na sua organização.

Tipos de ransomware

O ransomware apresenta-se sob duas formas principais: ransomware criptográfico e ransomware de cacifo, que se dividem ainda em vários subtipos.

Ransomware de criptomoedas
Num ataque de cripto ransomware, o atacante encripta os dados ou ficheiros sensíveis da vítima para que esta não lhes possa aceder a não ser que pague um resgate solicitado. Em teoria, assim que a vítima paga, o atacante entrega uma chave de desencriptação que lhe dá acesso aos ficheiros ou dados, no entanto, não há garantias. Muitas organizações perderam permanentemente o acesso aos seus ficheiros, mesmo depois de terem pago o resgate.

Ransomware de bloqueio
No ransomware de cacifo, os malfeitores bloqueiam o acesso da vítima ao seu dispositivo e apresentam-lhe uma nota de resgate no ecrã com instruções sobre como pagar um resgate para recuperar o acesso. Normalmente, esta forma de ransomware não envolve a encriptação, por isso, assim que a vítima recupera o acesso ao respetivo dispositivo, os dados e ficheiros confidenciais são preservados. O ransomware Locker é normalmente utilizado em dispositivos móveis.

Estas duas formas principais de ransomware dividem-se nos seguintes subtipos:

Scareware
O scareware utiliza o medo para levar as pessoas a pagar um resgate. Neste tipo de ciberataques, os malfeitores fazem-se passar por uma agência de aplicação da lei e enviam uma mensagem à vítima acusando-a de um crime e exigindo uma multa.

Doxware
No Doxware, os malfeitores roubam informações pessoais e ameaçam revelá-las publicamente se não for pago um resgate.

Ransomware de extorsão dupla
No ransomware de extorsão dupla, os atacantes não só encriptam ficheiros, como também roubam dados sensíveis e ameaçam divulgá-los publicamente se o resgate não for pago.

Wipers
Os Wipers ameaçam destruir os dados da vítima se esta não pagar o resgate.

Como funciona o ransomware

A maioria dos ataques de ransomware segue um processo de três passos.

1. Obter acesso
Os maus atores utilizam vários métodos para obter acesso aos dados sensíveis de uma empresa. Um dos mais comuns é o phishing, que é quando os cibercriminosos utilizam o e-mail, mensagens de texto ou chamadas telefónicas para enganar as pessoas, levando-as a fornecer as suas credenciais ou a descarregar malware. Os maus atores também visam os empregados e outros utilizadores com sítios Web maliciosos que utilizam o chamado kit de exploração para descarregar e instalar automaticamente malware no dispositivo da vítima.

2. Encripte dados.
Assim que os atacantes de ransomware obtêm acesso aos dados sensíveis, copiam-nos e destroem o ficheiro original juntamente com quaisquer cópias de segurança a que tenham conseguido aceder. Em seguida, encriptam a sua cópia e criam uma chave de desencriptação.

3. Exigir um resgate
Depois de tornar os dados inacessíveis, o ransomware envia uma mensagem através de uma caixa de alerta que explica que os dados foram encriptados e pede dinheiro, normalmente em criptomoeda, em troca da chave de desencriptação. Os malfeitores por detrás destes ataques podem também ameaçar divulgar os dados ao público se a vítima se recusar a pagar.

Impacto de um ataque de ransomware

Para além da interrupção imediata das operações, as consequências de um ataque de ransomware podem incluir perdas financeiras significativas, danos à reputação e desafios operacionais a longo prazo.

Implicações financeiras
O custo do pagamento de um resgate pode ser substancial, atingindo frequentemente os milhões de dólares, e não há qualquer garantia de que os atacantes forneçam a chave de desencriptação ou que esta funcione corretamente.

Mesmo quando as organizações se recusam a pagar o resgate, os custos financeiros podem ser elevados. A perturbação causada por um ataque de ransomware pode levar a um tempo de inatividade prolongado, afetando a produtividade e resultando potencialmente em perda de receitas. A recuperação de um ataque envolve despesas adicionais, incluindo o custo de investigações forenses, honorários legais e investimentos em medidas de segurança melhoradas.

Danos à reputação
Os clientes e parceiros podem perder a confiança numa empresa que tenha sido comprometida, levando a um declínio na fidelidade do cliente e a uma potencial perda de negócios futuros. Os ataques de grande visibilidade atraem frequentemente a atenção dos meios de comunicação social, o que pode prejudicar a reputação e a imagem de marca de uma empresa.

Desafios operacionais
Mesmo com cópias de segurança, existe o risco de perda ou corrupção de dados, o que pode afetar a continuidade do negócio e a eficiência operacional. As empresas podem também enfrentar sanções legais e regulamentares por não protegerem dados sensíveis, especialmente se estiverem sujeitas a regulamentos de proteção de dados como o Regulamento Geral de Proteção de Dados na União Europeia ou a Lei de Privacidade do Consumidor da Califórnia.

Exemplos de ransomware no mundo real

Muitos dos ataques de ransomware operados por humanos de maior visibilidade são conduzidos por grupos de ransomware, que operam utilizando um modelo de negócio de ransomware como serviço.

 
  • Desde o seu surgimento em 2019, a LockBit tem como alvo vários setores, incluindo serviços financeiros, saúde e manufatura. Este ransomware é conhecido pela sua capacidade de se auto-propagar dentro das redes, o que o torna particularmente perigoso. Os afiliados da LockBit foram responsáveis por inúmeros ataques de grande visibilidade, utilizando técnicas sofisticadas para encriptar dados e pedir resgates. 
  • Os ataques BlackByte envolvem frequentemente extorsão dupla, em que os cibercriminosos encriptam e exfiltram dados, ameaçando publicar os dados roubados se o resgate não for pago. Este ransomware tem sido utilizado para atingir sectores de infra-estruturas críticas, incluindo serviços governamentais e financeiros.
  • O grupo por detrás do ransomware Hive, que esteve ativo entre junho de 2021 e janeiro de 2023, recorreu à extorsão dupla e visou normalmente instituições públicas e infra-estruturas críticas, incluindo estabelecimentos de saúde. Numa vitória significativa contra a cibercriminalidade, o FBI infiltrou-se na rede da Hive em 2022, capturando chaves de desencriptação e evitando mais de 130 milhões de dólares em pedidos de resgate. 
  • O ransomware Akira é um malware sofisticado que está ativo desde o início de 2023 e visa tanto os sistemas Windows como os sistemas Linux. Os malfeitores utilizam o Akira para obter acesso inicial através de vulnerabilidades nos serviços VPN, em particular aqueles sem autenticação multifator. Desde o seu aparecimento, o Akira afetou mais de 250 organizações e arrecadou cerca de 42 milhões de dólares em receitas de ransomware.
 
Prevenção

Estratégias de prevenção e proteção contra ransomware

Proteja os seus pontos terminais e nuvens

A melhor forma de proteção é a prevenção. Muitos ataques de ransomware podem ser identificados e bloqueados com uma solução fiável de deteção e resposta de pontos finais, como o Microsoft Defender para Endpoint. As soluções de deteção e resposta alargadas (XDR), como o Microsoft Defender XDR, vão além da proteção de pontos finais para o ajudar a proteger os seus dispositivos, e-mail, aplicações de colaboração e identidades. E com tantos negócios realizados na nuvem, é importante proteger toda a sua infraestrutura e aplicações na nuvem com uma solução como o Microsoft Defender for Cloud.

Realize formações constantes

Mantenha os colaboradores informados sobre como reconhecer sinais de phishing e outros ataques de ransomware através de formações regulares. Para reforçar as aprendizagens e identificar oportunidades de formação adicional, faça o acompanhamento com simulações periódicas de phishing. Isto ajudará os seus empregados a aprenderem práticas mais seguras para o trabalho e também a serem mais seguros quando utilizam os seus dispositivos pessoais.

Adote um modelo Confiança Zero

Um modelo Zero Trust assume que todos os pedidos de acesso, mesmo os que vêm de dentro da rede, são uma ameaça potencial. Os princípios da Confiança Zero incluem a verificação explícita através da autenticação contínua, a aplicação do acesso com o mínimo de privilégios para minimizar as permissões e a assunção de violações através da implementação de medidas fortes de contenção e monitorização. Este controlo adicional diminui a probabilidade de uma identidade ou dispositivo malicioso aceder a recursos e instalar ransomware.

 Adira a um grupo de partilha de informações

Os grupos de partilha de informações, frequentemente organizados por indústria ou localização geográfica, incentivam organizações com estruturas semelhantes a trabalharem em conjunto para encontrar soluções de cibersegurança. Os grupos também oferecem às organizações diferentes benefícios, tais como resposta a incidentese serviços forenses digitais, informações sobre ameaças e monitorização de gamas e domínios IP públicos.

Mantenha cópias de segurança offline

Uma vez que algum ransomware tentará procurar e eliminar quaisquer cópias de segurança online que possa ter, é uma boa ideia manter uma cópia de segurança offline atualizada dos dados confidenciais que testa regularmente para se certificar de que podem ser restaurados se for atingido por um ataque de ransomware.

Mantenha o software atualizado

Para além de manter as soluções antimalware atualizadas, certifique-se de que transfere e instala quaisquer outras atualizações do sistema e correções de software assim que estiverem disponíveis. Isto ajuda a minimizar quaisquer vulnerabilidades de segurança que um cibercriminoso possa explorar para obter acesso à sua rede ou dispositivos.

Crie um plano de resposta a incidentes

Um plano de resposta a incidentes indica-lhe as medidas a tomar em diferentes cenários de ataque, para que possa voltar a funcionar normalmente e em segurança o mais rapidamente possível.

Responder a um ataque de ransomware

Se for vítima de um ataque de ransomware, existem opções de recurso e remoção.

Isole os dados infetados
Assim que for possível, isole os dados comprometidos para ajudar a prevenir a expansão do ransomware a outras áreas da sua rede.

Execute um programa antimalware
Depois de isolar os sistemas infetados, utilize um programa antimalware para remover o ransomware.

Desencriptar ficheiros ou restaurar cópias de segurança
Se possível, utilize ferramentas de desencriptação fornecidas por agências de aplicação da lei ou investigadores de segurança para desencriptar ficheiros sem pagar o resgate. Se a desencriptação não for possível, restaure os ficheiros a partir das suas cópias de segurança.

Comunique o ataque
Entre em contacto com as autoridades locais ou federais para comunicar o ataque. Nos Estados Unidos, trata-se do gabinete local do FBI, do IC3 ou do Serviço Secreto. Este passo pode não resolver as suas preocupações imediatas, mas é importante, porque estas autoridades monitorizam ativamente ataques diferentes. Fornecer-lhes pormenores sobre a sua experiência pode ser útil nos seus esforços para encontrar e processar um cibercriminoso ou um grupo de cibercriminosos.

Tenha cuidado ao pagar o resgate
Embora possa ser tentador pagar o resgate, não há garantia de que os cibercriminosos mantenham a sua palavra e lhe concedam acesso aos seus dados. Os peritos de segurança e as autoridades recomendam que as vítimas de ataques de ransomware não paguem os resgates pedidos porque, ao fazê-lo, podem incentivar ameaças futuras e estão a apoiar ativamente atividades criminosas.
RECURSOS 

Explorar a segurança da Microsoft

Proteja a sua organização contra ransomware complexo com soluções unificadas de proteção contra ameaças baseadas em IA e práticas recomendadas comprovadas.
Uma mulher de camisa verde a olhar para um computador.
Solução

Proteja-se contra ransomware

Exponha e responda a ataques cibernéticos sofisticados em seu ambiente multiplataforma e multicloud.
Saber mais
Um homem sentado numa secretária com um portátil.
Solução

Supere as ameaças com SecOps unificado e alimentado por IA

Obtenha XDR e informações de segurança e gestão de eventos - tudo numa única plataforma.
Saber mais
Um computador portátil em cima de uma mesa.
Produto

Proteja toda a sua empresa com o Microsoft Defender XDR

Defenda os seus pontos terminais, identidades, aplicações na nuvem e dados contra ciberataques.
Saber mais
Um homem de óculos e barba a segurar papéis em frente a um computador portátil.
Produto

Proteja a sua pequena empresa com o Microsoft Defender para Empresas

Obtenha proteção contra ataques de ransomware sofisticados em vários dispositivos com antivírus de próxima geração e deteção e resposta de pontos finais de nível empresarial com tecnologia de IA.
Saber mais
Uma mulher e um homem a olhar para um computador portátil.
Portal de proteção contra ameaças

Notícias sobre cibersegurança e IA

Descubra as últimas tendências e melhores práticas em matéria de proteção contra ciberameaças e IA de segurança.
Obter os recursos mais recentes
Voltar à secção de Recursos

Perguntas frequentes

  • O ransomware é um tipo de malware que encripta dados valiosos e exige o pagamento de um resgate em troca da sua desencriptação.
  • Infelizmente, quase todas as pessoas com uma presença online podem ser alvo de um ataque de ransomware. Os dispositivos pessoais e as redes empresariais são alvos frequentes dos cibercriminosos.
  • Os ataques de ransomware tradicionais ocorrem quando alguém é levado a interagir com conteúdo malicioso, como abrir um e-mail infetado ou visitar um site prejudicial, que instala ransomware no seu dispositivo.
    Num ataque de ransomware operado por humanos, um grupo de atacantes define como alvo e explora uma falha de segurança de dados confidenciais de uma organização, normalmente através de credenciais roubadas.
    Normalmente, tanto nos casos de ransomware de engenharia social como de ransomware operado por humanos, é apresentada à vítima ou organização uma nota de resgate que especifica os dados que foram roubados e o custo da respetiva devolução. No entanto, o pagamento do resgate não garante que os dados sejam efetivamente devolvidos ou que sejam evitadas futuras falhas.
  • Os efeitos de um ataque de ransomware podem ser devastadores. Tanto a nível organizacional como individual, as vítimas podem sentir-se forçadas a pagar resgates elevados sem a garantia de que os dados serão devolvidos ou que não irão ocorrer mais ataques. Se as informações confidenciais de uma organização forem alvo de uma fuga de informações por um cibercriminoso, a respetiva reputação pode ser afetada e vista como não fidedigna. Além disso, consoante o tipo de informações alvo de fuga e a dimensão da organização, milhares de pessoas podem estar em risco de se tornarem vítimas de roubo de identidade ou de outros cibercrimes.
  • Os cibercriminosos que infetam os dispositivos das vítimas com ransomware querem dinheiro. Tendem a definir os regastes em criptomoedas devido à sua natureza anónima e indetetável. Quando um indivíduo é visado, o resgate pode ser de centenas ou milhares de dólares americanos. As campanhas de ransomware operadas por humanos exigem frequentemente milhões de dólares americanos.
  • As vítimas devem comunicar os ataques de ransomware às autoridades locais ou federais. Nos Estados Unidos, trata-se do gabinete local do FBI, do IC3 ou do Serviço Secreto. Os especialistas em segurança e as autoridades policiais recomendam que as vítimas não paguem os resgates - se já pagou, contacte imediatamente o seu banco e as autoridades locais. O seu banco poderá bloquear o pagamento se o tiver efetuado com um cartão de crédito.

Siga o Microsoft Security