No fim de semana da Páscoa de 2025, algo estava errado nas lojas de uma rede varejista em todo o Reino Unido. Os pagamentos sem contato falharam. Os pedidos de retirada na loja desapareceram. As prateleiras ficaram vazias.
Os varejistas dependem dos feriados prolongados para gerar receita. Em vez disso, esse varejista acabou registrando uma perda de £ 300 milhões no valor de mercado, recorreu a caneta e papel para controlar o inventário e paralisou toda a sua operação online por mais de seis semanas.
Os culpados não eram agentes estatais ou hackers de elite, mas sim grupos de criminosos cibernéticos vagamente afiliados usando ferramentas de ransomware como serviço (RaaS) disponíveis comercialmente.
É o suficiente para fazer você questionar sua postura de segurança atual.
A nova realidade do ransomware: mais jovem, mais rápido, mais forte
Aqui está a verdade desconfortável: o ransomware não está apenas evoluindo, está se industrializando. E sua estratégia de segurança pode estar deixando você vulnerável.
Em 2024, os ataques de ransomware aumentaram em 37%, representando 44% das violações de dados globalmente, de acordo com o Relatório de Investigações de Violação de Dados da Verizon de 2025. Na Europa, Oriente Médio e África, 27% das empresas sofreram um ataque de ransomware nesse mesmo período. Na América Latina, esse número atingiu 29%, com pequenas e médias empresas cada vez mais na mira.
Mas as estatísticas não refletem o caos operacional.
A vítima do ataque do fim de semana de Páscoa teve que recorrer a processos manuais para bilhões de libras de inventário. Outro varejista desativou partes de seus sistemas de TI como medida de precaução, levando a prateleiras vazias em suas mais de 2.000 lojas. Uma terceira organização restringiu o acesso à Internet. Esses não foram apenas incidentes de TI, foram crises de negócios.
Engenharia social como uma arma
Quem foram os invasores por trás dessas violações? Segundo relatos, eram membros dos grupos Dispersed Spider e DragonForce, que têm usado a engenharia social como arma com efeitos devastadores.
Eles não invadem sistemas; eles invadem pessoas. Eles ligam para o suporte técnico, personificam funcionários e convencem sua própria equipe de TI a entregar credenciais. Depois, implantam um ransomware que não apenas criptografa; ele extorque, exfiltra e destrói dados.
Extorsão tripla e quádrupla: os golpes continuam chegando
Os métodos tradicionais de ransomware bloqueavam seus arquivos e exigiam pagamento. Essa estratégia está obsoleta.
Os invasores atuais implantam campanhas de extorsão em vários estágios, intensificando a pressão de todos os ângulos. Eles criptografam seus sistemas. Roubam seus dados e ameaçam publicá-los. Lançam ataques de DDoS (negação de serviço distribuída) contra sua infraestrutura voltada para o cliente. E, em alguns casos, entram em contato diretamente com seus clientes, parceiros e entidades reguladoras.
Os três grupos de ransomware historicamente mais proeminentes (ALPHV/BlackCat, CL0P e LockBit) realizaram campanhas de extorsão quádruplas. Em fevereiro de 2025, o CL0P assumiu a responsabilidade por 385 ataques em apenas algumas semanas, estabelecendo um novo recorde para o maior número de ataques já atribuídos a um único grupo em um mês, de acordo com o TechRadar.
Isto não é teórico. Está acontecendo agora, em grande escala, contra organizações que se consideravam preparadas.
Ataques com tecnologia de IA: a corrida que você está perdendo
Enquanto você está experimentando a IA para aumentar a produtividade, os agentes de ameaças estão a transformando em arma para ataques.
De acordo com o Relatório sobre ransomware de 2025 da Akamai, grupos como FunkSec e Black Basta teriam usado IA generativa e LLMs (modelos de linguagem grandes) para criar código de ransomware e aprimorar ataques de engenharia social. Forest Blizzard (também conhecido como Fancy Bear) e Emerald Sleet utilizaram LLMs para imitar documentos oficiais em campanhas de phishing e realizar pesquisas de vulnerabilidade. Ferramentas como WormGPT, DarkGPT e FraudGPT estão democratizando técnicas de ataque sofisticadas.
O resultado? Os invasores agora podem operar com escala, sofisticação e eficiência sem precedentes, enquanto sua equipe de segurança está se afogando em alertas.
A economia inconveniente do ransomware
Apesar da ameaça crescente, as organizações estão mudando seu comportamento. O total de pagamentos de ransomware quase dobrou para US$ 1,1 bilhão em 2023, de acordo com a empresa de rastreamento de criptomoedas Chainalysis. No entanto, a porcentagem de vítimas que realmente pagaram as demandas de resgate caiu para um mínimo histórico de 29% no quarto trimestre de 2023, abaixo de 85% no início de 2019, de acordo com a empresa de negociação de ransomware Coveware.
Por quê? Porque pagar não garante recuperação. Não previne a reinfecção. E só financia a próxima geração de ataques.
A pergunta mais pertinente seria: por que as organizações ainda se encontram em posições onde pagar sequer é uma opção?
O que a maioria das estratégias de segurança faz de errado
Sua arquitetura de segurança atual provavelmente pressupõe um perímetro que não existe mais. Ela depende de sistemas de detecção que geram mais ruído do que informações. Ela trata o ransomware como um problema de endpoint quando, na verdade, trata-se de uma crise de movimento lateral.
A pesquisa do Estudo sobre o impacto da segmentação da Akamai de 2025 conta uma história diferente. Entre os 1.200 líderes globais de segurança pesquisados, 79% sofreram ou detectaram pelo menos um ataque de ransomware em sua organização nos últimos 24 meses. Isso não é um problema de ransomware, é um problema de contenção.
As organizações que estão vencendo essa luta não são as que têm as ferramentas mais caras. São as que repensaram de forma fundamental como arquitetam a resiliência.
Microssegmentação: a estratégia de contenção que funciona
Veja o que os dados mostram: as empresas que usam microssegmentação contêm ataques de ransomware 21,4% mais rápido, em média. Para grandes organizações com mais de US$ 1 bilhão em receita, esse número salta para tempos de contenção 33% mais rápidos.
Por que isso importa? Porque, para os principais varejistas, cada minuto de tempo de inatividade durante um incidente de ransomware pode custar milhões. Quando seus sistemas de pagamento estão fora do ar, quando sua cadeia de suprimentos está paralisada, quando os dados de seus clientes estão sendo exfiltrados, a velocidade não é apenas importante. É vital.
Zonas de segurança granulares que limitam o movimento lateral
A microssegmentação funciona porque opera em um princípio fundamentalmente diferente da segurança tradicional. Em vez de tentar evitar todas as intrusões, ela assume uma violação e se concentra na contenção. Ela cria zonas de segurança granulares que limitam o movimento lateral, impedindo que os invasores se espalhem pelo seu ambiente mesmo após uma invasão inicial.
A violação do fim de semana de Páscoa supostamente começou por meio de um serviço de suporte técnico de TI terceirizado. A engenharia social deu aos invasores acesso inicial. Mas o que transformou essa invasão inicial em uma interrupção catastrófica nos negócios foi a capacidade dos agentes de ameaças de se mover lateralmente entre os sistemas para escalar privilégios e criptografar infraestrutura crítica.
A microssegmentação poderia ter contido esse raio de impacto.
Cinco práticas indispensáveis para a resiliência de ransomware
Se você leva a sério a defesa contra ransomware em 2026, aqui estão cinco práticas necessárias:
Implemente uma arquitetura Zero Trust com microssegmentação como elemento central
Pare de confiar em tudo por padrão. Verifique cada usuário, dispositivo e workload continuamente. Use a microssegmentação para criar limites de segurança que impeçam o movimento lateral e contenham violações antes que elas se tornem crises.
Proteja sua superfície de ataque humano
Os ataques do grupo Scattered Spider tiveram sucesso porque visavam pessoas, não sistemas. Implemente uma verificação rigorosa de identidade para redefinições de senha, escalonamentos de privilégios e acesso ao sistema. Seu suporte técnico não deve ser o seu ponto fraco, mas, no momento, provavelmente é.
Proteja agressivamente sua cadeia de suprimentos
A violação do fim de semana de Páscoa começou com um fornecedor terceirizado. Sua segurança é tão forte quanto seu fornecedor mais fraco. Exija auditorias de segurança, aplique controles de acesso e segmente o acesso de terceiros com rigor.
Crie planos de contenção, não apenas planos de resposta
A maioria dos planos de resposta a incidentes se concentra na detecção e na notificação. Isso é necessário, mas insuficiente. Você precisa de procedimentos de contenção documentados que possam ser executados em minutos, não em horas. Saiba exatamente quais sistemas isolar, quais dados proteger e quais comunicações ativar antes de um ataque ocorrer.
Teste sua resiliência antes que os invasores o façam
Execute exercícios teóricos. Realize simulações de violação. Teste a integridade e a velocidade de recuperação de seus backups. Segundo relatos, o varejista britânico não tinha planos de continuidade de negócios para incidentes cibernéticos. Não espere por uma crise no fim de semana de Páscoa para descobrir suas falhas.
As quatro perguntas que todo CISO deve responder
Todo CISO deve fazer as seguintes perguntas:
- Quando o próximo ataque acontecer (e ele acontecerá), conseguiremos contê-lo em minutos, em vez de dias?
- Podemos impedir o movimento lateral em nosso ambiente?
- Podemos proteger nossos ativos mais essenciais mesmo quando as defesas de perímetro falham?
- Podemos manter as operações de negócios enquanto investigamos e corrigimos simultaneamente uma violação ativa?
Se não consegue responder "sim" com confiança a essas perguntas, você não está preparado. Você está exposto.
Novamente, as organizações que sobreviverão à era do ransomware não são as que têm os maiores orçamentos de segurança. São aquelas que arquitetaram a resiliência em cada camada de sua infraestrutura. Elas assumiram uma violação, planejaram a contenção e construíram sistemas que limitam o raio de impacto mesmo quando a prevenção falha.
Tags
