Code cortex AI & Technology
Compliance e Segurança

Ransomware no Brasil: Como Funciona e Como Proteger sua Empresa

12 min de leitura

Ransomware é um tipo de ataque cibernético que sequestra os dados da empresa: um programa malicioso criptografa todos os arquivos e exige pagamento (geralmente em criptomoeda) para devolver o acesso. O custo médio de um ataque para PMEs brasileiras chega a R$ 13 milhões. Mais grave: 15% das PMEs vítimas de ransomware não conseguem retomar as operações. Com o Brasil registrando 38% de aumento nos ataques em 2025 e 2026, entender e se preparar deixou de ser opcional.

O que é ransomware: a analogia do sequestro digital

Imagine que, ao chegar ao escritório, você descobre que todas as gavetas estão trancadas com cadeados que só você não tem a chave. Na tela do computador, uma mensagem: "Pague R$ 200.000 em Bitcoin em 72 horas e você receberá a chave." É exatamente isso que o ransomware faz com os dados digitais da empresa.

O programa malicioso percorre todos os arquivos acessíveis (documentos, planilhas, bancos de dados, fotos, emails) e aplica uma criptografia forte: transforma cada arquivo em um conjunto de dados ilegíveis sem a chave de decodificação, que fica com os criminosos. Sem backup adequado, a escolha é pagar ou perder os dados.

R$ 13M

Custo médio por ataque para PMEs brasileiras

15%

Das PMEs atacadas não retomam operações

38%

Aumento de ataques no Brasil (2025-2026)

Como funciona um ataque de ransomware passo a passo

1

Entrada no sistema

O criminoso consegue acesso inicial: via email de phishing com link malicioso, credenciais vazadas de outro serviço, vulnerabilidade em software desatualizado ou conexão de acesso remoto (VPN, RDP) sem proteção adequada.

2

Exploração silenciosa

Após entrar, o atacante não age imediatamente. Ele passa dias ou semanas explorando a rede, mapeando quais sistemas existem, onde ficam os backups e quais são os dados mais valiosos. Nesta fase, a maioria das empresas não percebe nada.

3

Preparação do ataque

O criminoso desativa ferramentas de segurança, identifica e tenta comprometer os backups conectados à rede, e prepara o programa de criptografia para ser executado no momento escolhido.

4

Execução da criptografia

Em questão de horas, o programa criptografa todos os arquivos acessíveis: servidores, computadores individuais, unidades de rede compartilhadas, bancos de dados.

5

Exigência de resgate

A nota de resgate aparece na tela: valor em criptomoeda, prazo, canal de contato. Alguns grupos publicam parte dos dados roubados para pressionar pelo pagamento (dupla extorsão).

Os principais vetores de entrada

Vetor Como funciona Setores mais atingidos
Phishing por email Funcionário clica em link ou abre anexo malicioso Todos os setores
Credenciais vazadas Login e senha obtidos em outros vazamentos Saúde, financeiro, varejo
RDP sem proteção Acesso remoto ao desktop exposto na internet Indústria, construção, PMEs em geral
Software desatualizado Exploração de vulnerabilidades conhecidas e não corrigidas Governo, educação, saúde

10 medidas para prevenir ransomware

Checklist de prevenção de ransomware:

  • Backup 3-2-1 com pelo menos uma cópia offline ou imutável (a defesa mais importante)
  • Autenticação de dois fatores em todos os acessos remotos (VPN, email, sistemas)
  • Atualizações automáticas em todos os sistemas operacionais e softwares
  • Nunca expor RDP (acesso remoto ao desktop) diretamente à internet
  • Treinamento de phishing para toda equipe ao menos uma vez por ano
  • Controle de acesso: cada usuário acessa apenas o que precisa
  • Segmentação de rede: sistemas críticos isolados dos computadores do dia a dia
  • Monitoramento de comportamento anômalo (login fora do horário, volume incomum de arquivos acessados)
  • Gerenciador de senhas corporativo com senhas únicas por serviço
  • Plano de resposta a incidentes documentado e testado antes que um ataque aconteça

Quer proteger sua empresa contra ransomware?

A Codecortex avalia a exposição da sua empresa e recomenda as medidas de proteção mais eficazes para o seu porte e setor. Diagnóstico gratuito, sem compromisso.

Solicitar diagnóstico gratuito

O que fazer se sua empresa for atacada

1

Isole imediatamente

Desconecte da rede os computadores afetados. Se a rede for corporativa, desligue os switches de rede para impedir que o ransomware se espalhe. Velocidade é crítica nesta etapa.

2

Não desligue os servidores

Paradoxalmente, desligar o servidor pode dificultar a recuperação. Manter o sistema ligado pode preservar dados na memória RAM que ajudam na investigação forense.

3

Acione sua equipe de TI ou parceiro de segurança

Se você não tem equipe interna de segurança, acione um especialista externo antes de tomar qualquer outra ação. Decisões erradas nesta fase podem piorar a situação.

4

Comunique a liderança e o jurídico

A LGPD exige notificação à ANPD em casos de vazamento de dados pessoais. O jurídico precisa estar envolvido desde o início para orientar as obrigações legais.

5

Avalie e inicie a recuperação

Com os sistemas isolados, avalie quais backups estão íntegros e não foram comprometidos. Inicie a restauração a partir do ponto de backup mais recente e confiável.

Por que backups são a defesa mais importante

Com um backup funcional e testado, um ataque de ransomware passa de catástrofe para um problema sério mas contornável. Sem backup, a empresa fica à mercê dos criminosos. A estratégia de backup correta para proteção contra ransomware é a regra 3-2-1: 3 cópias dos dados, em 2 mídias diferentes, com 1 cópia offline ou imutável que o ransomware não consegue alcançar.

Para um guia completo sobre como implementar backup corporativo, leia o artigo sobre backup em nuvem para empresas, que cobre a regra 3-2-1, os tipos de backup e as principais soluções disponíveis para PMEs brasileiras.

Ransomware e LGPD: obrigações legais

Um ataque de ransomware que resulte em acesso não autorizado a dados pessoais de clientes ou funcionários é um incidente de segurança que precisa ser notificado à ANPD. A omissão pode resultar em multas adicionais além dos danos causados pelo ataque. Para entender o contexto completo das obrigações legais, leia o artigo sobre LGPD e compliance digital em 2026. Para uma visão ampla das ameaças cibernéticas além do ransomware, leia o artigo sobre segurança cibernética para empresas.

Perguntas Frequentes

Devo pagar o resgate se minha empresa for atacada por ransomware?
Autoridades de segurança e especialistas recomendam não pagar. Os motivos são: pagar financia os criminosos e incentiva novos ataques; não há garantia de que os dados serão devolvidos integralmente; mesmo após pagar, a empresa continua infectada e vulnerável a novos ataques do mesmo grupo; e pagar pode criar obrigações legais em alguns países. A alternativa ao pagamento é ter backup funcional. Sem backup, a decisão é muito mais difícil e as opções são limitadas.
Como sei se minha empresa foi vítima de ransomware?
Os sinais mais comuns são: arquivos com extensão estranha que não abrem (ex: documento.docx.locked); mensagem na tela exigindo pagamento em criptomoeda para recuperar os dados; computadores lentos ou com comportamento estranho antes do bloqueio total; servidores inacessíveis sem motivo aparente. Quando esses sinais aparecem, o primeiro passo é isolar imediatamente os sistemas afetados da rede para impedir que o ransomware se espalhe para outros computadores.
Ransomware pode atacar backups em nuvem?
Sim, se o backup em nuvem estiver mapeado como unidade de rede no computador infectado, o ransomware pode criptografar os arquivos de backup também. Por isso, a estratégia de backup correta inclui cópias offline ou imutáveis: versões que o ransomware não consegue modificar, como backups em fita, discos desconectados ou soluções de nuvem com proteção contra exclusão/modificação em lote (immutable storage). A regra 3-2-1 com uma cópia offline é a proteção adequada.
Qual é o prazo legal para notificar clientes após um ataque de ransomware?
Pela LGPD, incidentes de segurança que possam causar danos relevantes aos titulares de dados pessoais devem ser comunicados à ANPD em prazo razoável, que a autoridade interpretou como até 72 horas para incidentes graves. Os próprios titulares também precisam ser notificados quando o incidente ofereça risco ou dano relevante. O não cumprimento pode resultar em multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração.