O ransomware é a ameaça cibernética com maior impacto financeiro directo para PMEs. O modelo é devastadoramente simples: os atacantes encriptam os dados da empresa e exigem pagamento para fornecer a chave de desencriptação. Em caso de não pagamento, ameaçam publicar os dados online.
Em Portugal, os ataques de ransomware a PMEs aumentaram significativamente nos últimos três anos. E a diferença entre uma empresa que recupera em dias e uma que recupera em semanas — ou que encerra — é frequentemente a existência de um plano de resposta preparado antes do ataque.
Como um ataque de ransomware acontece na prática
Os ataques de ransomware raramente são eventos instantâneos. Os atacantes tipicamente têm acesso à rede da empresa durante dias ou semanas antes de activar a encriptação — período em que mapeiam a rede, identificam backups e sistemas críticos, e garantem persistência para maximizar o impacto quando activam o ransomware.
Os vectores de entrada mais comuns: phishing com malware em anexo ou link, exploração de vulnerabilidades em sistemas expostos à internet (RDP, VPN, servidores web), credenciais comprometidas obtidas em breaches anteriores, e comprometimento de fornecedores com acesso à rede (supply chain attack).
A detecção tipicamente acontece quando os utilizadores descobrem que não conseguem abrir ficheiros ou quando aparece uma nota de resgate no ecrã. Neste ponto, a encriptação já está completa e o dano está feito.
O período entre comprometimento inicial e activação de ransomware é em média 24 dias. Sistemas de detecção adequados podem identificar a intrusão antes da encriptação — mas só se existirem e estiverem monitorizados.
O custo médio de um ataque para uma PME europeia
O custo de um ataque de ransomware vai muito além do eventual pagamento do resgate. Inclui: horas de trabalho perdidas durante o período de indisponibilidade, custo de recuperação técnica (pode levar dias a semanas), investigação forense para perceber o vector de entrada, custo de eventuais obrigações legais de notificação (RGPD), impacto na reputação e perda de clientes.
Estudos europeus de 2023 indicam que o custo médio de recuperação de um ataque de ransomware para uma PME com 50 a 250 colaboradores é de 150.000 a 500.000 euros — independentemente de pagar ou não o resgate. Para muitas PMEs, este valor é existencialmente crítico.
As primeiras 24 horas após detectar um ataque
A resposta nas primeiras horas de um ataque de ransomware é crítica. Decisões tomadas sob pressão, sem plano, frequentemente agravam o problema.
- Isolar imediatamente os sistemas afectados da rede — desligar do switch ou desactivar Wi-Fi. Não desligar os servidores (pode destruir evidências forenses e dados em memória)
- Identificar o âmbito do ataque: que sistemas estão afectados, que dados foram encriptados
- Contactar a equipa de IT interna ou parceiro de suporte imediatamente
- Não reiniciar sistemas afectados sem orientação técnica
- Preservar evidências: screenshots da nota de resgate, logs de sistemas, ficheiros encriptados
- Notificar a gestão de topo e activar o plano de crise
- Avaliar se existe obrigação de notificação à CNPD (violação de dados pessoais)
Pagar o resgate: o que as autoridades recomendam
A posição das autoridades — Europol, CNPD, CERT.PT, FBI — é consistente: não pagar o resgate. As razões são igualmente consistentes: o pagamento financia e incentiva mais ataques, não há garantia de que a chave de desencriptação funcione ou seja entregue, e pagar pode criar obrigações legais adicionais dependendo de quem está por detrás do ataque (possíveis violações de sanções internacionais).
Na prática, algumas empresas pagam porque não têm alternativa. Mas o pagamento não deve ser a primeira opção nem deve ser considerado antes de verificar se existem outras alternativas: backups recuperáveis, desencriptadores gratuitos disponíveis (No More Ransom é um repositório de desencriptadores desenvolvidos por autoridades policiais), ou recuperação parcial sem os dados encriptados.
O plano de resposta que toda empresa deveria ter
Um plano de resposta a ransomware não precisa de ser um documento de 50 páginas. Para uma PME, um plano de 5 a 10 páginas com as informações certas é suficiente e infinitamente mais valioso do que não ter nada.
Componentes obrigatórios do plano
- Lista de contactos de emergência: IT interno, parceiro de suporte externo, seguradora, assessor jurídico, CERT.PT
- Diagrama de rede simplificado com sistemas críticos identificados
- Localização e credenciais de acesso aos backups (armazenadas de forma segura, offline)
- Procedimento de isolamento de rede: como desligar sistemas afectados sem derrubar toda a rede
- Procedimento de recuperação por sistema: ordem de recuperação e tempo estimado
- Procedimento de comunicação: quem comunica internamente, com clientes, com autoridades
- Critérios para considerar pagamento de resgate e processo de decisão
- Contactos de empresas de resposta a incidentes para casos de necessidade de apoio externo
Como testar o plano antes de precisar dele
Um plano não testado é uma suposição. Pelo menos anualmente, a empresa deve realizar um exercício de simulação: sem aviso prévio, activar o cenário ‘ransomware detectado’ e verificar quanto tempo demora a equipa a executar os passos do plano, se as informações do plano estão correctas e actualizadas, e se o tempo de recuperação real corresponde ao estimado.
Protecção proactiva: o que implementar agora
- Backups offline ou imutáveis que não podem ser alcançados pelo ransomware (regra 3-2-1)
- MFA em todos os sistemas de acesso remoto e email
- Segmentação de rede para limitar propagação lateral
- Endpoint Detection and Response (EDR) em todos os endpoints
- Monitorização de comportamento anómalo na rede
- Formação regular de consciencialização anti-phishing
- Patch management actualizado para sistemas expostos à internet
>>> Desenvolva o plano de resposta a ransomware da sua empresa com a JL Suporte & Consultoria antes de precisar dele. Sessão de planeamento gratuita. Fale connosco.
