O ransomware é uma das ameaças de cibersegurança mais impactantes e prevalentes da atualidade, afetando organizações de todos os tamanhos — de multinacionais a municípios, hospitais e PME. Nesta página encontra uma visão executiva sobre o que é, como opera e quais as medidas essenciais de proteção e resposta.
O que é Ransomware
Ransomware é um tipo de malware que cifra os ficheiros ou sistemas da vítima, tornando-os inacessíveis, e exige o pagamento de um resgate (em geral, em criptomoeda) em troca da chave de desencriptação. Existem duas variantes principais: Crypto Ransomware (cifra ficheiros) e Locker Ransomware (bloqueia o acesso ao dispositivo). Nos últimos anos surgiu ainda a técnica de double extortion, onde os atacantes também exfiltram os dados antes de cifrar, ameaçando a sua divulgação pública.
Como funciona um ataque
| Fase | O que acontece | Vetor típico |
|---|---|---|
| 1. Acesso inicial | O atacante entra na rede ou sistema da vítima | Phishing, RDP exposto, credenciais comprometidas |
| 2. Reconhecimento | Mapeamento da rede, escalada de privilégios | Ferramentas legítimas (Living off the Land) |
| 3. Exfiltração (opcional) | Cópia de dados sensíveis para servidores externos | FTP, cloud storage, TOR |
| 4. Cifra | Encriptação de ficheiros críticos e cópias de segurança | AES-256, RSA-2048 |
| 5. Extorsão | Nota de resgate com instruções de pagamento | Ficheiro .txt, wallpaper alterado |
Principais grupos e tendências em 2024–2025
- LockBit 3.0 — um dos grupos mais ativos, modelo Ransomware-as-a-Service (RaaS); parcialmente desmantelado pela Operação Cronos (Europol, 2024)
- ALPHV/BlackCat — encerrou operações após ataque à Change Healthcare (EUA, 2024)
- Cl0p — exploração massiva de vulnerabilidades zero-day em soluções de transferência de ficheiros (MOVEit, 2023)
- RansomHub — grupo emergente em 2024, atraiu afiliados de grupos desmantelados
- Play, Akira, Black Basta — ativos em 2024–2025, focados em PME e setor industrial
Medidas essenciais de proteção
- Backups 3-2-1: 3 cópias dos dados, em 2 suportes diferentes, 1 fora das instalações (ou offline). Testar regularmente o restore.
- Segmentação de rede: Isolar sistemas críticos, limitar movimentação lateral em caso de comprometimento.
- Gestão de patches: Aplicar atualizações de segurança rapidamente, especialmente em sistemas expostos à internet (VPN, RDP, e-mail).
- Autenticação multifator (MFA): Obrigatório para acesso remoto, e-mail corporativo e sistemas de backup.
- Princípio do mínimo privilégio: Limitar os direitos de cada conta ao estritamente necessário.
- Filtragem de e-mail e web: Bloquear anexos maliciosos e domínios de phishing.
- Formação de colaboradores: Treino regular para reconhecer phishing e engenharia social.
- Deteção e resposta (EDR/XDR): Ferramentas de deteção de comportamento anómalo nos endpoints.
O que fazer em caso de ataque
| Ação imediata | Descrição |
|---|---|
| Isolar sistemas afetados | Desligar da rede (sem desligar o equipamento) para evitar propagação |
| Alertar a equipa de segurança / CSIRT | Ativar o plano de resposta a incidentes |
| Notificar as autoridades | CNCS, CNPD (se dados pessoais envolvidos), Polícia Judiciária |
| Não pagar o resgate (preferencialmente) | O pagamento não garante recuperação e financia os atacantes |
| Verificar backups | Avaliar se existem cópias limpas e recentes para restauro |
| Recolher evidências forenses | Preservar logs, imagens de memória e disco antes de qualquer ação |
Recursos úteis
- CNCS — Centro Nacional de Cibersegurança — alertas e orientações nacionais
- No More Ransom — desencriptadores gratuitos para muitas variantes
- ENISA — Ransomware — relatórios e guias europeus
- CISA StopRansomware — alertas e guias de mitigação por grupo
- UNCT — Unidade Nacional de Combate ao Cibercrime