Destaques PME Ransomware

Ransomware em Portugal: O que É, Como Funciona e Como Se Proteger

2 semanas ago
Ciberseguranca.PT

O ransomware é hoje a ciberameaça com maior impacto financeiro e operacional para organizações em todo o mundo — e Portugal não é exceção. Hospitais, câmaras municipais, empresas de logística e PMEs têm sido alvo de ataques que paralisam operações durante dias ou semanas. Este guia explica o que é o ransomware, como funciona e, mais importante, como se proteger.

O que é ransomware?

Ransomware é um tipo de software malicioso (malware) que encripta os ficheiros da vítima, tornando-os inacessíveis, e exige o pagamento de um resgate — geralmente em criptomoeda — para fornecer a chave de desencriptação. O nome combina “ransom” (resgate em inglês) com “software”.

Os grupos de ransomware modernos evoluíram para modelos de negócio sofisticados. Muitos operam em modelo de “Ransomware-as-a-Service” (RaaS), onde os criadores do malware licenciam o seu software a afiliados que realizam os ataques e partilham as receitas. É um ecossistema criminoso com divisão de trabalho, suporte técnico e até negociadores profissionais.

Como funciona um ataque de ransomware

Um ataque típico de ransomware segue um padrão relativamente previsível:

  1. Acesso inicial: o atacante entra na rede através de phishing, exploração de vulnerabilidades em sistemas expostos (VPNs, RDP, firewalls) ou através de credenciais roubadas.
  2. Movimentação lateral: uma vez dentro, o atacante move-se silenciosamente pela rede, escalando privilégios e identificando os sistemas mais valiosos. Esta fase pode durar dias ou semanas.
  3. Exfiltração de dados: na maioria dos ataques modernos, os dados são roubados antes de serem encriptados — a chamada “dupla extorsão”.
  4. Encriptação: o malware encripta ficheiros em toda a rede, incluindo cópias de segurança acessíveis a partir da rede.
  5. Pedido de resgate: aparece uma mensagem com instruções para o pagamento e, por vezes, a ameaça de publicar os dados roubados.

Casos em Portugal

Portugal tem sido alvo de grupos de ransomware de nível internacional. Alguns casos com impacto significativo incluem ataques a hospitais do SNS, que forçaram o regresso a processos em papel; ataques a municípios, com exposição de dados de cidadãos; e ataques a empresas de média dimensão, com pedidos de resgate que variam entre dezenas de milhares e vários milhões de euros.

O CERT.PT e o CNCS emitem regularmente alertas sobre campanhas de ransomware ativas e grupos conhecidos por atacar entidades portuguesas.

Como prevenir um ataque de ransomware

A prevenção é sempre mais eficaz e mais barata do que a recuperação. As medidas com maior impacto preventivo são:

Cópias de segurança robustas

A defesa mais eficaz contra o ransomware é ter cópias de segurança que não possam ser encriptadas pelo atacante. Isso implica: cópias offline ou imutáveis (que não podem ser alteradas), seguindo a regra 3-2-1, e testando regularmente a recuperação. Se tem cópias de segurança testadas e offline, um ataque de ransomware é um problema sério mas recuperável.

Redução da superfície de ataque

  • Não exponha o RDP (Remote Desktop Protocol) diretamente à internet
  • Mantenha VPNs e firewalls atualizados — são alvos prioritários dos atacantes
  • Desative serviços e portos que não sejam necessários
  • Implemente segmentação de rede para limitar a movimentação lateral

Controlo de acessos rigoroso

  • Autenticação multifator (MFA) em todos os acessos remotos e sistemas críticos
  • Princípio do menor privilégio: os utilizadores só têm acesso ao que precisam
  • Monitorização de contas com privilégios elevados

O que fazer se for atacado

Se suspeitar que está a ser vítima de ransomware:

  1. Isole os sistemas afetados — desligue-os da rede imediatamente, mas não os desligue (preserve evidências).
  2. Não pague o resgate — o pagamento não garante a recuperação dos dados, financia o crime e pode violar sanções internacionais.
  3. Contacte o CERT.PT (cert.pt) e, se houver dados pessoais envolvidos, a CNPD.
  4. Preserve evidências — registe tudo o que observa para apoiar a investigação forense.
  5. Inicie a recuperação a partir das cópias de segurança, após garantir que a ameaça foi erradicada.

O site nomoreransom.org, iniciativa da Europol com parceiros incluindo o CERT.PT, disponibiliza gratuitamente ferramentas de desencriptação para dezenas de variantes de ransomware.

Fonte: CERT.PT, CNCS, ENISA, Europol, No More Ransom.

Related Posts

Destaques Incidentes Profissionais Vulnerabilidades & CVEs

Hacker ética acede a sistemas de transmissão da Copa do Mundo 2026 e expõe falha grave de controlo de acesso na FIFA

2 horas ago
Ciberseguranca.PT
Destaques Incidentes Profissionais Vulnerabilidades & CVEs

Nissan confirma violação de dados de colaboradores associada a ataques de dia zero contra Oracle PeopleSoft

3 horas ago
Ciberseguranca.PT
Destaques Gestores PME Profissionais Vulnerabilidades & CVEs

CVE-2025-60727: vulnerabilidade crítica no Microsoft Excel permite execução remota de código através de ficheiro malicioso

18 horas ago
Ciberseguranca.PT
Cidadãos Destaques Gestores

Google separa histórico de atividade de recomendações personalizadas: o que muda para os utilizadores

1 dia ago
Ciberseguranca.PT