Principais lições dos grandes ataques de ransomware nos últimos meses
Saiba o que aprender com os ataques de ransomware ocorridos nos últimos meses e descubra como proteger a sua empresa contra ameaças avançadas.
Os maiores ataques de ransomware de 2025 demonstraram que esta ameaça continua a ser crítica para organizações de todos os setores. Incidentes como o ataque à Change Healthcare, que comprometeu os dados de quase 190 milhões de pessoas, e o ataque à Jaguar Land Rover, que obrigou à interrupção das linhas de produção e provocou perdas na ordem das centenas de milhões de dólares, mostram que um único incidente pode afetar tanto a continuidade operacional como a confidencialidade da informação.
Para além destes casos específicos, estes ataques refletem tendências preocupantes: o acesso inicial continua a ser um ponto crítico, a persistência prolongada e a movimentação lateral permitem aos atacantes alargar o seu alcance, e o ransomware já não se limita simplesmente a encriptar sistemas. Cada vez mais, faz parte de campanhas que combinam disrupção operacional, roubo de dados e pressão através da ameaça de exposição pública. De acordo com as nossas previsões de cibersegurança para 2026, o crypto-ransomware tradicional está a tornar-se cada vez mais apenas uma ferramenta no arsenal dos atacantes, em vez de ser o objetivo final. Os ataques modernos estão mais frequentemente focados na exfiltração de informação e na extorsão, utilizando o ransomware para aumentar a pressão. Esta mudança obriga as organizações a repensar a forma como detetam, contêm e respondem a este tipo de incidentes.
Acesso inicial vulnerável e persistência fazem a diferença
Uma das principais lições de 2025 é que a maioria dos ataques começa com falhas de acesso evitáveis. Credenciais comprometidas e a ausência de autenticação multifatorial (MFA) são vetores recorrentes que permitem aos atacantes entrar na rede e movimentar-se sem serem detetados.
A implementação de MFA, a auditoria de permissões e a sensibilização dos utilizadores para ataques de phishing e tentativas de roubo de identidade são passos fundamentais para reduzir a probabilidade de um acesso inicial bem-sucedido. Além disso, a monitorização de endpoints e a correlação de eventos permitem detetar padrões de movimentação lateral, sinalizando atividades suspeitas antes de estas evoluírem para um incidente grave. Os atacantes permanecem frequentemente inativos durante dias ou semanas, o que lhes permite planear ataques mais direcionados. Identificar e neutralizar estes movimentos numa fase inicial é, por isso, essencial para conter ameaças avançadas. Embora o crypto-ransomware possa perder alguma relevância relativa em determinados contextos, continua a ser uma ferramenta comum entre os cibercriminosos, e a evolução futura destas ameaças continua a ser difícil de prever com total certeza.
O ransomware evolui da encriptação para a exfiltração e extorsão
A segunda lição centra-se na evolução do ransomware para modelos de dupla extorsão, que combinam disrupção operacional com roubo de dados e a ameaça de exposição pública. Acreditamos que o crypto-ransomware tradicional tenderá a perder relevância à medida que as organizações reforçam significativamente as suas capacidades de backup e recuperação. Atualmente, a verdadeira vantagem dos atacantes reside no roubo de informação e na ameaça de a tornar pública, chegando por vezes a envolver seguradoras para intensificar a pressão.
Para enfrentar este novo cenário, recomenda-se uma estratégia de defesa em camadas, que inclua:
- Proteção de endpoints baseada em comportamento: permite detetar atividade invulgar, isolar sistemas comprometidos e limitar a movimentação lateral dos atacantes antes que cause danos generalizados.
- Segurança no perímetro da rede: necessária para travar malware no ponto de entrada, impedindo a sua propagação para sistemas internos e o comprometimento de informação sensível.
- Gestão de identidades e controlo de acessos: reforçar a verificação de identidade através de MFA e aplicar princípios de acesso zero-trust (ZTNA) garante que, mesmo que as credenciais sejam comprometidas, os atacantes não conseguem aceder automaticamente a contas, informação sensível ou serviços críticos.
Esta abordagem integrada ajuda a limitar tanto a propagação do ataque como a perda de dados sensíveis, mitigando impactos operacionais, legais e reputacionais. O fator decisivo não está apenas na recuperação dos sistemas, mas também na capacidade de detetar e impedir a exfiltração de dados antes que a extorsão ocorra.
A evolução do ransomware para modelos baseados na exfiltração de dados e na extorsão através da exposição pública obriga a repensar a cibersegurança numa perspetiva de prevenção e preparação. Antecipar implica reforçar os mecanismos de identidade para reduzir o risco de acessos iniciais não autorizados, utilizar segurança de rede para obter visibilidade sobre o tráfego e detetar movimentos suspeitos antes que o ataque se propague, e recorrer à proteção de endpoints para identificar comportamentos anómalos e conter ameaças nas fases iniciais.
Além disso, a tendência para o roubo de dados demonstra que as organizações devem preparar-se para potenciais fugas de informação, e não apenas para ataques de encriptação. Isto inclui também a segurança da cadeia de fornecimento: escolher fornecedores que protejam igualmente os seus dados, uma vez que a informação que gerem faz parte do seu ecossistema, e aplicar controlos de segurança consistentes em todos os pontos por onde a informação circula. Antecipar estes cenários e combinar prevenção com planos de resposta a exposições indesejadas ajuda a minimizar impactos operacionais, legais e reputacionais e a garantir a continuidade das operações mesmo perante ameaças cada vez mais sofisticadas.
Saiba mais sobre como proteger a sua organização contra ransomware nas tendências de cibersegurança para 2026: https://www.watchguard.com/wgrd-solutions/security-trends/ransomware