Ir para o conteúdo
Menu Menu Menu

Logo NIC.br Logo CERT.br

Ransomware: Como se Proteger

Autor: CERT.br
Versão: 1.0 — 28 de julho de 2025

Veja também

Ransomware: Como Acontece

Ransomware: Como Detectar

Ransomware: Como Responder

Folheto para download

Sumário

Introdução

Dada a descoberta frequente de novas vulnerabilidades e a complexidade dos sistemas e redes, é preciso adotar uma estratégia de defesa em camadas, com múltiplas medidas de segurança que se complementem. Desta forma, caso não seja possível evitar o Acesso Inicial, outras medidas existem para retardar o ataque, limitar o impacto e aumentar a resiliência operacional da empresa.

Algumas medidas essenciais, também ilustradas no Infográfico "Ransomware: Como se proteger", são discutidas a seguir.

Infográfico Ransomware: Como se proteger
Infográfico Ransomware: Como se proteger

Ícone MFA 1. Usar Autenticação Multifator (MFA)

A autenticação multifator ajuda a evitar o acesso indevido por meio de credenciais comprometidas. É fundamental para prevenir o Acesso Inicial e pode ser empregada também contra Movimentação Lateral.

  • Adote MFA, em especial, para:
    • acesso remoto à rede, como VPN e desktop remoto;
    • serviços acessíveis via Web e serviços em nuvem;
    • usuários com privilégios de administrador, principalmente em serviços de nuvem.
  • Sempre que possível, use mecanismos MFA resistentes a phishing.

Vale notar que as VPN SSL possuem fragilidades inerentes ao uso de navegadores web como clientes. São suscetíveis, entre outros ataques, a sequestro de token de sessão, que possibilita ao atacante contornar a MFA e ganhar acesso à rede. Assim, é importante considerar a adoção de uma solução de VPN mais robusta.

Ícone Fazer gestão de vulnerabilidades 2. Fazer gestão de vulnerabilidades

Atacantes exploram vulnerabilidades tanto em sistemas expostos na Internet para conseguir Acesso Inicial, quanto na rede interna nas fases de Escalação de Privilégios e Movimentação Lateral.

Portanto, é importante fazer gestão de vulnerabilidades de todos os sistemas usando uma estratégia de priorização baseada em risco, para corrigir as falhas ou mitigá-las, implementando medidas que reduzam a possibilidade de exploração.

  • Mantenha sistemas operacionais, aplicações e firmware de dispositivos atualizados:
    • algumas vulnerabilidades são corrigidas apenas com atualização do software para uma nova versão, e não com aplicação de correções de segurança individuais.
  • Priorize a correção de:
    • sistemas e serviços expostos na Internet, como roteadores, firewalls, VPN, proxies, servidores web e e-mail;
    • vulnerabilidades ativamente exploradas, como as listadas no catálogo CISA Known Exploited Vulnerabilities (KEV).
  • Implemente medidas de mitigação se a remediação não for possível, como em casos de sistemas legados ou sem correções disponíveis. Exemplos:
    • isolar o sistema vulnerável do restante da rede;
    • aplicar controle de acesso mais restrito;
    • ajustar configurações.

Ícone Conscientizar funcionários 3. Conscientizar funcionários

Phishing e outras técnicas de engenharia social, como ligações se passando por suporte técnico, são usadas para persuadir funcionários e terceiros a fornecer credenciais de acesso, instalar malware ou ferramenta de desktop remoto. Estão entre os principais vetores de Acesso Inicial, e podem seu usados também para Movimentação Lateral.

  • Treine funcionários e terceiros para que saibam:
    • os canais oficiais de suporte técnico e de segurança;
    • reconhecer phishing e outras comunicações suspeitas;
    • reportar potenciais problemas de segurança, como phishing, acesso indevido à conta, computador "estranho" e alertas;
    • o que é ransomware e o que fazer em caso de ataque.

Ícone Usar ferramentas de proteção 4. Usar ferramentas de proteção

Algumas ferramentas podem ajudar a prevenir, detectar e conter ameaças como phishing, malware e ataques de ransomware, sendo úteis em todas as fases do ataque. Entre elas, ferramentas de proteção para endpoints, filtros antispam e ferramentas de proteção e de monitoração de redes.

  • Instale ferramentas de proteção contra malware e phishing em estações de trabalho e servidores.
  • Se possível, use ferramentas com capacidade de detecção e resposta.
  • Adote ferramentas de proteção e de monitoração de tráfego de rede:

Ícone Fazer e proteger <i>backups</i> 5. Fazer e proteger backups

Backups costumam guardar dados importantes para as empresas. Em ataques de ransomware são duplamente visados, como fontes para exfiltração de dados e como alvos de destruição, para impedir que a empresa se recupere sem pagar o resgate.

  • Faça backups regularmente.
  • Mantenha backups offline para evitar destruição.
  • Implemente controles para evitar acessos e modificações não autorizadas.
  • Teste backups regularmente para verificar se os dados estão íntegros e a restauração é eficaz.

Nos casos em que o ataque avança até a criptografia e interrupção de operações críticas, ter backups atualizados e íntegros pode representar a única alternativa de recuperação do negócio.

Ícone Reduzir a superfície de ataque 6. Reduzir a superfície de ataque

Serviços ativos sem necessidade ou indevidamente expostos, tanto na Internet quanto na rede interna, aumentam os riscos de exploração de vulnerabilidades e de acessos não autorizados. Eliminar o que é desnecessário ajuda a prevenir Acesso Inicial, Escalação de Privilégios, Movimentação Lateral e Impacto.

  • Desative serviços não usados, tanto na Internet como na rede interna.
  • Não exponha serviços e dados desnecessariamente, como:
    • desktop remoto, por exemplo, RDP;
    • compartilhamento de rede, por exemplo, SMB;
    • armazenamento em nuvem, por exemplo, buckets e backups;
    • servidores críticos, por exemplo, controladores de domínio;
    • impressoras e outros dispositivos em rede.

Ícone Gerenciar identidades e acessos 7. Gerenciar identidades e acessos

Quanto mais privilégio uma conta tiver, maior será o impacto negativo se ela for comprometida. Além disso, contas e permissões mantidas ativas sem finalidade aumentam o risco de acesso indevido. Conceder a contas apenas os acessos essenciais e pelo tempo necessário (princípio do privilégio mínimo) limita as ações do atacante em casos de comprometimento.

  • Controle acessos com base no princípio do privilégio mínimo:
    • conceda apenas as permissões necessárias para cumprir a função, inclusive em contas de serviços, como backup e servidor web;
    • limite o número de contas com acessos privilegiados;
    • atribua adequadamente permissões de acesso a recursos, como compartilhamentos de rede e backups;
    • forneça acesso remoto somente a quem precisa.
  • Revise regularmente contas e privilégios de funcionários e terceiros:
    • desabilite as contas daqueles que não prestam mais serviços;
    • revogue permissões desnecessárias se mudarem de função.

Ícone Segmentar a rede 8. Segmentar a rede

Dividir a rede em segmentos menores e segregados limita a Movimentação Lateral e a propagação de malware. Reduz o risco de acesso indevido a sistemas críticos e dados sensíveis, ajudando a conter o ataque e a exfiltração de dados.

  • Divida a rede e separe serviços críticos, equipamentos de usuários, sistemas legados, etc.
  • Isole os segmentos e libere apenas os acessos a serviços necessários.