Por que Pequenas e Médias Empresas São Alvo de Ransomware

O ransomware se tornou a ameaça cibernética mais lucrativa e destrutiva dos últimos anos — e ao contrário do que muitos gestores acreditam, as pequenas e médias empresas (PMEs) são os alvos preferidos dos criminosos, não as grandes corporações.

Segundo dados do relatório Verizon Data Breach Investigations Report 2024, mais de 60% dos ataques de ransomware registrados globalmente foram direcionados a organizações com menos de 1.000 funcionários. No Brasil, o cenário é ainda mais grave: o país figura entre os cinco mais atacados do mundo por ransomware, com crescimento superior a 40% nos incidentes contra PMEs nos últimos dois anos.

Neste artigo, você vai entender por que sua empresa está no radar dos grupos criminosos especializados em ransomware, como esses ataques funcionam na prática, quais setores são mais visados e, principalmente, quais medidas concretas podem proteger o seu negócio.

⚠️ Dado crítico: O custo médio de recuperação de um ataque de ransomware para PMEs brasileiras supera R$ 1,3 milhão, somando tempo de parada, recuperação de dados, honorários jurídicos e danos à reputação — mesmo sem o pagamento do resgate.

Sumário

1. O que é ransomware e por que evoluiu tanto
2. Por que PMEs são o alvo preferido dos criminosos
3. Como funciona um ataque de ransomware passo a passo
4. Os principais grupos e variantes de ransomware que atacam empresas
5. Quais setores são mais atacados no Brasil
6. Sinais de que sua empresa pode ser o próximo alvo
7. Como proteger sua empresa contra ransomware
8. O que fazer se sua empresa for atacada
9. Ransomware e LGPD: o risco regulatório que ninguém fala
10. Perguntas frequentes

1. O que é Ransomware e Por que Evoluiu Tanto

Ransomware é um tipo de malware (software malicioso) que, após infectar um sistema, criptografa os arquivos da vítima tornando-os completamente inacessíveis. Os criminosos então exigem o pagamento de um resgate — geralmente em criptomoeda, para dificultar o rastreamento — em troca da chave de descriptografia.

O nome vem do inglês ransom (resgate) + software. Embora os primeiros registros de ransomware datem do final dos anos 1980, foi a partir de 2013 — com o surgimento do CryptoLocker — que a ameaça se tornou um modelo de negócio criminoso altamente lucrativo.

Da extorsão simples ao Ransomware como Serviço (RaaS)

O salto qualitativo mais importante aconteceu com o surgimento do modelo RaaS (Ransomware as a Service). Nesse modelo, grupos criminosos desenvolvem e mantêm plataformas sofisticadas de ransomware e as “alugam” para afiliados — criminosos sem habilidades técnicas avançadas que realizam os ataques em troca de uma comissão sobre o resgate obtido.

O resultado foi uma democratização do crime cibernético: hoje qualquer pessoa com intenção maliciosa pode lançar um ataque de ransomware profissional contra empresas de qualquer porte, sem precisar dominar programação ou segurança ofensiva.

Grupos como LockBit, ALPHV/BlackCat, Cl0p e RansomHub operam como verdadeiras empresas criminosas, com suporte técnico, negociadores de resgate, portais de pagamento e até “políticas de atendimento ao cliente” para garantir que as vítimas consigam descriptografar os dados após o pagamento.

A dupla extorsão: o que mudou nos últimos anos

A evolução mais recente e preocupante é o modelo de dupla extorsão. Antes de criptografar os dados, os criminosos os exfiltram — fazem uma cópia para os próprios servidores. Assim, mesmo que a empresa recupere os dados via backup, os criminosos ameaçam publicar informações confidenciais na internet caso o resgate não seja pago.

Isso torna o backup, por si só, uma proteção insuficiente. A estratégia de segurança precisa evitar que o atacante sequer alcance os dados.

📖 Leia também: Como Saber se Sua Empresa Está Vulnerável a Ataques Cibernéticos — diagnóstico completo para identificar brechas antes que hackers o façam.

2. Por que PMEs São o Alvo Preferido dos Criminosos

Existe um mito persistente no mundo empresarial: “minha empresa é pequena demais para ser atacada”. Este pensamento é não apenas equivocado — ele é uma das principais razões pelas quais PMEs se tornam vítimas.

Os grupos de ransomware escolhem PMEs por uma combinação precisa de fatores que maximiza a relação entre esforço e lucro:

Têm dados e dinheiro — mas investem pouco em segurança

PMEs processam dados valiosos: informações de clientes, dados financeiros, propriedade intelectual, contratos, dados de pagamento. Ao mesmo tempo, a maioria não conta com equipes dedicadas de segurança, soluções avançadas de detecção ou planos de resposta a incidentes. Para os criminosos, isso representa a combinação ideal: recompensa alta com resistência baixa.

São parte de cadeias de fornecimento de empresas maiores

Um dos vetores de ataque mais explorados é o supply chain attack: invadir uma PME fornecedora ou prestadora de serviços para, a partir dela, acessar os sistemas de um cliente grande — que seria muito mais difícil de comprometer diretamente. Vários casos emblemáticos, incluindo o ataque à SolarWinds, seguiram essa lógica.

Possuem sistemas legados e desatualizados

O investimento em renovação tecnológica nas PMEs tende a ser postergado. Sistemas operacionais sem suporte (como Windows 7 ou versões antigas de Server), softwares sem patches de segurança e firewalls desatualizados são o playground favorito dos grupos de ransomware, que mantêm bases de dados atualizadas de vulnerabilidades conhecidas para exploração em escala.

Pagam mais frequentemente o resgate

Por não terem backups adequados ou capacidade técnica de recuperação, PMEs ficam em situação de maior desespero após um ataque e acabam pagando o resgate com mais frequência do que grandes empresas. Isso é bem documentado pelos próprios grupos criminosos, que calibram o valor do resgate ao porte estimado da vítima — geralmente entre R$ 100 mil e R$ 2 milhões para PMEs brasileiras.

Têm colaboradores menos preparados para ameaças digitais

Programas formais de treinamento em conscientização de segurança são raros nas PMEs. Colaboradores que não reconhecem um e-mail de phishing, que reutilizam senhas ou que clicam em anexos suspeitos são o vetor de entrada mais eficiente para um ataque de ransomware — e a engenharia social continua sendo a porta de entrada número um.

3. Como Funciona um Ataque de Ransomware Passo a Passo

Entender o ciclo de vida de um ataque de ransomware é fundamental para identificar onde as defesas devem ser posicionadas. A maioria dos ataques modernos segue uma sequência bem definida, frequentemente chamada de kill chain do ransomware:

Fase 1 — Acesso Inicial

O atacante obtém uma primeira entrada na rede da empresa. Os vetores mais comuns são: e-mail de phishing com anexo malicioso ou link para página falsa; credenciais comprometidas adquiridas em vazamentos anteriores (credential stuffing); exploração de vulnerabilidades em serviços expostos à internet (VPN, RDP, Exchange); e comprometimento de um fornecedor ou parceiro com acesso à rede da empresa (supply chain).

Fase 2 — Persistência e Elevação de Privilégios

Uma vez dentro da rede, o malware ou o atacante humano trabalha para garantir que o acesso não seja perdido (persistência) e para obter permissões de administrador (elevação de privilégios). Ferramentas legítimas do Windows, como PowerShell e WMI, são frequentemente usadas nessa fase — dificultando a detecção por soluções de antivírus tradicionais.

Fase 3 — Reconhecimento e Movimento Lateral

O atacante mapeia a rede interna, identifica os sistemas de maior valor (servidores de backup, controladores de domínio, sistemas ERP) e se move lateralmente de máquina em máquina. Esta fase pode durar dias ou semanas. Em muitos casos, o atacante desativa ou sabota os backups antes de ativar o ransomware.

Fase 4 — Exfiltração de Dados

No modelo de dupla extorsão, os dados mais sensíveis são copiados para servidores controlados pelos criminosos antes da criptografia. Esse passo garante poder de barganha mesmo que a empresa possua backups.

Fase 5 — Criptografia e Extorsão

O ransomware é ativado e criptografa os arquivos em toda a rede. Uma nota de resgate é exibida com instruções de pagamento. O tempo de resposta cria pressão: muitos grupos aumentam o valor do resgate a cada 24 ou 48 horas, e ameaçam publicar os dados em 72 horas.

📖 Leia também: Como Identificar e Evitar Phishing: Guia Completo para Empresas — o principal vetor de entrada do ransomware explicado em detalhes.

4. Os Principais Grupos e Variantes de Ransomware que Atacam Empresas

O ecossistema de ransomware é dinâmico — grupos surgem, são desmantelados por operações policiais e reaparecem com novos nomes. Conhecer os principais agentes de ameaça ajuda a entender os padrões de ataque e as defesas mais eficazes:

LockBit

Durante anos, o grupo mais prolífico em volume de ataques globalmente. Opera no modelo RaaS, com dezenas de afiliados ativos. Teve sua infraestrutura parcialmente desmantelada pela operação Cronos da Europol em 2024, mas continua operacional. Foco em empresas de médio porte em todos os setores.

RansomHub

Emergiu em 2024 como um dos grupos mais ativos após a desestruturação do LockBit e do ALPHV. Absorveu afiliados experientes e tem como foco específico PMEs de setores críticos como saúde, manufatura e serviços financeiros. Particularmente ativo no Brasil e América Latina.

Cl0p

Especializado em exploração de vulnerabilidades zero-day em softwares amplamente utilizados por empresas (GoAnywhere, MOVEit Transfer). Utiliza predominantemente o modelo de dupla extorsão, com foco em empresas que processam grandes volumes de dados de terceiros.

Ransomware como Serviço (RaaS) genérico

Além dos grupos nomeados, existem dezenas de plataformas RaaS de menor notoriedade que vendem acesso a ferramentas de ransomware por assinatura. A democratização dessas ferramentas significa que qualquer empresa, de qualquer porte, pode ser alvo de um atacante oportunista sem sofisticação técnica elevada.

5. Quais Setores São Mais Atacados no Brasil

Embora nenhum setor esteja imune, a frequência e o impacto dos ataques de ransomware variam significativamente entre as indústrias. No Brasil, os setores com maior incidência registrada são:

Saúde e hospitais: Combinam dados altamente sensíveis (prontuários, exames, dados de menores) com sistemas legados e pressão operacional que frequentemente impede a interrupção para manutenção de segurança. A urgência dos serviços aumenta a probabilidade de pagamento de resgate. Foi o setor mais atacado no Brasil em 2023 e 2024.

Varejo e e-commerce: Alto volume de dados de cartões e CPFs, múltiplas integrações com parceiros e gateways e temporadas de alta pressão operacional (Black Friday, Natal) que tornam qualquer interrupção extremamente custosa.

Indústria e manufatura: A convergência de TI e OT (Tecnologia Operacional) em linhas de produção conectadas cria novos vetores. Um ataque que paralisa a produção gera perdas financeiras imediatas e mensuráveis, aumentando a disposição de pagar o resgate.

Serviços financeiros e contabilidade: Escritórios contábeis e de advocacia são alvos valiosos por concentrarem dados financeiros sensíveis de múltiplos clientes — atacar um escritório contábil pode render informações de dezenas ou centenas de empresas.

Educação: Instituições de ensino privadas processam dados de menores, têm orçamentos de TI reduzidos e concentram grande volume de usuários com baixo nível de consciência de segurança.

Agronegócio: Setor em crescimento acelerado em termos de digitalização, mas com maturidade de segurança ainda incipiente. A sazonalidade das operações cria janelas de vulnerabilidade durante períodos de colheita.

📖 Leia também: Segurança da Informação no Setor de Saúde: Desafios e Soluções — como hospitais e clínicas podem se proteger de ataques cibernéticos.

6. Sinais de que Sua Empresa Pode Ser o Próximo Alvo

Grupos de ransomware realizam extensa pesquisa de OSINT (Open Source Intelligence) antes de atacar. Existem sinais que indicam que sua empresa pode estar sendo mapeada ou que já possui brechas exploráveis:

• Serviços expostos na internet sem proteção adequada: RDP (porta 3389), VPNs desatualizadas, Exchange Server com vulnerabilidades conhecidas ou painéis de administração acessíveis publicamente são rotineiramente escaneados por bots de ataque.
• Credenciais da empresa em vazamentos: Ferramentas como Have I Been Pwned permitem verificar se e-mails corporativos aparecem em listas de dados vazados. Credenciais comprometidas são ativamente compradas e utilizadas por grupos de ransomware.
• Softwares com CVEs críticos sem patch: Vulnerabilidades com CVSS Score acima de 9.0 publicadas há mais de 30 dias e ainda sem correção na sua infraestrutura são um convite aberto.
• Atividade incomum em logs: Tentativas repetidas de login falhadas, acessos em horários atípicos ou de localizações geográficas inusitadas podem indicar que um atacante já está explorando acesso.
• Fornecedores e parceiros com acesso sem controle: Integrações de sistemas com terceiros que possuem permissões excessivas e sem autenticação adequada são um vetor de supply chain frequentemente negligenciado.

7. Como Proteger Sua Empresa Contra Ransomware

A proteção eficaz contra ransomware não existe em uma única solução — ela é construída em camadas. A estratégia correta reduz a probabilidade de infecção, limita o impacto caso ela ocorra e garante a recuperação rápida sem pagamento de resgate.

Backup 3-2-1 com cópias imutáveis — a defesa mais crítica

A regra 3-2-1 é o padrão mínimo: 3 cópias dos dados, em 2 tipos de mídia diferentes, com 1 cópia offsite ou em nuvem. Para resistir ao ransomware moderno, adiciona-se um quarto requisito: pelo menos uma cópia deve ser imutável (object lock), ou seja, não pode ser modificada ou excluída nem mesmo por um administrador comprometido.

Tão importante quanto ter o backup é testá-lo regularmente. Backups não testados costumam falhar justamente quando mais são necessários.

📖 Leia também: Regra de Backup 3-2-1: Como Implementar na Sua Empresa — guia prático completo para proteger seus dados.

Autenticação Multifator (MFA) em todos os serviços críticos

A Microsoft estima que o MFA bloqueia 99,9% dos ataques automatizados de comprometimento de contas. Ative MFA prioritariamente em: e-mail corporativo, VPN, RDP, sistemas ERP/CRM, plataformas de backup em nuvem e painéis de administração. Use aplicativos autenticadores (Google Authenticator, Microsoft Authenticator) em vez de SMS, que é suscetível a ataques de SIM swapping.

📖 Leia também: O que é MFA e Por que sua Empresa Precisa Ativar Agora — tudo sobre autenticação multifator para gestores.

Gestão de patches e atualizações

Implemente um processo formal de gestão de patches com janelas regulares de atualização. Priorize CVEs com CVSS Score acima de 7.0 e patches emergenciais de fabricantes. Sistemas operacionais sem suporte (Windows 7, Server 2008) devem ser substituídos ou, se inevitável, isolados da rede principal por segmentação.

Segmentação de rede

Uma rede plana (sem segmentação) permite que um ransomware que infecta uma estação de trabalho se espalhe lateralmente para todos os servidores e sistemas da empresa em questão de minutos. A segmentação com VLANs e regras de firewall entre os segmentos limita dramaticamente o raio de explosão de um ataque.

Solução EDR (Endpoint Detection and Response)

Antivírus tradicionais baseados em assinaturas são insuficientes contra ransomware moderno, que frequentemente usa técnicas fileless (sem arquivo) e ofuscação. Soluções EDR monitoram o comportamento dos processos em tempo real, podendo identificar e bloquear atividades suspeitas características do ransomware antes da criptografia.

Treinamento de conscientização da equipe

Como o phishing é o principal vetor de entrada, o treinamento da equipe é uma das defesas mais custo-eficientes. Realize simulações de phishing trimestrais, treinamentos sobre engenharia social e atualizações sobre novas técnicas de ataque. A meta não é eliminar o erro humano — é dificultar suficientemente o ataque para que outras camadas de defesa possam agir.

Plano de Resposta a Incidentes (IRP)

Empresas sem um plano documentado de resposta perdem tempo crítico nas primeiras horas após um ataque — quando as decisões mais importantes precisam ser tomadas com clareza. O IRP deve incluir: critérios de escalada, responsáveis por cada etapa, procedimentos de isolamento, canais de comunicação interna e externa e lista de contatos de emergência (incluindo autoridades e advogados).

📖 Leia também: Plano de Resposta a Incidentes: Como Criar e Por Onde Começar — template prático para empresas de todos os portes.

8. O que Fazer se Sua Empresa For Atacada por Ransomware

As primeiras horas após a detecção de um ataque de ransomware são decisivas para minimizar os danos. Siga estas etapas em ordem:

1. Isole imediatamente os sistemas afetados: Desconecte da rede os dispositivos comprometidos para evitar propagação lateral. Se possível, desligue switches de rede dos segmentos afetados. Não desligue os servidores comprometidos — dados em memória podem ser valiosos para a investigação forense.
2. Não pague o resgate: Entre em contato com especialistas em resposta a incidentes antes de tomar qualquer decisão. O pagamento não garante recuperação dos dados, e cerca de 80% das empresas que pagam são atacadas novamente.
3. Acione sua equipe de resposta ou provedor especializado: Contate imediatamente seu provedor de segurança ou uma empresa especializada em resposta a incidentes. O tempo de resposta qualificada é crítico.
4. Preserve as evidências: Não limpe ou formate sistemas antes da coleta de evidências forenses. Logs, arquivos de malware e imagens de memória são essenciais para a investigação e podem ser exigidos pelas autoridades.
5. Notifique as autoridades: Registre boletim de ocorrência na Delegacia de Crimes Cibernéticos (ou delegacia mais próxima). Em casos envolvendo dados pessoais, notifique a ANPD conforme obrigação da LGPD.
6. Inicie a recuperação a partir de backups limpos: Restaure sistemas a partir de backups verificados como anteriores ao comprometimento. Antes de reconectar à rede, certifique-se de que o vetor de entrada foi identificado e eliminado.
7. Comunique stakeholders conforme necessário: Comunique internamente as equipes afetadas e, se dados de clientes ou parceiros foram comprometidos, notifique-os conforme os requisitos da LGPD e acordos contratuais.

9. Ransomware e LGPD: O Risco Regulatório que Ninguém Fala

Um ataque de ransomware que resulta em acesso, exfiltração ou exposição de dados pessoais não é apenas um problema técnico — é um incidente de segurança com obrigações legais no Brasil.

A LGPD (Lei Geral de Proteção de Dados — Lei nº 13.709/2018) impõe às empresas a obrigação de adotar medidas de segurança técnicas e administrativas para proteger dados pessoais. Em caso de incidente de segurança relevante, a empresa deve:

• Notificar a ANPD (Autoridade Nacional de Proteção de Dados) em prazo razoável — a ANPD recomenda até 72 horas após a ciência do incidente;
• Notificar os titulares dos dados afetados, especialmente quando o incidente puder causar dano relevante;
• Manter registro documentado de todos os incidentes e das medidas adotadas.

O descumprimento dessas obrigações — incluindo a omissão de um ataque de ransomware que resultou em vazamento de dados pessoais — sujeita a empresa a multas de até 2% do faturamento bruto anual no Brasil, limitado a R$ 50 milhões por infração, além de sanções como bloqueio de dados e suspensão de atividades de tratamento.

Além das sanções administrativas, empresas que não demonstrarem ter adotado medidas razoáveis de segurança ficam expostas a ações cíveis por parte dos titulares de dados afetados.

10. Perguntas Frequentes sobre Ransomware em Empresas

Por que pequenas empresas são alvos de ransomware?

Pequenas e médias empresas combinam três fatores que as tornam alvos atraentes: possuem dados e recursos financeiros de valor, investem menos em segurança cibernética do que grandes corporações e frequentemente carecem de equipes especializadas de TI. Para os criminosos, isso representa alta recompensa com baixa resistência — exatamente o que maximiza o retorno sobre o investimento criminoso.

Como funciona um ataque de ransomware?

Um ataque de ransomware moderno ocorre em cinco fases principais: (1) acesso inicial por phishing, credenciais comprometidas ou exploração de vulnerabilidades; (2) persistência e elevação de privilégios; (3) movimento lateral e reconhecimento da rede; (4) exfiltração de dados para extorsão adicional; (5) criptografia dos arquivos e exigência de resgate. O tempo entre a infecção inicial e a criptografia pode variar de horas a semanas.

Devo pagar o resgate em caso de ataque de ransomware?

A recomendação das autoridades de segurança — incluindo o FBI e a ANPD — é não pagar o resgate. O pagamento não garante a recuperação dos dados: apenas 8% das empresas que pagam conseguem restaurar todos os arquivos. Além disso, o pagamento financia grupos criminosos, pode violar regulações de sanções internacionais e coloca a empresa em listas de “pagadores”, aumentando o risco de novos ataques.

Qual a melhor proteção contra ransomware para PMEs?

A proteção mais eficaz combina: backup 3-2-1 com cópias imutáveis e offline, autenticação multifator em todos os serviços críticos, gestão proativa de patches, segmentação de rede, solução EDR nos endpoints e treinamento regular da equipe. Nenhuma medida isolada é suficiente — a defesa em profundidade, com múltiplas camadas de controle, é o modelo correto para PMEs.

Ransomware obriga notificação pela LGPD?

Sim, quando envolve dados pessoais. Se o ataque resultar em acesso ou exposição de dados pessoais, a empresa é obrigada a notificar a ANPD e os titulares afetados. A ANPD recomenda a notificação em até 72 horas após a ciência do incidente. O descumprimento pode resultar em multas de até 2% do faturamento bruto anual no Brasil.

Conclusão

O ransomware não é mais uma ameaça exclusiva de grandes corporações ou infraestruturas críticas. Pequenas e médias empresas estão no centro do ecossistema criminoso moderno, e a combinação de dados valiosos com defesas precárias as torna o alvo de menor resistência para grupos cada vez mais profissionalizados.

A boa notícia é que a proteção eficaz está ao alcance de empresas de todos os portes. As medidas descritas neste artigo — backup 3-2-1 imutável, MFA, gestão de patches, segmentação de rede, EDR e treinamento da equipe — eliminam a esmagadora maioria dos vetores de ataque utilizados contra PMEs. Você não precisa de um orçamento de segurança de grande empresa para se proteger adequadamente.

O primeiro passo é conhecer a sua exposição real. A InfoB realiza diagnósticos de cibersegurança para PMEs, identificando vulnerabilidades concretas e priorizando as ações de maior impacto para o seu contexto. Entre em contato com nossos especialistas para saber como começar.

Fontes

→ https://haveibeenpwned.com (citado na Seção 6 — sinais de alerta)
→ https://www.anpd.gov.br (Seção 9 — LGPD/notificação)