AtalaiaSec Pedir proposta
← Blog

Ransomware em 2026: como PMEs são atacadas

William ·

O ransomware deixou de ser um problema de grandes corporações. Em 2026, PMEs são o alvo preferido dos grupos criminosos — e a razão é simples: têm dados valiosos, defesas fracas e, muitas vezes, pagam.

O cenário atual do ransomware

Grupos como LockBit, Akira e Black Basta operam como empresas. Têm suporte técnico, painel de negociação, até atendimento ao "cliente". Eles compram acesso a redes de PMEs em fóruns criminosos por algumas centenas de dólares e devolvem o investimento com extorsão.

O modelo RaaS (Ransomware-as-a-Service) significa que qualquer criminoso pode alugar a ferramenta. Não precisa saber programar. Precisa de credenciais vazadas — e essas circulam livremente.

Como PMEs são atacadas

O ataque típico segue estes passos:

  1. Acesso inicial — credenciais vazadas em brechas anteriores, RDP exposto na internet, ou um e-mail de phishing bem feito. Investimento do atacante: $0 a $50.
  2. Movimento lateral — o atacante instala ferramentas como Cobalt Strike para se mover pela rede, mapeando servidores de arquivos, backups e sistemas críticos.
  3. Destruição de backups — antes de cifrar, o atacante apaga ou corrompe os backups. Sem backup, a vítima não tem negociação.
  4. Exfiltração — copia dados sensíveis para um servidor externo. Isso permite a "dupla extorsão": paga para descriptografar OU paga para não ter dados vazados.
  5. Cifragem — todos os arquivos são cifrados de uma vez, tipicamente numa madrugada de sábado para domingo.

Do primeiro acesso à cifragem final, passam-se em média 5 a 11 dias. Durante esse período, o atacante está dentro da rede e quase ninguém percebe.

Por que backup não é suficiente

"Tenho backup, estou seguro." Não.

O atacante moderno sabe que o backup existe. Ele procura ativamente por: - Backups em rede acessíveis - Snapshots de VMs não protegidos - Servidores de backup com credenciais fracas

Se o atacante chega ao backup antes de cifrar, você perde tudo. Backup offline (air-gapped) ajuda, mas a maioria das PMEs tem backup conectado à rede principal.

As 5 portas que ransomware usa

  1. RDP exposto — Remote Desktop não deve estar na internet. Use VPN.
  2. Credenciais vazadas — 80% dos ataques usam senhas vazadas em breaches anteriores. Verifique em haveibeenpwned.com.
  3. Phishing direcionado — e-mails impersonando fornecedores conhecidos da empresa.
  4. Supply chain — atacante entra pelo software de um fornecedor que já tem acesso à sua rede.
  5. Exploits em servidores não corrigidos — CVEs publicados há meses que nunca foram corrigidos.

Como um SOC detecta antes do pior

Um SOC opera 24/7 monitorando sinais de que algo está errado:

  • Logons fora de horário — um usuário acessando o servidor às 3h da manhã
  • Múltiplos logons falhados — tentativa de brute force
  • Criação de contas novas — o atacante criando backdoors
  • Volume anormal de cópia de arquivos — exfiltração em andamento
  • Ferramentas suspeitas — Cobalt Strike, PsExec, qualquer coisa fora do padrão

O ponto crítico é: esses sinais aparecem dias antes da cifragem. Se ninguém vê os logs, o atacante opera livremente. Se um SOC monitora, o ataque é detectado e contido na fase de movimento lateral — antes de qualquer dado ser cifrado ou vazado.

A questão do pagamento

O Conselho de Segurança da ONU, o FBI e a ANPD recomendam não pagar. Mas quando a empresa está parada, com funcionários sem trabalhar e clientes indo embora, a pressão é enorme.

Pagar não garante: - Que os dados serão descriptografados (33% dos casos não funcionam) - Que os dados vazados serão apagados - Que não haverá um segundo ataque (grupos vendem a lista de "pagadores")

Perguntas frequentes

PME pequena não é alvo de ransomware, certo? Errado. PMEs são o alvo preferido em 2026 porque têm menos defesas e pressão maior para pagar.

Antivírus protege contra ransomware? Antivírus tradicional detecta variantes conhecidas. Ransomware moderno usa técnicas que mudam a cada ataque. EDR detecta por comportamento, não por assinatura.

Quanto custa implementar um SOC? Com stack open-source (Wazuh + TheHive + Cortex), o custo principal é a equipe. Um SOC gerido (SOCaaS) para PME começa em torno de R$ 3.000 a R$ 8.000 por mês.

E se já fomos atacados? Isole os sistemas afetados da rede imediatamente. Não desligue os servidores (pode destruir evidências em RAM). Contate um especialista em resposta a incidentes. Documente tudo para a ANPD se aplicável.