Ransomware em 2025: A Ameaça Que Não Para de Evoluir

Em meus 34 anos à frente da NESS, raramente vi uma ameaça evoluir tão rapidamente quanto o ransomware. O que começou como ataques oportunistas nos anos 2000 transformou-se em operações criminosas altamente sofisticadas, com modelos de negócio que rivalizam empresas legítimas.

Como CISO da IONIC Health e com experiência em múltiplos setores críticos, testemunho diariamente o impacto devastador que essas ameaças causam. Mas também observo padrões, aprendizados e, mais importante, oportunidades de defesa efetiva. No setor de saúde, onde a IONIC Health atua, a segurança de dados é especialmente crítica devido à sensibilidade das informações e às regulamentações rigorosas como HIPAA e LGPD.

O Cenário Atual

O ransomware de 2025 pouco se parece com aquele de uma década atrás. Hoje enfrentamos:

Ransomware-as-a-Service (RaaS)
Grupos criminosos operam como startups, oferecendo "franquias" de ransomware. Afiliados compram acesso às ferramentas, executam ataques e dividem lucros com desenvolvedores. É industrialização do crime digital.

Dupla e Tripla Extorsão
Não basta mais criptografar dados. Criminosos agora:

1. Criptografam sistemas
2. Exfiltram dados sensíveis (ameaçando vazamento)
3. Atacam clientes/parceiros da vítima
4. Lançam ataques DDoS durante negociação

Ataques Altamente Direcionados
Reconnaissance extensivo precede ataques. Criminosos estudam:

• Estrutura organizacional
• Fluxos financeiros
• Backup strategies
• Calendários corporativos (atacam em feriados/fins de semana)

Um Caso Real (Anonimizado)

Recentemente, durante uma consultoria forense através da forense.io, investigamos um ataque que exemplifica essa sofisticação.

Empresa de médio porte, setor financeiro, boa postura de segurança. Ou assim pensavam.

O atacante passou 45 dias em reconnaissance silencioso antes de acionar o ransomware. Durante esse período:

• Mapeou toda rede
• Identificou backups
• Comprometeu credenciais administrativas
• Exfiltrou 2TB de dados sensíveis
• Sabotou sistemas de backup

Quando acionaram a criptografia (sexta, 23h), era tarde demais. E tinham prova de exfiltração de dados de clientes.

Resultado: Empresa pagou resgate + enfrentou multas regulatórias + perda de reputação.

Por Que Continuam Vencendo?

1. Assimetria de Recursos
Grupos criminosos investem milhões em infraestrutura e desenvolvimento. Empresas médias raramente conseguem igualar esse investimento em defesa.

2. Cadeia de Suprimentos
Atacar um fornecedor pequeno para alcançar clientes grandes é mais eficiente que atacar diretamente alvos bem defendidos.

3. Fator Humano
Phishing continua sendo vetor #1. E-mails sofisticados, personalizados, timing perfeito. Difícil defender.

4. Criptomoedas
Pagamentos anônimos facilitam operação e dificultam rastreamento.

Estratégias de Defesa Efetivas

Aos 60 anos, aprendi que segurança absoluta não existe. Mas resiliência sim. Aqui está o que funciona:

1. Segmentação Radical de Rede

Não apenas VLANs. Micro-segmentação real:

• Zero Trust entre segmentos
• Least privilege sempre
• Monitoramento de lateral movement

2. Backup Imutável e Testado

Imutável: Backups que não podem ser alterados/deletados mesmo com credenciais admin Testado: Recovery drill mensal, não anual

Regra 3-2-1-1:

• 3 cópias
• 2 mídias diferentes
• 1 offsite
• 1 offline/air-gapped

3. EDR + Human Threat Hunting

EDR (Endpoint Detection Response) é essencial. Mas algoritmos não bastam. Ter analistas experientes fazendo threat hunting proativo é diferencial.

4. Treinamento Contínuo

Não aquele "clique aqui anualmente". Simulações realistas, frequentes, com feedback imediato.

5. Plano de Resposta a Incidentes

Não se faz playbook durante incêndio. Ter:

• Equipe definida (interna + externa)
• Runbooks testados
• Comunicação pré-estabelecida
• Decisores autorizados

Organizações que precisam de suporte especializado em segurança operacional e resposta a incidentes podem contar com serviços como os oferecidos pela NESS, que há mais de 34 anos desenvolve soluções de segurança da informação para empresas de todos os portes.

E Se Acontecer Comigo?

Não pague imediatamente. Sei que pressão é enorme, mas:

1. Contenha: Isole sistemas infectados
2. Avalie: Que dados foram comprometidos?
3. Acione Forense: Especialistas (como forense.io) podem:
   • Determinar vetor de entrada
   • Identificar extent do compromisso
   • Às vezes recuperar dados sem pagar
4. Notifique: ANPD (se dados pessoais), seguradoras, autoridades
5. Decida: Pagamento é último recurso, não primeiro

Como membro da Comissão de Privacidade da OAB SP, posso afirmar: há implicações legais sérias em ambas decisões (pagar ou não pagar).

O Futuro

IA está mudando o jogo - para ambos lados.

Atacantes usam IA para:

• Phishing ultra-personalizado
• Evasão de detecção
• Identificação automática de alvos lucrativos

Defensores usam IA para:

• Detecção de anomalias
• Resposta automatizada
• Threat intelligence

A corrida armamentista continua.

Reflexão Final

Como pai de duas filhas navegando o mundo digital, preocupo-me com a democratização dessas ameaças. RaaS significa que qualquer um, sem skills técnicos, pode lançar ataques devastadores.

Mas também vejo esperança. Nunca houve tanta consciência sobre cibersegurança. Nunca tivemos tantas ferramentas e frameworks. E nunca tivemos uma comunidade tão colaborativa - através de organizações como HackerOne, OWASP e ERII, compartilhamos inteligência e aprendizados.

A pergunta não é "se" você será atacado, mas "quando". E quando acontecer, sua preparação fará toda diferença.

Com mais de três décadas de experiência em segurança da informação, a NESS tem ajudado organizações a construir programas efetivos de segurança operacional, preparando-as para enfrentar ameaças modernas como ransomware com resiliência e eficiência.

Recursos Adicionais

• CISA Ransomware Guide
• No More Ransom Project
• OWASP Ransomware Prevention

---

E você? Sua organização está preparada para um ataque de ransomware? Quais estratégias têm funcionado no seu contexto?

Adoraria ouvir suas experiências e trocar insights. Conecte-se comigo no LinkedIn para continuarmos essa conversa.

---

Ricardo Esper é CEO da NESS Processos e Tecnologia (desde 1991), CISO da IONIC Health, e CEO da forense.io. Certificado CCISO e CEHIv8, é membro ativo de HackerOne, OWASP e da Comissão de Privacidade de Dados da OAB SP.