Ransomware continua sendo uma das ameaças mais destrutivas do cenário de cibersegurança brasileiro. Quando um ataque criptografa os arquivos de uma organização ou usuário, a diferença entre a recuperação total e o pagamento do resgate costuma estar na qualidade do backup. O problema é que muitos backups falham exatamente quando mais se precisa deles: estão conectados à rede infectada, não possuem versionamento adequado ou podem ser modificados pelo próprio malware. Este artigo analisa, de forma preventiva e prática, como construir uma estratégia de backup que realmente resista a um ataque de ransomware.
Por que backups convencionais falham contra ransomware
A maioria das estratégias de backup foi desenhada para proteger contra falhas de hardware, exclusão acidental ou desastres físicos. Ransomware, porém, é um adversário ativo que busca deliberadamente destruir cópias de segurança antes de criptografar os dados principais. O malware varre unidades de rede mapeadas, discos externos conectados e até repositórios em nuvem acessíveis pelas credenciais comprometidas da vítima. Se o backup está acessível a partir da máquina infectada, ele provavelmente será alcançado.
Outro ponto crítico é a ausência de detecção de anomalias. Backups incrementais que sobrescrevem a cópia anterior podem armazenar silenciosamente arquivos já criptografados, substituindo versões íntegras por dados inúteis. Quando o administrador finalmente percebe o ataque e tenta restaurar, descobre que todas as cópias estão comprometidas. Esse cenário é mais comum do que se imagina e explica por que muitas organizações que possuíam backup acabaram pagando o resgate mesmo assim.
A regra 3-2-1 como fundamento da resiliência
A regra 3-2-1 é o padrão mais citado em estratégias de backup e continua sendo relevante, desde que implementada com rigor. Ela determina que sejam mantidas pelo menos três cópias dos dados, em dois tipos diferentes de mídia, com uma cópia armazenada fora do local principal (offsite). A lógica é simples: se um desastre destruir a cópia primária e a mídia de backup local, a cópia offsite ainda estará disponível.
No contexto brasileiro, o CERT.br aborda a importância do backup como prática fundamental de segurança em seu fascículo dedicado ao tema, reforçando que a cópia de segurança deve ser parte integrante de qualquer política de proteção de dados. A regra 3-2-1, no entanto, precisa de complementos para enfrentar ransomware especificamente. A cópia offsite, por exemplo, deve ser inacessível pela rede corporativa durante o processo de backup, ou seja, o armazenamento deve permitir conexão apenas em janelas temporárias e controladas, não uma montagem permanente.
Imutabilidade: a barreira definitiva contra criptografia
Imutabilidade é a propriedade que impede que um dado armazenado seja modificado ou excluído durante um período determinado, mesmo por administradores com privilégios elevados. Essa é, atualmente, a defesa mais robusta contra ransomware em cópias de segurança. Quando um backup é marcado como imutável, o malware não consegue sobrescrevê-lo nem apagá-lo, preservando uma versão íntegra dos dados para restauração.
Existem duas abordagens principais para imutabilidade. A primeira é a imutabilidade baseada em software, onde a própria solução de backup bloqueia operações de escrita sobre cópias já finalizadas. A segunda, mais confiável, é a imutabilidade baseada em hardware ou objeto, como o bloqueio de retenção (Object Lock) em armazenamentos compatíveis com S3, que impede a exclusão no nível do sistema de armazenamento. O período de retenção imutável deve ser alinhado ao RTO (Recovery Time Objective) da organização, garantindo que sempre haja uma cópia protegida dentro da janela de recuperação necessária.
Backup offline e isolamento de ar
O conceito de backup offline, também chamado de air-gapped quando o isolamento é físico, consiste em manter cópias de segurança completamente desconectadas da rede durante a maior parte do tempo. Um exemplo prático é um disco rígido externo que é conectado apenas durante a janela de backup e desconectado imediatamente após a conclusão. Sem conexão de rede, o ransomware simplesmente não tem como alcançar essa cópia.
Em ambientes corporativos, o isolamento pode ser implementado com vaults de fita magnética, bibliotecas de fita desconectadas da rede ou até soluções de nuvem com conectividade restrita via VPN site-to-site que é encerrada fora da janela de backup. O ponto central é que a cópia não deve ser montada como um volume acessível pelas estações de trabalho ou servidores de produção. Qualquer caminho de rede entre a infraestrutura de produção e o armazenamento de backup representa um vetor potencial de ataque que o ransomware pode explorar.
Versionamento e retenção adequados
O versionamento de backups permite manter múltiplas versões de um mesmo arquivo ao longo do tempo, em vez de sobrescrever a cópia anterior a cada execução. Essa prática é essencial contra ransomware porque o ataque pode permanecer ativo por horas ou até dias antes de ser detectado. Se o backup sobrescreve a cópia anterior diariamente, e o ransomware está criptografando arquivos há dois dias sem detecção, ambas as cópias estarão comprometidas.
Uma política de retenção bem definida estabelece quantas versões de cada arquivo são mantidas e por quanto tempo. Para proteção contra ransomware, recomenda-se manter versões diárias por pelo menos 30 dias, semanais por 12 semanas e mensais por 12 meses. Essa profundidade de retenção garante que, mesmo que o ataque passe despercebido por semanas, haverá uma versão íntegra anterior à infecção disponível para restauração. Soluções modernas de backup oferecem retenção baseada em políticas (GFS — Grandfather-Father-Son) que automatizam esse escalonamento.
Testes de restauração: validar antes do desastre
Um backup que nunca foi testado é apenas uma promessa. Testes regulares de restauração são indispensáveis para confirmar que as cópias estão íntegras, completas e podem ser recuperadas dentro do tempo esperado. Muitas organizações descobrem, durante uma crise real, que seus backups possuem arquivos corrompidos, dependem de softwares descontinuados ou levam muito mais tempo para restaurar do que o planejado.
O teste deve simular condições reais: restaurar em hardware diferente do original, verificar a integridade dos dados restaurados e medir o tempo efetivo de recuperação. Esses exercícios devem ser documentados e seus resultados usados para ajustar a estratégia de backup. O CERT.br enfatiza em sua cartilha que o backup só tem valor se puder ser efetivamente restaurado quando necessário, recomendando que os testes sejam parte da rotina de segurança da informação e não uma atividade eventual.
Boas práticas complementares de proteção
O backup seguro não opera em isolamento. Ele é a última linha de defesa, mas deve ser apoiado por camadas anteriores que reduzem a probabilidade de o ataque atingir os dados. Autenticação multifator (MFA) nas contas de administrador de backup, por exemplo, impede que um atacante comprometa as credenciais e delete as cópias remotamente. O CERT.br dedica fascículos específicos à autenticação em duas etapas e ao gerenciamento de contas e senhas, reconhecendo essas medidas como bloqueios fundamentais contra o acesso não autorizado.
Segmentação de rede, principio do menor privilégio, monitoramento de atividades anômalas em compartilhamentos de rede e atualização regular de sistemas também são camadas que diminuem a superfície de ataque. Quando o ransomware encontra múltiplas barreiras antes de alcançar os dados, a probabilidade de que o backup precise ser acionado diminui significativamente. E quando precisa, ele está preparado para cumprir seu papel.
Verificação periódica da integridade das cópias
Além dos testes de restauração, é importante verificar periodicamente a integridade dos dados armazenados sem necessariamente restaurá-los por completo. Essa verificação pode incluir a validação de checksums, a conferência de metadados de backup (como data, tamanho e quantidade de arquivos) e a análise de logs da solução de backup em busca de erros silenciosos. Backups corrompidos que não geram alertas são um risco oculto que só se manifesta no momento crítico.
Algumas soluções avançadas oferecem verificação proativa, na qual o próprio sistema de backup realiza periodicamente uma validação interna dos dados armazenados e gera alertas automaticamente quando detecta inconsistências. Independentemente da automação disponível, o administrador de segurança deve revisar os relatórios de backup com frequência, não apenas para confirmar que o job foi executado, mas para garantir que foi concluído sem erros e que o volume de dados processado está dentro do esperado. Quedas súbitas no volume de backup podem indicar que o malware já está interferindo nos dados de origem.
Checklist de implementação para proteção contra ransomware
A tabela abaixo sintetiza os pontos-chave que devem ser verificados ao implementar ou auditar uma estratégia de backup voltada à resistência contra ransomware. Cada item representa uma camada de proteção que, combinada às demais, forma uma defesa robusta e coerente.
| Item de Verificação | Descrição | Prioridade |
|---|---|---|
| Regra 3-2-1 implementada | Três cópias, duas mídias distintas, uma offsite | Crítica |
| Imutabilidade ativa | Retenção imutável configurada no armazenamento de backup | Crítica |
| Isolamento de rede | Cópia offsite não acessível pela rede de produção fora da janela de backup | Alta |
| Versionamento profundo | Retenção GFS com pelo menos 30 dias de versões diárias | Alta |
| MFA em contas de backup | Autenticação multifator para acesso à solução e ao repositório | Alta |
| Testes de restauração | Restaurações simuladas com frequência mínima trimestral | Crítica |
| Monitoramento de anomalias | Alertas para variações anormais de volume ou falhas repetidas | Média |
| Documentação da política | Procedimento escrito e acessível para execução de restauração de emergência | Média |
Perguntas frequentes sobre backup seguro contra ransomware
Um backup em nuvem já é suficiente para se proteger de ransomware?
Não necessariamente. Se o backup em nuvem está sincronizado continuamente e acessível a partir da máquina infectada, o ransomware pode criptografar ou deletar os dados remotos. O que confere proteção não é o fato de estar na nuvem, mas sim a configuração de imutabilidade, retenção adequada e isolamento de acesso ao repositório.
Com que frequência devo testar a restauração do backup?
O recomendado é realizar testes de restauração completos pelo menos a cada trimestre, e testes parciais de forma mais frequente, como mensalmente. Cada teste deve ser documentado, com registro do tempo de restauração, dos problemas encontrados e das correções aplicadas.
O que é retenção imutável e por que é tão importante?
Retenção imutável é um bloqueio que impede a modificação ou exclusão de dados de backup durante um período configurado, mesmo por administradores. É importante porque impede que o ransomware sobrescreva ou apague as cópias de segurança, garantindo que haja sempre uma versão íntegra disponível para restauração.
Backup offline ainda faz sentido na era da nuvem?
Sim, e é uma das defesas mais eficazes. Um backup fisicamente desconectado da rede não pode ser alcançado por malware que opera via rede. Discos externos desconectados após o backup, fitas magnéticas armazenadas em cofre ou vaults de nuvem com conectividade temporária são exemplos de backup offline que complementam soluções contínuas baseadas em nuvem.
Como sei se meu backup atual resistiria a um ataque de ransomware?
Verifique se sua estratégia atende aos critérios: a cópia está isolada da rede de produção, possui imutabilidade ativa, mantém versionamento com profundidade suficiente e já foi testada em uma restauração real. Se algum desses pontos falha, há uma lacuna que pode ser explorada pelo ransomware.
Fontes
[1] CERT.br — Fascículos da Cartilha de Segurança para Internet
[2] Governo Digital — CERT.br — Backup e práticas de segurança
[3] Iperius Backup — Backup 3-2-1, Imutabilidade e Segurança Total contra Ransomware