Empresas brasileiras registraram mais de 3.600 ataques de ransomware no primeiro semestre de 2025, e a falsa sensação de segurança criada por backups isolados tornou-se um dos fatores que elevam o custo médio de recuperação. Especialistas alertam que repositórios de backup são hoje o primeiro alvo dos grupos criminosos.

A ilusão do backup seguro

A pergunta que orienta gestores de TI desde a escalada dos sequestros digitais — “backup é suficiente para se recuperar de um ataque de ransomware?” — tem resposta desconfortável. Apenas manter cópias de arquivos, sem isolamento, imutabilidade ou testes de restauração, oferece proteção ilusória diante de grupos que já aprenderam a localizar e destruir repositórios antes mesmo de disparar a criptografia.

O cenário brasileiro reforça a urgência. O país registrou aumento de 25% nos ataques de ransomware no primeiro semestre de 2025, ultrapassando 3.600 incidentes confirmados, e ocupa a terceira posição no ranking mundial de vítimas, atrás apenas de Índia e Estados Unidos. Em paralelo, apenas 28% das organizações afetadas pagaram resgate — a menor taxa da história —, o que indica que empresas tentam recuperar dados por conta própria e, em muitos casos, descobrem tarde demais que o backup também foi comprometido.

Como o ransomware caça backups

As operações modernas de ransomware não se limitam a criptografar arquivos em estações de trabalho. Antes de acionar o payload, os atacantes passam dias ou semanas dentro da rede realizando reconhecimento, movimentação lateral e, sobretudo, caça ativa a servidores de backup. Soluções populares como Veeam, Cobian, Acronis e Synology tornaram-se alvos prioritários.

O guia #StopRansomware da CISA é explícito: a maioria dos atores de ransomware tenta localizar e, em seguida, deletar backups disponíveis na rede. A agência norte-americana recomenda manter cópias offline, criptografadas e testadas com frequência — orientação que a maior parte das companhias brasileiras ainda negligencia.

LockBit e BlackCat evoluem

Duas famílias de ransomware ilustram a sofisticação do ataque a backups. O BlackCat (ALPHV), escrito em Rust e operado sob modelo de afiliação, rouba credenciais de servidores Veeam e as utiliza para escalar privilégios, acessar repositórios remotos e apagar imagens antes que administradores percebam a invasão. Relatórios da Unit 42, da Palo Alto Networks, detalham como o grupo utiliza ferramentas legítimas — como PsExec, Cobalt Strike e AnyDesk — para neutralizar defesas e silenciar alertas.

O LockBit, mesmo após a Operação Cronos conduzida pela Polícia do Reino Unido em fevereiro de 2024, ressurgiu em variantes como LockBit 4.0. Casos documentados pela Ontrack mostram ataques em que a gangue conseguiu criptografar não apenas o ambiente de produção, mas também o servidor Veeam e seus repositórios conectados — inviabilizando a recuperação por Snapshot ou Volume Shadow Copy, previamente destruídos.

As táticas seguem um padrão: execução de vssadmin delete shadows, limpeza de logs do Windows, desativação de antivírus e comprometimento de contas de serviço com privilégios elevados. Quando o backup compartilha domínio, credenciais ou conectividade com a rede atacada, ele é parte do alvo — não da solução.

Brasil no centro do problema

O Brasil respondeu por 1,8% dos ataques globais de ransomware em março de 2026, segundo dados consolidados pela Kaspersky. A Fortinet, no Cenário Global de Ameaças, contabilizou 753,8 bilhões de tentativas de ataques cibernéticos no país em 2025 — recorde histórico. Setores de saúde, manufatura e varejo lideram as vítimas, exatamente os segmentos em que a indisponibilidade de sistemas gera danos imediatos à segurança pública e à cadeia de suprimentos.

Ataques recentes descritos pelo portal Ciberseguranca.org mostram que o vetor de entrada migrou de e-mails de phishing para extensões falsas de navegador, softwares piratas e credenciais vazadas — incluindo o vazamento de 24 bilhões de credenciais registrado em junho de 2026. Cada uma dessas portas pode conduzir, em poucas horas, ao núcleo de backup da organização.

A regra 3-2-1 em xeque

A estratégia 3-2-1 — manter três cópias dos dados, em dois meios diferentes, com uma fora do ambiente principal — continua sendo o ponto de partida recomendado pela própria CISA. O problema é que, isolada, ela deixou de bastar. A regra nasceu nos anos 2000, quando os atacantes não permaneciam em redes por dias seguidos nem dispunham de ferramentas para roubar credenciais de servidores de backup.

A versão contemporânea evoluiu para 3-2-1-1-0: três cópias, dois meios, uma fora do site, uma imutável (offline ou air-gapped) e zero erros de restauração verificados em testes periódicos. O conceito de imutabilidade é decisivo: backups gravados em storage com bloqueio WORM (Write Once, Read Many) ou em fitas físicas desconectadas não podem ser sobrescritos nem apagados, mesmo que o atacante obtenha credenciais de administrador.

Defesa em profundidade

Recuperar-se de ransomware exige mais do que cópia de arquivos. Defesa em profundidade significa combinar segmentação de rede, MFA em todos os acessos remotos, monitoramento contínuo com EDR/XDR, segregação de contas de serviço dedicadas ao backup e cultura de segurança consolidada em toda a organização.

  • Segmentação: o servidor de backup deve residir em VLAN isolada, sem confiança com o domínio de produção.
  • Imutabilidade: ao menos uma cópia deve ser inalterável, seja em fita LTO offline ou em storage com WORM.
  • Testes de restauração: simular a recuperação de um servidor crítico a cada 30 dias — não apenas verificar se o backup foi gerado.
  • Monitoramento: alertas em tempo real para exclusão de Volume Shadow Copies, acesso fora de horário a repositórios e alterações em contas de serviço.
  • Plano de resposta: runbook documentado com contatos, prioridades de restauração e comunicação com a ANPD e a Polícia Federal.

A pergunta original — se o backup é suficiente — encontra resposta na prática dos últimos dois anos. Ele é necessário, porém insuficiente. Em um cenário em que LockBit, BlackCat, Akira e Black Basta tratam o backup como primeira vítima, a recuperação bem-sucedida depende menos da existência de cópias e mais da arquitetura que as protege. Empresas que ainda apostam em um repositório único, conectado à rede de produção, descobrirão tarde demais que pagaram por uma ilusão de segurança.