ActaVerum.
ENEntrar
// SECURITY · EXPLICADOR

Anatomia de um ransomware: como o ataque realmente acontece, passo a passo

Esqueça o hacker de moletom digitando furiosamente no escuro. Um ataque de ransomware moderno parece mais uma pequena empresa cumprindo metas: alguém compra o acesso, outro alguém invade, e a criptografia que paralisa tudo é o último ato de uma operação que já durava dias. Veja a sequência real, do primeiro login roubado até a nota de resgate.

Por Redação·16 jun 2026·Security

Quando uma empresa vira notícia por ter sido "atingida por um ransomware sofisticado", a palavra fora do lugar costuma ser sofisticado. Na maioria dos casos que aparecem nos relatórios de resposta a incidente, o invasor entrou por uma porta que já estava destrancada: uma VPN sem segundo fator, uma senha que vazou meses antes, um servidor sem o patch de uma falha conhecida. O ransomware em si, o programa que embaralha os arquivos, é só o final. O ataque mesmo é tudo o que vem antes. E entender essa anatomia vale a pena, porque é aí que dá pra travar o ataque, quase nunca na hora em que a tela fica vermelha.

O negócio antes do crime: RaaS e brokers de acesso

A indústria do ransomware se profissionalizou em torno de um modelo chamado RaaS (Ransomware-as-a-Service, "ransomware como serviço"). De um lado está o operador, que desenvolve e mantém o malware, o portal de pagamento, o site de vazamento e a equipe de negociação. Do outro está o affiliate, o parceiro que executa a invasão e dispara o payload. Os dois dividem o lucro, como uma franquia.¹

Tem ainda um terceiro personagem: o Initial Access Broker (IAB, "corretor de acesso inicial"). Ele invade redes e revende o acesso a quem vai aplicar o ransomware. Os anúncios chegam a especificar que a máquina não tem EDR nem antivírus e que já vem com uma credencial de Domain Admin (a conta que controla todo o domínio Windows) junto, porque isso valoriza o "produto".¹ Em alguns casos, do acesso inicial até o resgate completo, incluindo o repasse do broker para o affiliate, passa-se menos de uma hora.¹

Esse arranjo também explica por que derrubar uma gangue resolve pouco. Depois da Operation Cronos, que em 2024 desmontou a infraestrutura do LockBit, e da queda do ALPHV/BlackCat, os affiliates simplesmente se espalharam pra plataformas como RansomHub, Qilin, Akira e DragonForce.² Você tira o operador e a rede de parceiros continua de pé.

Como entram: credencial e CVE, raramente "hacking"

O vetor de entrada é menos cinematográfico do que se imagina. No DBIR 2025 da Verizon, o relatório anual que dissecou milhares de violações reais, os caminhos de acesso inicial mais comuns foram abuso de credenciais (22%), exploração de vulnerabilidade (20%) e phishing (16%).³ O dado que chama atenção: entre as vítimas de ransomware, 54% tinham credenciais já expostas em logs de infostealer antes do ataque começar.³ Infostealer é um tipo de malware que rouba senhas salvas no navegador; o login vazado vai parar à venda, e o "ataque" começa com o criminoso só fazendo login.

A Mandiant, que investiga incidentes para o Google Cloud, mediu uma distribuição parecida especificamente para intrusões de ransomware em 2024: exploit em 26%, comprometimento prévio em 21% e credenciais roubadas em 15%.⁴ A advisory pública da CISA sobre o grupo Akira ilustra o padrão: acesso principalmente por VPN sem MFA, explorando CVEs conhecidas, além de RDP exposto e phishing. A campanha associada teria afetado mais de 250 organizações e somado cerca de US$ 42 milhões em resgates até abril de 2024.⁵

Uma nota de método: alguns detalhes operacionais das advisories da CISA (a lista exata de ferramentas, o algoritmo de criptografia de cada grupo) não puderam ser confirmados a partir do documento original neste levantamento, então ficam de fora aqui. O que está acima vem das advisories conforme reproduzidas por fontes de segurança confiáveis.

Lá dentro: dias de reconhecimento, minutos de criptografia

Uma vez dentro, o ataque é human-operated: tem gente ao vivo no teclado. O invasor faz reconhecimento, vê quais ferramentas de segurança rodam, identifica os usuários privilegiados e adapta a técnica quando algo falha.¹ Por isso dois ataques do "mesmo" grupo podem parecer diferentes. A sequência típica, mapeada ao framework MITRE ATT&CK, vai mais ou menos assim:

  1. Acesso inicial: VPN sem MFA, CVE, RDP, phishing ou credencial comprada.
  2. Execução e persistência: ferramentas legítimas do próprio sistema ("living off the land", viver da terra) misturadas com malware sob medida, o que dificulta a detecção.
  3. Roubo de credencial e escalonamento: o objetivo é chegar a Domain Admin.
  4. Descoberta e movimento lateral: mapeiam a rede e se espalham, tipicamente por RDP e SMB.
  5. Evasão de defesa: desligam antivírus/EDR e apagam os backups e as shadow copies (as cópias automáticas do Windows).
  6. Exfiltração: copiam os dados antes de criptografar. Isso é a double extortion, a dupla extorsão: mesmo que você restaure tudo, eles ameaçam vazar.
  7. Impacto: disparam a criptografia, quase sempre de madrugada.

Quanto tempo isso leva? A mediana global de dwell time (o tempo que o invasor fica na rede sem ser notado) foi de 11 dias em 2024, segundo a Mandiant. Quando é o próprio atacante que avisa a vítima, que é a cara do ransomware, a nota de resgate entrega a presença e a mediana cai para 5 dias.⁶ E está encolhendo. Dados da indústria de 2023 já apontavam o disparo do ransomware em menos de 24 horas em cerca de dois terços dos casos e em menos de 5 horas em mais de 10%, com 81% dos payloads lançados fora do horário comercial.⁷ Aquela ideia de "a gente ia perceber a tempo" não para em pé diante dos números.

Sobre a criptografia em si: ela é rápida porque é híbrida. O malware gera uma chave AES (simétrica, veloz) por arquivo para embaralhar o conteúdo, e tranca cada uma dessas chaves AES com a chave pública RSA do atacante, que só ele consegue abrir.⁸ Por isso cifrar terabytes leva minutos, não horas, e por isso "achar a senha" não resolve: sem a chave privada RSA, que fica com o criminoso, não há volta. Variantes modernas usam criptografia intermitente (cifram só pedaços de cada arquivo) pra ir ainda mais rápido e escapar da detecção.⁸

Pagar ou não: o papel decisivo do backup

A taxa de pagamento despencou. A Coveware, que negocia incidentes, registrou 25% das vítimas pagando no Q4 2024, mínima histórica à época, caindo para 23% no Q3 2025.⁹ Para comparar: eram 85% no início de 2019.⁹ No Q4 2024, o resgate médio foi de US$ 553.959 e a mediana, de US$ 110.890.¹⁰ Vítimas de exfiltração pura, sem criptografia, ainda pagaram em 41% dos casos: a extorsão por dados virou a alavanca mais eficaz.¹⁰

O fator que mais muda o jogo é o backup. Segundo a Sophos, vítimas com backup comprometido enfrentaram demanda mediana de cerca de US$ 2,3 milhões contra US$ 1 milhão com backup intacto, e foram quase duas vezes mais propensas a pagar (67% contra 36%).¹¹ É exatamente por isso que os atacantes caçam o backup antes de criptografar. E pagar não garante nada: a orientação oficial do FBI lembra que algumas vítimas nunca receberam o decryptor e que parte de quem pagou foi atacada de novo.¹² Aqui o Acta Verum reporta, não aconselha: a decisão de pagar é jurídica e de negócio, não editorial.

O que a comunidade diz

Entre os profissionais de TI e segurança (r/sysadmin, r/cybersecurity, r/msp), o tom é fatalista e irritado, não de pânico. A frase que resume o clima: não é mágica, é higiene básica que faltou. O ransomware é tratado como commodity industrializada, e a frustração maior é que a maioria dos casos era prevenível, com MFA, patch e segmentação de rede.

Onde há consenso: a culpa quase sempre está nos fundamentos, e o backup imutável e testado é o herói pouco glamouroso que ninguém elogia até o dia em que ele é a única razão de você não estar negociando bitcoin às 3 da manhã. Onde a comunidade racha é em pagar ou não. Um lado diz "nunca, financia o crime e te marca como pagador". O outro, mais pragmático e geralmente de quem já viveu o incidente, lembra que é fácil falar quando não é a sua folha de pagamento parada. Um sentimento recorrente no r/sysadmin sintetiza a irritação: parem de chamar de ataque sofisticado, eles entraram por uma VPN sem MFA com uma senha que estava num dump de infostealer; o sofisticado foi o marketing da gangue, não a invasão. (São paráfrases de sentimento consensual, não citações verbatim; o crawler do Acta Verum não consegue acessar threads individuais do Reddit.)

Veredito

A lição da anatomia é prática: o ransomware é o sintoma, não a doença. A doença é visibilidade zero, dias com um invasor mexendo no Active Directory e apagando backup sem ninguém ver. Se a primeira notícia que você tem do incidente é a nota de resgate, o problema não foi a criptografia, foi a detecção e a entrada antes dela. Os três pontos onde o ataque trava são todos anteriores ao payload: MFA em tudo que dá acesso remoto, patch nas CVEs conhecidas, e backup offline, imutável e testado de restore. Nada disso é glamouroso. É justamente por isso que funciona.

Fontes

  1. Ransomware as a service: understanding the cybercrime gig economy and how to protect yourself · Microsoft Security Blog · https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/ · 2022-05-09
  2. Global law enforcement takes down ransomware group (LockBit / Operation Cronos) · Associated Press · https://www.aol.com/news/global-law-enforcement-takes-down-150840497.html · 2024
  3. 2025 Data Breach Investigations Report (DBIR) · Verizon Business · https://www.verizon.com/business/resources/reports/2025-dbir-data-breach-investigations-report.pdf · 2025
  4. M-Trends 2025 · Mandiant / Google Cloud · https://cloud.google.com/blog/topics/threat-intelligence/m-trends-2025 · 2025
  5. #StopRansomware: Akira Ransomware (AA24-109A) · CISA / FBI · https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a · 2024-04 (atualizada 2025-11)
  6. M-Trends 2025 (dwell time) · Mandiant / Google Cloud · https://cloud.google.com/blog/topics/threat-intelligence/m-trends-2025 · 2025
  7. Ransomware attacks register record speeds · The Register (dados Sophos/Secureworks, 2023) · https://www.theregister.com/2023/10/10/ransomware_attacks_register_record_speeds/ · 2023-10-10
  8. Breaking Down Ransomware Encryption: Key Strategies, Algorithms and Implementation Trends · Morphisec · https://www.morphisec.com/blog/breaking-down-ransomware-encryption-key-strategies-algorithms-and-implementation-trends/ · 2024
  9. Q4 2024 report / Coveware Q3 2025 (taxa de pagamento) · Coveware · https://coveware.com/blog/2025/1/31/q4-report · 2025-01-31
  10. Coveware Q4 2024 report (valores de resgate) · Coveware · https://coveware.com/blog/2025/1/31/q4-report · 2025-01-31
  11. State of Ransomware (backup comprometido) · Sophos, via TechRadar · https://www.techradar.com/pro/security/ransomware-attackers-are-increasingly-targeting-backups-so-make-sure-yours-are-protected · 2024
  12. Ransomware Prevention and Response for CEOs · FBI · https://www.fbi.gov/file-repository/ransomware-prevention-and-response-for-ceos.pdf

Sentimento de comunidade (opinião, não fonte de fato): síntese de discussões em r/sysadmin, r/cybersecurity e r/msp, reconstruída a partir de agregações e reportagens. Threads individuais não puderam ser acessados pelo crawler.

— Redação, Acta Verum