Ransomware é um tipo de malware que criptografa (e muitas vezes rouba) os dados da empresa e exige um resgate para devolvê-los. As pequenas e médias empresas viraram o alvo preferido porque costumam ter menos defesa e são atingidas por ataques automatizados que varrem a internet inteira. A proteção não é um único produto: são camadas — backups isolados e testados, MFA, atualizações em dia, monitoramento 24h com resposta rápida e treino contra phishing.
Por muito tempo, ransomware parecia assunto de hospital gigante ou multinacional que sai no jornal. Não é mais. Em 2026, a maior parte das vítimas são empresas comuns — comércio, indústria, clínica, escritório — que acordaram um dia com todos os arquivos travados e uma mensagem exigindo pagamento. O motivo dessa mudança é simples: os criminosos descobriram que PMEs pagam, têm menos defesa e são fáceis de atacar em massa.
Como um ataque de ransomware funciona
Entender o passo a passo ajuda a ver onde dá para interromper o ataque antes que ele se complete. Um incidente típico segue este ciclo:
- Entrada: o invasor consegue um pé dentro da rede — uma senha vazada, um anexo malicioso aberto por engano ou uma falha não corrigida em um sistema exposto.
- Movimentação: de dentro, ele explora a rede procurando servidores, contas de administrador e, principalmente, onde estão os backups.
- Exfiltração: antes de travar qualquer coisa, ele copia os dados para fora. Isso é a chamada dupla extorsão — roubar antes de criptografar.
- Criptografia: num único movimento, geralmente de madrugada, ele embaralha todos os arquivos e sistemas de uma vez.
- Extorsão: aparece o pedido de resgate. E, por causa da etapa 3, mesmo quem tem backup fica pressionado: "pague, ou vazamos seus dados".
A dupla extorsão é o que torna o ransomware moderno tão perigoso. Ter backup deixou de ser garantia total — porque o problema não é só recuperar os arquivos, é impedir que os dados roubados sejam publicados. Por isso a defesa precisa agir antes da etapa final, não depois.
Por que PMEs viraram alvo
Não é que os criminosos parem de mirar grandes empresas. É que as PMEs se tornaram o alvo mais rentável por três motivos:
- Menos defesa: raramente há uma equipe de segurança dedicada, monitoramento fora do horário comercial ou backups realmente testados. Isso amplia a janela de sucesso do atacante.
- Ataques automatizados: a maioria dos ataques não é mirada. São robôs varrendo a internet 24h, testando senhas e falhas conhecidas em qualquer alvo. Quem está desprotegido é encontrado — não escolhido.
- Cadeia de fornecedores: uma PME muitas vezes é a porta de entrada para clientes maiores. Invadir um fornecedor pequeno pode ser o caminho mais fácil até uma corporação bem protegida.
As camadas de defesa que funcionam
Não existe botão mágico contra ransomware. O que funciona é sobrepor várias camadas, de modo que a falha de uma não derrube tudo:
- Backups isolados e testados (regra 3-2-1): mantenha 3 cópias dos dados, em 2 tipos de mídia, com 1 cópia fora do alcance da rede (offline ou imutável). E teste a restauração — backup que nunca foi restaurado é só uma esperança.
- MFA (autenticação em duas etapas): mesmo com a senha vazada, o atacante esbarra num segundo fator. É uma das defesas mais baratas e eficazes contra acessos roubados.
- Atualização e patch: boa parte das invasões usa falhas já conhecidas e já corrigidas. Manter sistemas atualizados fecha essas portas.
- Monitoramento 24h e resposta rápida: alguém — ou algo — precisa observar os sinais o tempo todo e conter o ataque em minutos, não na segunda-feira de manhã.
- Treino contra phishing: a maioria dos ataques começa por um e-mail. Uma equipe que reconhece a isca corta o problema na origem.
- Menor privilégio: cada pessoa e cada sistema só devem ter o acesso que realmente precisam. Isso limita até onde o invasor consegue se mover depois de entrar.
É exatamente aqui que entra a vigilância contínua. O Argos, o SOC gerenciado 24h da NoBug, junta uma equipe humana a uma IA (a Alice) que monitora seu ambiente sem parar, bloqueia automaticamente ataques óbvios no firewall em segundos e aciona um plantão por ligação quando o incidente é grave. Como o ransomware costuma agir de madrugada, essa cobertura fora do horário comercial é o que fecha a janela do atacante — falamos disso em por que a madrugada é o horário do ataque. Entenda também o que é um SOC gerenciado.
O que fazer se já foi atingido
Se o ataque já aconteceu, os primeiros minutos definem o tamanho do estrago. Em ordem:
- Isole: desconecte as máquinas afetadas da rede para impedir que a criptografia se espalhe. Não desligue tudo às cegas — isolar é diferente de apagar evidências.
- Acione a resposta a incidentes: chame quem sabe conter e investigar. Ter um plano de resposta a incidentes definido antes faz toda a diferença na hora do desespero.
- Não pague por impulso: pagar não garante recuperação, alimenta o crime e pode até ser ilegal em certos casos. É uma decisão jurídica e técnica, não uma reação de pânico.
- Comunique conforme a LGPD: se houve vazamento de dados pessoais, existem obrigações de notificação. Veja mais em LGPD e segurança.
Os dados tratados pelo Argos ficam no Brasil e a operação é aderente à LGPD, com relatório mensal do que foi detectado e bloqueado — o que ajuda tanto na prevenção quanto na hora de comprovar o que aconteceu.
- Ransomware criptografa e rouba os dados (dupla extorsão) — ter backup não basta sozinho.
- PMEs são alvo preferido por terem menos defesa e sofrerem ataques automatizados em massa.
- A proteção é feita de camadas: backup 3-2-1 testado, MFA, patch, monitoramento 24h, treino e menor privilégio.
- Se for atingido: isole, acione resposta a incidentes, não pague por impulso e comunique pela LGPD.