Cresce a ameaça da dupla extorsão em ransomware

Entenda a evolução do ransomware e previna-se 

Você sabia que os ataques cibernéticos globais aumentaram 21% no segundo trimestre de 2025 em comparação com o mesmo período de 2024? Os números foram divulgados pela Check Point Research e revelam a necessidade cada vez maior de que as empresas compreendam e se preparem adequadamente para essas ameaças. Somado a esse cenário de insegurança cibernética, entre as ameaças sofisticadas que surgem, o ransomware tem se destacado. Nos últimos anos, ocorreu o surgimento da chamada “dupla extorsão” – uma tática que não apenas criptografa os dados da vítima, mas também os extrai para posterior extorsão.

A dupla extorsão é uma estratégia que potencializa o poder de coerção dos cibercriminosos. Ou seja, essa forma de malware, que inicialmente se limitava a criptografar dados e exigir pagamento para sua liberação, evoluiu para táticas ainda mais sofisticadas e prejudiciais. Vamos entender melhor nesse artigo como se deu a evolução do ransomware.

Como funciona um ataque de dupla extorsão?

1. Reconhecimento e preparação

O processo inicia-se com os atacantes identificando alvos potenciais e realizando uma pesquisa detalhada sobre a organização. Nesta fase, eles procuram vulnerabilidades específicas, mapeiam a rede e identificam sistemas críticos. Além disso, coletam informações públicas sobre a empresa, seus funcionários e sua infraestrutura tecnológica.

2. Infecção inicial

Após identificar as vulnerabilidades, os atacantes executam a infecção inicial através de diversos vetores:

• Phishing: e-mails enganosos com links maliciosos ou anexos infectados
• Vulnerabilidades de softwares: exploração de falhas em aplicativos desatualizados
• Ataques de força bruta: tentativas repetidas de acesso a contas por meio de várias combinações de senhas
• Acesso remoto comprometido: exploração de credenciais VPN ou RDP expostas ou fracas

3. Movimento lateral e persistência

Uma vez dentro da rede, os atacantes movem-se lateralmente para encontrar dados sensíveis e sistemas críticos. Eles estabelecem vários pontos de acesso para garantir persistência, mesmo que um deles seja descoberto e bloqueado. Nesta fase, eles podem permanecer ocultos por dias, semanas ou até meses, coletando informações e planejando as próximas etapas.

4. Extração de dados

Essa é a principal característica que diferencia ataques de dupla extorsão dos ransomwares tradicionais. Antes de criptografar os dados, os atacantes roubam informações sensíveis, como:

• Dados de clientes
• Propriedade intelectual
• Informações financeiras
• Comunicações internas confidenciais
• Dados de funcionários

5. Criptografia e extorsão

Após extrair os dados valiosos, os atacantes implementam o ransomware para criptografar os sistemas da vítima. Em seguida, duas demandas de extorsão são feitas:

• Pagamento para descriptografar os dados
• Pagamento adicional para não vazar os dados roubados publicamente
• Negociação e impacto

A organização afetada enfrenta uma decisão difícil: pagar ou não o resgate. Independentemente da escolha, o impacto inclui:

• Interrupção operacional
• Danos à reputação
• Custos de recuperação
• Possíveis consequências regulatórias
• Perda de confiança dos clientes

Um exemplo que ganhou destaque na mídia à época foi o ataque à JBS, uma das maiores empresas de processamento de carne do mundo. O ataque de ransomware em junho de 2021 forçou a interrupção de operações em vários países e resultando no pagamento de US$ 11 milhões de resgate.

Recuperação

A recuperação de um ataque de dupla extorsão é um processo complexo que envolve:

• Restauração de sistemas a partir de backups (quando disponíveis)
• Implementação de correções de segurança
• Reconstrução de infraestrutura comprometida
• Gerenciamento de comunicação com stakeholders
• Possível notificação a autoridades regulatórias e clientes afetados

Para se precaver, é importante conhecer os vetores de infecção mais usuais utilizados pelos criminosos.

Phishing

O phishing continua sendo um dos métodos mais eficazes para iniciar ataques de ransomware. Estes ataques tornaram-se mais sofisticados, com e-mails altamente personalizados, direcionados a indivíduos específicos dentro das organizações. Frequentemente, esses e-mails imitam comunicações legítimas de fornecedores, parceiros ou plataformas conhecidas.

Vulnerabilidades de software

Sistemas desatualizados representam portas abertas para invasores. Os grupos de ransomware frequentemente exploram:

• Falhas em sistemas operacionais
• Aplicativos desatualizados
• Plugins e extensões vulneráveis
• Software de terceiros sem patches de segurança

Ataques de força bruta

Credenciais fracas ou reutilizadas são alvos frequentes para ataques de força bruta, especialmente em:

• Interfaces de acesso remoto (RDP, SSH)
• Portais VPN
• Serviços em nuvem
• Painéis administrativos

Credenciais comprometidas

O comércio de credenciais vazadas na dark web alimenta muitos ataques. Criminosos compram dados de acesso obtidos em violações anteriores e os utilizam para penetrar em novas organizações, especialmente quando os usuários reutilizam senhas em múltiplas plataformas.

Como adotar técnicas de detecção precoce dos ataques e evitar extorsão dupla

Identificar um ataque nas fases iniciais pode fazer toda a diferença na limitação de danos. Vamos a algumas técnicas eficazes:

Monitoramento de tráfego de rede

• Implementação de análise de tráfego para identificar padrões incomuns
• Detecção de comunicações com servidores de comando e controle conhecidos
• Alertas para grandes volumes de dados saindo da rede (possível extração)
• Monitoramento de acessos incomuns a recursos críticos

Análise comportamental

• Utilização de ferramentas de detecção de anomalias baseadas em IA
• Estabelecimento de linhas de base para comportamento normal de usuários
• Alertas para atividades fora do padrão (horários incomuns, múltiplas tentativas de login)
• Detecção de escalação de privilégios não autorizada

Soluções EDR (Endpoint Detection and Response)

• Monitoramento contínuo de endpoints para comportamentos maliciosos
• Detecção de tentativas de contornar mecanismos de segurança
• Identificação de processos suspeitos executados em segundo plano
• Alerta para atividades de criptografia não autorizadas

SOC (Security Operations Center)

• Manutenção de equipe dedicada para monitoramento 24/7
• Correlação de eventos de segurança de múltiplas fontes
• Resposta rápida a incidentes suspeitos
• Análise contínua de novas ameaças e táticas

Estratégias práticas de prevenção

Mantenha todos os sistemas e aplicativos atualizados, priorizando patches de segurança e estabeleça um processo formal de gestão de vulnerabilidades. É importante ter um inventário completo de ativos de software e manter cronograma regular de aplicação de patches, com realização de testes em ambientes controlados antes da implementação. Outro ponto importante é conscientizar as colaborações continuamente, visto que eles são o primeiro ponto de contato em ataques de phishing.

Vale ressaltar, ainda, que a defesa contra ransomware exige um sistema eficaz de backup, rede segmentada para limitar movimento lateral dos invasores e a Autenticação Multifator (MFA) em todos os acessos críticos, como contas de e-mail, VPNs, serviços em nuvem e sistemas administrativos.

As tendências no cenário atual

Segundo a Check Point Research, aproximadamente 1.600 incidentes de ransomware com prática de extorsão dupla foram divulgados globalmente no segundo trimestre de 2025. Desse total, 53% ocorreram na América do Norte e 25% na Europa.

Os setores mais impactados por ransomware no mundo foram serviços empresariais, manufatura Industrial e engenharia.

No Brasil, os três setores mais visados por ataques cibernéticos são:

• Governo (4.552 ataques semanais)
• Saúde (3.978 ataques semanais)
• Telecomunicações (3.968 ataques semanais)

Para concluir, precisamos estar alertas a essa tendência da dupla extorsão, que representa a evolução do ransomware, combinando criptografia e roubo de dados para maximizar a pressão sobre as vítimas. Organizações devem entender que a questão não é mais se serão atacadas, mas quando. A preparação adequada, incluindo medidas preventivas e um plano de resposta a incidentes bem testado, é essencial para mitigar os danos potenciais.

Segurança cibernética é investimento, não custo

Na Any Consulting, nossa equipe está preparada para identificar pontos fracos antes que os criminosos o façam. Nossos especialistas irão analisar sua infraestrutura atual, identificar vulnerabilidades críticas e desenvolver um roteiro personalizado para fortalecer suas defesas. São 10 anos de experiência na implementação de defesas avançadas para empresas em todo o Brasil. Envie uma mensagem ou ligue (31) 2555-3511.