Ransomware readiness não é “ter backup”. É conseguir atravessar 90 dias sem fingir que “com a gente não acontece”. E, se acontecer, não deixar o negócio parar, a diretoria entrar em pânico e a operação virar um mutirão de madrugada.
Antes de entrar no playbook, um dado pra colocar o pé no chão: no Brasil, o custo médio de um ataque de ransomware passou de R$ 7 milhões em 2024, segundo relatórios de cibersegurança.
Resumo rápido
Ransomware readiness: como reduzir impacto em 90 dias significa montar um playbook prático em quatro fases: ver, responder, corrigir e testar. Em 90 dias, dá pra elevar muito a resiliência com decisões certas: reduzir caminhos de acesso inicial, conter rápido, proteger identidade, endurecer backup, preparar comunicação (LGPD/ANPD) e treinar o time com simulações. O foco é cortar “tempo de permanência”, limitar a propagação e manter operação de pé. Lista curta do que mais move o ponteiro: inventário de ativos críticos, MFA e privilégios, segmentação, patching de alta prioridade, detecção comportamental, e exercícios de crise.
A verdade incômoda: ransomware hoje é operação, não “vírus”
Ransomware virou um ecossistema. Tem corretor de acesso inicial, afiliado, operador de RaaS, time de extorsão, negociação e até “suporte” pro crime. A Halcyon descreve isso como uma campanha multiestágio, planejada do acesso inicial à extorsão.
No Brasil, o risco não é teórico. Um levantamento citado pela ESET aponta que cerca de 29% das empresas no Brasil relataram ransomware em 2024. E, no mesmo país, a discussão costuma começar tarde: quando o atendimento parou, o ERP travou, o WhatsApp do comercial virou o “SAC do apocalipse” e o CFO pergunta “paga ou não paga?”.
O problema é que a pergunta certa não é “paga ou não paga?”. É “por que a empresa chegou nesse ponto?”.
Se você quer entender melhor o contexto do cenário local, vale conferir outro post do blog da VIVA: “Conheça os dados sobre ransomware no Brasil”.
O alvo real: sua continuidade, sua reputação e sua coragem sob pressão
Ransomware moderno não quer só criptografar. Ele quer parar a operação e aumentar o custo humano da crise. E, quando possível, ele combina criptografia com vazamento (extorsão dupla ou tripla). Muitos relatórios descrevem justamente essa evolução para extorsão dupla e tripla.
Isso muda o jogo. “Como se proteger de ransomware” deixa de ser checklist técnico e vira disciplina de negócio.
E tem um detalhe brasileiro que muita empresa subestima: quando o incidente envolve dados pessoais, entra LGPD e entra ANPD. A ANPD aprovou regulamento com prazos e requisitos de comunicação. A regra geral traz prazo de 3 dias úteis para comunicação à ANPD e aos titulares, contados do conhecimento do controlador de que o incidente afetou dados pessoais.
Agora vem a parte prática: o que fazer em 90 dias, sem fanfic.
O playbook de 90 dias em 4 fases: ver, responder, corrigir, testar
A estrutura é simples. O trabalho, nem sempre. O erro comum é inverter: tentar “corrigir tudo” antes de conseguir ver e responder.
A seguir, o time da VIVA organiza o playbook por fases. Ele funciona com qualquer stack. E encaixa muito bem quando a empresa decide adicionar uma camada dedicada anti-ransomware, como a Halcyon, para fechar lacunas específicas de ransomware.
Leitura recomendada: “Backup não é anti-ransomware: o jogo enterprise mudou”
Fase 1 (dias 1–20): ver antes de apanhar
Você não reage bem ao que não enxerga. O objetivo aqui é criar visibilidade útil e definir o que é “crítico” de verdade.
Primeiro, aceite: inventário perfeito é lenda. O que dá pra ter em 20 dias é um inventário suficiente.
H3 só entra depois desse parágrafo, então vamos direto ao que importa.
Mapear ativos críticos e fluxos que sustentam o faturamento
Lista curta, sem poesia:
- Quais sistemas param o faturamento em 1 hora?
- Quais param o atendimento?
- Quais param produção/logística?
- Quais guardam segredos comerciais e dados pessoais?
Se ninguém sabe responder rápido, você já achou um problema grande.
Identidade e privilégios: o “cinto de segurança” que quase ninguém usa direito
Ransomware ama credencial. Então, em 20 dias, foque em:
- MFA obrigatório onde dói mais (admin, e-mail, VPN, acesso remoto).
- Revisão de contas privilegiadas.
- Remover acesso “para sempre” e adotar privilégio sob demanda onde possível.
Isso não é glamour. É sobrevivência.
Telemetria e logs: menos colecionar, mais conseguir agir
Log que ninguém usa é coleção. Em vez disso:
- Defina eventos mínimos para detectar: desativação de EDR, alteração em GPO, criação de contas admin, acesso massivo a shares.
- Garanta retenção básica e integridade.
Se você tem SOC/MDR, é aqui que a conversa fica objetiva.
Fase 2 (dias 21–45): responder sem “reunião eterna”
Aqui o objetivo é reduzir tempo de contenção. Você quer parar a propagação rápido e impedir que o incidente vire um incêndio corporativo.
Um IR de verdade: quem decide o quê (antes da crise)
Ransomware não espera agenda. Então deixe claro:
- Quem pode isolar rede/segmento.
- Quem autoriza desligar sistemas.
- Quem fala com jurídico, comunicação e diretoria.
- Quem conversa com seguradora e forense.
Sem isso, a crise vira democracia. E democracia na crise vira atraso.
Contenção em minutos: segmentação e isolamento com roteiro pronto
Exemplo comum: a empresa tem segmentação “no slide”, mas na prática tudo conversa com tudo. Aí o ransomware passeia.
O mínimo do mínimo:
- Separar usuários de servidores críticos.
- Reduzir acesso a shares por grupo.
- Bloquear lateralidade desnecessária.
E sim, isso envolve mexer em rede. Mas “depois a gente vê” custa caro.
Detecção comportamental e “gap de ransomware”
A Halcyon posiciona sua tecnologia como focada em interromper ransomware por comportamento, incluindo detecção de tentativa de sabotagem do EDR e proteção contra BYOVD.
Ponto importante: nada aqui é promessa mágica. O que faz sentido é pensar em camadas. EDR/XDR é base. Backup é base. O que frequentemente falta é uma camada que trate ransomware como esporte específico.
A própria Halcyon descreve isso como “fechar o ransomware gap” entre EDR/XDR e backup.
SOLICITE AQUI UMA DEMONSTRAÇÃO DO HALCYON
Fase 3 (dias 46–75): corrigir o que permite o ataque repetir
Agora é a parte menos sexy e mais valiosa: remover causas prováveis.
Patching com critério: prioridade por exploração e exposição
Diversos relatórios de cibersegurança mostram volume alto de vulnerabilidades e reforça a importância de um programa estruturado de patches.
Mas “atualizar tudo” não cabe no mundo real. Então o critério tem que ser:
- Exploit disponível ou uso ativo.
- Exposição (internet, acesso remoto, terceiros).
- Ativo crítico no fluxo de negócio.
Se a empresa tem gestão de vulnerabilidades, use isso para guiar sprints semanais. Sem drama. Sem “vamos zerar backlog”.
Hardening que reduz estrago mesmo quando algo passa
Alguns controles não impedem o acesso inicial, mas reduzem muito o raio de explosão:
- Bloqueio de execução em pastas comuns de drop.
- Controle de scripts e macros.
- Restrição de ferramentas de administração remota fora do padrão.
- Backup com imutabilidade e credenciais separadas.
E aqui um lembrete brutal: backup que nunca foi restaurado não é backup. É crença.
Preparar LGPD/ANPD sem transformar incidente em crise jurídica
A ANPD tem canal e orientações sobre comunicação de incidente, e o regulamento define prazos e itens esperados.
O que dá pra deixar pronto em 30 dias dentro dessa fase:
- Checklist de decisão: há dado pessoal? há risco relevante?
- Modelo de comunicação interna.
- Modelo de comunicação para titulares (quando aplicável).
- Registro de incidente e trilha de evidências.
Não é “burocracia”. É não errar duas vezes.
Fase 4 (dias 76–90): testar para não descobrir tudo no pior dia
Essa é a fase que separa maturidade de autoengano.
Simulação técnica: do alerta à contenção
Simule o cenário que mais acontece:
- Credencial comprometida.
- Movimento lateral.
- Tentativa de desabilitar EDR.
- Criptografia em massa em um segmento.
Meça:
- tempo até detectar,
- tempo até isolar,
- quantos sistemas críticos foram tocados,
- se o time seguiu o playbook.
Simulação executiva: a reunião que decide o destino
A crise real tem elemento humano. Então treine:
- quem fala o quê,
- quem aprova decisões,
- como lidar com extorsão e vazamento,
- como manter operação mínima.
Você quer menos improviso e mais reflexo condicionado.
Pós-morte sem caça às bruxas
Feche com 3 perguntas:
- O que falhou primeiro?
- O que atrasou mais?
- O que, se tivesse existido antes, reduziria o impacto?
A resposta vira backlog de melhoria contínua.
Onde a Halcyon entra (de forma honesta) no plano de ransomware readiness
A Halcyon, junto com a VIVA, descreve uma abordagem ponta a ponta, da detecção pré-execução à exfiltração e criptografia, além de um time 24/7 (ROC) como extensão da equipe.
O que isso significa na prática, sem “milagre”:
- Motor comportamental treinado para sinais de ransomware, não para “qualquer malware”.
- Detecção de sabotagem de EDR (um comportamento bem comum em ataques maduros).
- Proteção contra BYOVD, que explora drivers assinados porém vulneráveis.
- DXP (Data Exfiltration Protection) para alertar movimentos suspeitos de dados.
- Captura de material de chave para viabilizar um caminho alternativo de recuperação se ocorrer criptografia.
Nada disso elimina a necessidade de backup, segmentação, IAM e treino. Mas pode reduzir impacto quando o atacante tenta “passar por cima” do stack tradicional.
Se você quer o encaixe com o serviço da VIVA (sem rodeio): a página de soluções detalha o posicionamento da VIVA com Halcyon para anti-ransomware e ciber-resiliência.
Checklist prático de 90 dias (pra colar no Trello e parar de filosofar)
Aqui vai um checklist que costuma funcionar bem em empresas brasileiras, inclusive com ambientes híbridos e muita terceirização.
- Ativos críticos definidos (sistemas, dados, fluxos).
- MFA obrigatório em admin, e-mail, VPN e acesso remoto.
- Privilégios revisados e contas órfãs eliminadas.
- Segmentação mínima entre usuários e crown jewels.
- Patching por exploração e exposição, em sprints semanais.
- Backups testados com restauração real e credenciais separadas.
- Playbook de resposta com papéis, gatilhos e autorização clara.
- Telemetria mínima para detectar sabotagem e movimento lateral.
- Simulação técnica medindo tempo de detectar e conter.
- Simulação executiva medindo tempo de decidir sob pressão.
- Plano LGPD/ANPD com critérios e modelos de comunicação.
- Avaliação de lacunas e priorização baseada em risco real.
Se você fizer isso bem, o ataque não “some”. Mas o impacto cai. E é isso que ransomware readiness deveria significar.
Perguntas frequentes
“Pronto” é palavra perigosa. O que dá pra fazer em 90 dias é reduzir muito o impacto com medidas de visibilidade, contenção, correção e teste. Relatórios mostram que até organizações que se consideravam preparadas sofrem ataques e nem sempre se recuperam rápido.
Comece pelo básico bem feito (IAM, segmentação, patching, backup testado e IR). Depois, avalie lacunas específicas. Muitas empresas adicionam uma camada dedicada anti-ransomware para reduzir o “gap” entre EDR e backup, em vez de substituir o stack inteiro.
Backup é essencial, mas sozinho não garante continuidade. Atacantes miram credenciais, snapshots e repositórios. A diferença é ter prevenção e contenção para não depender de restauração como único caminho.
Não é essa a ideia. A própria Halcyon se posiciona como camada que trabalha em conjunto com EDR/XDR e com backup, com foco específico em ransomware e mecanismos como detecção de sabotagem e captura de material de chave.
Se houver risco relevante a dados pessoais, existe obrigação de comunicação (art. 48 da LGPD), e a ANPD regulamentou prazos e conteúdo esperado, incluindo prazo geral de 3 dias úteis para comunicação à ANPD e aos titulares quando aplicável.
O próximo passo que evita “achismo” no seu plano
Playbook bom começa com diagnóstico real. O time da VIVA usa avaliação para mostrar onde a empresa está vulnerável e o que cortar primeiro, sem chute.
Solicite seu Perfil de Ameaças e saiba exatamente onde você está vulnerável.
Descubra o Perfil de Ameaça da sua empresa.
Porque, no fim, Ransomware readiness é conseguir dizer: “em 90 dias, a gente reduz impacto de verdade” — e provar isso no teste.
Deixe um comentário