Ransomware readiness: como reduzir impacto em 90 dias (sem virar refém do caos)

Ransomware readiness não é “ter backup”. É conseguir atravessar 90 dias sem fingir que “com a gente não acontece”. E, se acontecer, não deixar o negócio parar, a diretoria entrar em pânico e a operação virar um mutirão de madrugada.

Antes de entrar no playbook, um dado pra colocar o pé no chão: no Brasil, o custo médio de um ataque de ransomware passou de R$ 7 milhões em 2024, segundo relatórios de cibersegurança.

Resumo rápido

Ransomware readiness: como reduzir impacto em 90 dias significa montar um playbook prático em quatro fases: ver, responder, corrigir e testar. Em 90 dias, dá pra elevar muito a resiliência com decisões certas: reduzir caminhos de acesso inicial, conter rápido, proteger identidade, endurecer backup, preparar comunicação (LGPD/ANPD) e treinar o time com simulações. O foco é cortar “tempo de permanência”, limitar a propagação e manter operação de pé. Lista curta do que mais move o ponteiro: inventário de ativos críticos, MFA e privilégios, segmentação, patching de alta prioridade, detecção comportamental, e exercícios de crise.

---

A verdade incômoda: ransomware hoje é operação, não “vírus”

Ransomware virou um ecossistema. Tem corretor de acesso inicial, afiliado, operador de RaaS, time de extorsão, negociação e até “suporte” pro crime. A Halcyon descreve isso como uma campanha multiestágio, planejada do acesso inicial à extorsão.

No Brasil, o risco não é teórico. Um levantamento citado pela ESET aponta que cerca de 29% das empresas no Brasil relataram ransomware em 2024. E, no mesmo país, a discussão costuma começar tarde: quando o atendimento parou, o ERP travou, o WhatsApp do comercial virou o “SAC do apocalipse” e o CFO pergunta “paga ou não paga?”.

O problema é que a pergunta certa não é “paga ou não paga?”. É “por que a empresa chegou nesse ponto?”.

Se você quer entender melhor o contexto do cenário local, vale conferir outro post do blog da VIVA: “Conheça os dados sobre ransomware no Brasil”.

O alvo real: sua continuidade, sua reputação e sua coragem sob pressão

Ransomware moderno não quer só criptografar. Ele quer parar a operação e aumentar o custo humano da crise. E, quando possível, ele combina criptografia com vazamento (extorsão dupla ou tripla). Muitos relatórios descrevem justamente essa evolução para extorsão dupla e tripla.

Isso muda o jogo. “Como se proteger de ransomware” deixa de ser checklist técnico e vira disciplina de negócio.

E tem um detalhe brasileiro que muita empresa subestima: quando o incidente envolve dados pessoais, entra LGPD e entra ANPD. A ANPD aprovou regulamento com prazos e requisitos de comunicação. A regra geral traz prazo de 3 dias úteis para comunicação à ANPD e aos titulares, contados do conhecimento do controlador de que o incidente afetou dados pessoais.

Agora vem a parte prática: o que fazer em 90 dias, sem fanfic.

---

O playbook de 90 dias em 4 fases: ver, responder, corrigir, testar

A estrutura é simples. O trabalho, nem sempre. O erro comum é inverter: tentar “corrigir tudo” antes de conseguir ver e responder.

A seguir, o time da VIVA organiza o playbook por fases. Ele funciona com qualquer stack. E encaixa muito bem quando a empresa decide adicionar uma camada dedicada anti-ransomware, como a Halcyon, para fechar lacunas específicas de ransomware.

Leitura recomendada: “Backup não é anti-ransomware: o jogo enterprise mudou”

Fase 1 (dias 1–20): ver antes de apanhar

Você não reage bem ao que não enxerga. O objetivo aqui é criar visibilidade útil e definir o que é “crítico” de verdade.

Primeiro, aceite: inventário perfeito é lenda. O que dá pra ter em 20 dias é um inventário suficiente.

H3 só entra depois desse parágrafo, então vamos direto ao que importa.

Mapear ativos críticos e fluxos que sustentam o faturamento

Lista curta, sem poesia:

• Quais sistemas param o faturamento em 1 hora?
• Quais param o atendimento?
• Quais param produção/logística?
• Quais guardam segredos comerciais e dados pessoais?

Se ninguém sabe responder rápido, você já achou um problema grande.

Identidade e privilégios: o “cinto de segurança” que quase ninguém usa direito

Ransomware ama credencial. Então, em 20 dias, foque em:

• MFA obrigatório onde dói mais (admin, e-mail, VPN, acesso remoto).
• Revisão de contas privilegiadas.
• Remover acesso “para sempre” e adotar privilégio sob demanda onde possível.

Isso não é glamour. É sobrevivência.

Telemetria e logs: menos colecionar, mais conseguir agir

Log que ninguém usa é coleção. Em vez disso:

• Defina eventos mínimos para detectar: desativação de EDR, alteração em GPO, criação de contas admin, acesso massivo a shares.
• Garanta retenção básica e integridade.

Se você tem SOC/MDR, é aqui que a conversa fica objetiva.

Fase 2 (dias 21–45): responder sem “reunião eterna”

Aqui o objetivo é reduzir tempo de contenção. Você quer parar a propagação rápido e impedir que o incidente vire um incêndio corporativo.

Um IR de verdade: quem decide o quê (antes da crise)

Ransomware não espera agenda. Então deixe claro:

• Quem pode isolar rede/segmento.
• Quem autoriza desligar sistemas.
• Quem fala com jurídico, comunicação e diretoria.
• Quem conversa com seguradora e forense.

Sem isso, a crise vira democracia. E democracia na crise vira atraso.

Contenção em minutos: segmentação e isolamento com roteiro pronto

Exemplo comum: a empresa tem segmentação “no slide”, mas na prática tudo conversa com tudo. Aí o ransomware passeia.

O mínimo do mínimo:

• Separar usuários de servidores críticos.
• Reduzir acesso a shares por grupo.
• Bloquear lateralidade desnecessária.

E sim, isso envolve mexer em rede. Mas “depois a gente vê” custa caro.

Detecção comportamental e “gap de ransomware”

A Halcyon posiciona sua tecnologia como focada em interromper ransomware por comportamento, incluindo detecção de tentativa de sabotagem do EDR e proteção contra BYOVD.

Ponto importante: nada aqui é promessa mágica. O que faz sentido é pensar em camadas. EDR/XDR é base. Backup é base. O que frequentemente falta é uma camada que trate ransomware como esporte específico.

A própria Halcyon descreve isso como “fechar o ransomware gap” entre EDR/XDR e backup.

SOLICITE AQUI UMA DEMONSTRAÇÃO DO HALCYON

Fase 3 (dias 46–75): corrigir o que permite o ataque repetir

Agora é a parte menos sexy e mais valiosa: remover causas prováveis.

Patching com critério: prioridade por exploração e exposição

Diversos relatórios de cibersegurança mostram volume alto de vulnerabilidades e reforça a importância de um programa estruturado de patches.

Mas “atualizar tudo” não cabe no mundo real. Então o critério tem que ser:

• Exploit disponível ou uso ativo.
• Exposição (internet, acesso remoto, terceiros).
• Ativo crítico no fluxo de negócio.

Se a empresa tem gestão de vulnerabilidades, use isso para guiar sprints semanais. Sem drama. Sem “vamos zerar backlog”.

Hardening que reduz estrago mesmo quando algo passa

Alguns controles não impedem o acesso inicial, mas reduzem muito o raio de explosão:

• Bloqueio de execução em pastas comuns de drop.
• Controle de scripts e macros.
• Restrição de ferramentas de administração remota fora do padrão.
• Backup com imutabilidade e credenciais separadas.

E aqui um lembrete brutal: backup que nunca foi restaurado não é backup. É crença.

Preparar LGPD/ANPD sem transformar incidente em crise jurídica

A ANPD tem canal e orientações sobre comunicação de incidente, e o regulamento define prazos e itens esperados.

O que dá pra deixar pronto em 30 dias dentro dessa fase:

• Checklist de decisão: há dado pessoal? há risco relevante?
• Modelo de comunicação interna.
• Modelo de comunicação para titulares (quando aplicável).
• Registro de incidente e trilha de evidências.

Não é “burocracia”. É não errar duas vezes.

Fase 4 (dias 76–90): testar para não descobrir tudo no pior dia

Essa é a fase que separa maturidade de autoengano.

Simulação técnica: do alerta à contenção

Simule o cenário que mais acontece:

• Credencial comprometida.
• Movimento lateral.
• Tentativa de desabilitar EDR.
• Criptografia em massa em um segmento.

Meça:

• tempo até detectar,
• tempo até isolar,
• quantos sistemas críticos foram tocados,
• se o time seguiu o playbook.

Simulação executiva: a reunião que decide o destino

A crise real tem elemento humano. Então treine:

• quem fala o quê,
• quem aprova decisões,
• como lidar com extorsão e vazamento,
• como manter operação mínima.

Você quer menos improviso e mais reflexo condicionado.

Pós-morte sem caça às bruxas

Feche com 3 perguntas:

• O que falhou primeiro?
• O que atrasou mais?
• O que, se tivesse existido antes, reduziria o impacto?

A resposta vira backlog de melhoria contínua.

---

Onde a Halcyon entra (de forma honesta) no plano de ransomware readiness

A Halcyon, junto com a VIVA, descreve uma abordagem ponta a ponta, da detecção pré-execução à exfiltração e criptografia, além de um time 24/7 (ROC) como extensão da equipe.

O que isso significa na prática, sem “milagre”:

• Motor comportamental treinado para sinais de ransomware, não para “qualquer malware”.
• Detecção de sabotagem de EDR (um comportamento bem comum em ataques maduros).
• Proteção contra BYOVD, que explora drivers assinados porém vulneráveis.
• DXP (Data Exfiltration Protection) para alertar movimentos suspeitos de dados.
• Captura de material de chave para viabilizar um caminho alternativo de recuperação se ocorrer criptografia.

Nada disso elimina a necessidade de backup, segmentação, IAM e treino. Mas pode reduzir impacto quando o atacante tenta “passar por cima” do stack tradicional.

Se você quer o encaixe com o serviço da VIVA (sem rodeio): a página de soluções detalha o posicionamento da VIVA com Halcyon para anti-ransomware e ciber-resiliência.

---

Checklist prático de 90 dias (pra colar no Trello e parar de filosofar)

Aqui vai um checklist que costuma funcionar bem em empresas brasileiras, inclusive com ambientes híbridos e muita terceirização.

1. Ativos críticos definidos (sistemas, dados, fluxos).
2. MFA obrigatório em admin, e-mail, VPN e acesso remoto.
3. Privilégios revisados e contas órfãs eliminadas.
4. Segmentação mínima entre usuários e crown jewels.
5. Patching por exploração e exposição, em sprints semanais.
6. Backups testados com restauração real e credenciais separadas.
7. Playbook de resposta com papéis, gatilhos e autorização clara.
8. Telemetria mínima para detectar sabotagem e movimento lateral.
9. Simulação técnica medindo tempo de detectar e conter.
10. Simulação executiva medindo tempo de decidir sob pressão.
11. Plano LGPD/ANPD com critérios e modelos de comunicação.
12. Avaliação de lacunas e priorização baseada em risco real.

Se você fizer isso bem, o ataque não “some”. Mas o impacto cai. E é isso que ransomware readiness deveria significar.

---

Perguntas frequentes

---

O próximo passo que evita “achismo” no seu plano

Playbook bom começa com diagnóstico real. O time da VIVA usa avaliação para mostrar onde a empresa está vulnerável e o que cortar primeiro, sem chute.

Solicite seu Perfil de Ameaças e saiba exatamente onde você está vulnerável.
Descubra o Perfil de Ameaça da sua empresa.

Porque, no fim, Ransomware readiness é conseguir dizer: “em 90 dias, a gente reduz impacto de verdade” — e provar isso no teste.