Ransomware em PMEs: como prevenir e o que fazer se acontecer

Ransomware não é problema só de grandes empresas. Em 2025, mais de 60% dos ataques de ransomware registrados no Brasil tiveram como alvo pequenas e médias empresas, exatamente porque elas têm menos proteção, menos monitoramento e mais dificuldade de responder a um incidente.

Para uma PME em São Paulo, um ataque de ransomware bem-sucedido pode significar dias ou semanas sem operar, perda definitiva de dados e custo de recuperação que vai de dezenas a centenas de milhares de reais.

O que é ransomware e como funciona

Ransomware é um tipo de malware que criptografa os arquivos da empresa, documentos, planilhas, banco de dados, fotos, e-mails, e exige pagamento de resgate para liberar o acesso. O pagamento geralmente é exigido em criptomoeda, o que dificulta o rastreamento.

O ciclo de um ataque típico segue esse caminho:

Entrada. O ransomware entra na rede geralmente por três caminhos: e-mail phishing com anexo malicioso ou link, credencial de acesso remoto comprometida como RDP e VPN sem autenticação multifator, ou vulnerabilidade em software desatualizado.

Propagação. Uma vez dentro da rede, o ransomware se move lateralmente, mapeando servidores, compartilhamentos de arquivo e backups conectados. Essa fase pode durar dias ou semanas antes da criptografia começar, os atacantes identificam e eliminam os backups primeiro.

Criptografia. Em questão de horas, todos os arquivos acessíveis são criptografados. A empresa acorda sem acesso a nada.

Extorsão. Uma nota de resgate aparece em todos os computadores com instruções de pagamento e prazo. Alguns grupos também ameaçam publicar os dados roubados caso o resgate não seja pago.

Por que PMEs são alvos fáceis

Sem monitoramento. A maioria das PMEs não tem ferramenta que detecte comportamento anômalo na rede, como um computador acessando centenas de arquivos em segundos, sinal claro de criptografia em andamento.

Backup conectado à rede. HD externo plugado no servidor ou pasta de backup no mesmo servidor que os dados operacionais são eliminados pelo ransomware antes da criptografia dos dados principais.

Sem autenticação multifator. Credenciais de acesso remoto sem MFA são alvo constante de ataques de força bruta. Uma senha fraca é tudo que o atacante precisa.

Software desatualizado. Windows sem atualização, servidor com vulnerabilidade conhecida, antivírus com definições antigas, cada um desses é uma porta de entrada.

Equipe sem treinamento. O colaborador que clica no anexo do e-mail falso não é culpado, é treinável. Sem conscientização sobre phishing, qualquer empresa está exposta.

Como prevenir ransomware em PMEs

A prevenção eficaz combina camadas de proteção. Nenhuma solução isolada é suficiente.

Backup offsite e isolado. O backup precisa estar em local separado da rede principal, nuvem ou mídia offline, e inacessível pelo ransomware. Backup em nuvem com retenção de versões anteriores garante recuperação mesmo após sincronização de arquivos criptografados.

Autenticação multifator em todos os acessos remotos. VPN, RDP, Microsoft 365, e-mail corporativo. MFA sozinho elimina a maioria dos ataques baseados em credencial comprometida.

Atualizações automáticas de sistema operacional e software. Vulnerabilidades conhecidas têm patches disponíveis. Sistemas desatualizados têm falhas exploráveis documentadas publicamente.

Solução de antivírus e EDR corporativo. Antivírus doméstico não é suficiente para ambiente corporativo. Soluções EDR monitoram comportamento em tempo real e bloqueiam atividade suspeita antes que o dano aconteça.

Segmentação de rede. Separar a rede de usuários da rede de servidores limita a propagação de um ataque que começa em uma estação de trabalho.

Treinamento de equipe. Simulações de phishing, orientação sobre como identificar e-mails falsos e processo claro para reportar suspeitas reduzem drasticamente o vetor de entrada humano.

Princípio do menor privilégio. Colaboradores devem ter acesso apenas às pastas e sistemas que precisam para trabalhar. Acesso irrestrito amplifica o impacto de uma infecção.

O que fazer se sua empresa for atacada

Se o ransomware já está ativo, cada minuto conta. Siga essa sequência:

1. Isole imediatamente. Desconecte da rede todos os computadores afetados, cabo de rede, Wi-Fi. O objetivo é impedir que o ransomware continue se propagando para outros dispositivos e servidores.

2. Não desligue os servidores. Desligar pode destruir evidências forenses que ajudam a identificar o vetor de entrada e o tipo de ransomware. Mantenha ligado mas desconectado da rede.

3. Não pague o resgate imediatamente. Pagamento não garante recuperação dos dados. Em muitos casos, os arquivos não são liberados ou são liberados parcialmente. Avalie a situação antes de qualquer decisão de pagamento.

4. Acione seu parceiro de TI. Se você tem contrato de suporte, acione imediatamente. A resposta a incidente precisa ser coordenada por profissional experiente.

5. Identifique o ransomware. Sites como nomoreransom.org têm ferramentas de decriptografia gratuitas para variantes conhecidas. Vale verificar antes de qualquer outra ação.

6. Avalie os backups. Quão recente é o último backup limpo? Está acessível? Testado? A resposta a essas perguntas define o caminho de recuperação.

7. Comunique clientes e parceiros se necessário. Se dados de clientes foram comprometidos, a LGPD exige notificação à ANPD em até 72 horas. Consulte sua assessoria jurídica.

Quanto custa um ataque de ransomware para uma PME

O custo de um ataque de ransomware vai muito além do eventual valor do resgate:

Dias ou semanas sem operar: perda de receita proporcional ao tempo de parada.

Recuperação emergencial de TI: R$ 5.000 a R$ 30.000 dependendo da complexidade.

Reconstrução de dados não recuperados: horas de trabalho de toda a equipe.

Eventual penalidade da ANPD por vazamento de dados pessoais: até 2% do faturamento anual, limitado a R$ 50 milhões por infração.

Dano à reputação: difícil de quantificar, fácil de sentir.

FAQ, Ransomware em PMEs

Pequenas empresas são realmente alvo de ransomware?

Sim. Grupos de ransomware atacam empresas de todos os portes. PMEs são alvos atrativos porque têm dados valiosos e menos proteção do que grandes corporações. Em 2025, a maioria dos ataques registrados no Brasil atingiu empresas com menos de 200 funcionários.

Devo pagar o resgate se minha empresa for atacada?

Não existe resposta única. O pagamento não garante recuperação e financia futuros ataques. A decisão depende do valor dos dados, da existência de backup e do tipo de ransomware. Avalie com seu parceiro de TI antes de qualquer ação.

Como saber se minha empresa está vulnerável a ransomware?

Um diagnóstico de segurança identifica as principais vulnerabilidades: backup sem teste, ausência de MFA, sistemas desatualizados, acesso remoto exposto. A Accertiva faz esse diagnóstico para empresas em São Paulo.

A Accertiva ajuda empresas em SP com prevenção e resposta a ransomware?

Sim. Implantamos camadas de proteção, backup offsite, MFA, EDR, monitoramento proativo, e temos processo de resposta a incidente para minimizar o impacto em caso de ataque.

Sua empresa está protegida contra ransomware? A Accertiva avalia seu ambiente e implanta proteção adequada para empresas em São Paulo. Conheça nossas soluções de segurança da informação, backup em nuvem e gestão completa de TI, ou solicite um diagnóstico.