Em 2025, a ESG (parte da Omdia) constatou que 92% das organizações na América do Norte sofreram um ataque de ransomware nos doze meses anteriores, e quase metade descobriu que o malware estava espreitando seu ambiente por oito dias ou mais antes que alguém percebesse. Esse tempo de permanência importa muito mais do que a maioria das equipes de segurança imagina. Operadores modernos de ransomware não “detonam” ao chegar. Eles se deslocam lateralmente, aumentam seus privilégios e roubam tudo o que conseguem alcançar. Eles só iniciam a criptografia após terem levado tudo o que vale a pena roubar. A criptografia é apenas o tiro de misericórdia.
Backups tornaram-se o alvo principal
Quando os cibercriminosos dão o golpe final, querem ter certeza de que ele vai surtir efeito. É por isso que os ladrões de ransomware visam mais do que apenas seus dados operacionais no momento da criptografia; eles atacam seus backups também. Mais de quatro em cada dez (41%) das organizações norte-americanas afetadas identificaram a infraestrutura de backup como um alvo, segundo a ESG. Essa é a resposta mais comum.
Essa mudança é estratégica, não acidental. Os invasores perceberam que, se você destruir a capacidade de restauração de uma organização, a questão do resgate se resolve por si só.
Apesar de anos de investimento em proteção contra ransomware, a pesquisa da ESG revelou que 69% das organizações atacadas na América do Norte pagaram o resgate ao serem atingidas. Após investirem bilhões, coletivamente, em modernização de backup, detecção de endpoints e retenção de serviços de resposta a incidentes, mais de dois terços acabam enviando o Bitcoin ou Monero (XMR) solicitado pelos criminosos. Entre as que sofreram um ataque bem-sucedido, 53% das empresas norte-americanas relataram um impacto financeiro total de um milhão de dólares ou mais.
O argumento para a recuperação mínima viável do negócio
Onde isso deixa a empresa que deseja estar preparada? O instinto é proteger tudo com o mesmo rigor e presumir que é possível restaurar tudo de uma só vez. Na prática, a maioria das organizações que faz isso acaba não testando nem cronometrando nada.
Um ponto de partida melhor é a recuperação mínima viável do negócio. A questão que se coloca é: o que minha empresa realmente precisa para continuar operando? Consigo ainda vender, receber pagamentos de clientes e pagar os meus funcionários?
As organizações que conseguem priorizar um subconjunto dos elementos necessários para o seu funcionamento, enquanto agendam a recuperação do restante para mais tarde, tendem a ter uma estratégia de proteção mais eficaz. Elas estreitaram o escopo o suficiente para realmente validar o processo de restauração.
Defesas em camadas em torno do núcleo
Uma vez identificado o que deve sobreviver, proteja esses itens como se a existência da sua organização dependesse disso — porque ela depende. Existem alguns princípios fundamentais da resiliência cibernética que garantem a continuidade mínima viável das operações comerciais (MVBO):
Presuma que houve uma violação de segurança: aplique o princípio da confiança zero. Suponha que os invasores já estejam dentro da sua infraestrutura e que estejam de olho nos seus backups.
Utilize armazenamento de dados imutável: são cópias de backup protegidas em nível de firmware ou hardware, de modo que não possam ser alteradas por nenhuma credencial em seu ambiente de produção.
Adicione isolamento por air-gap: separe suas cópias críticas por meio de caminhos de gerenciamento independentes, credenciais distintas e autenticação multifatorial. Backups 3-2-1: três cópias dos dados, incluindo a cópia de produção, duas mídias distintas (mantendo uma imutável) e uma cópia externa (talvez na nuvem), oferecem excelente proteção.
Considere a detecção de anomalias em backups: detectar padrões suspeitos apenas nos seus backups não impedirá a invasão. Afinal, quando você detecta um ransomware nos backups, já é tarde. No entanto, isso acelera a análise forense, ajuda a isolar cópias limpas e reduz os tempos de recuperação.
Insights sobre resiliência cibernética
Lacunas na resiliência cibernética expõem organizações a riscos. Estratégias maduras aumentam em 2,8x a recuperação. Veja o infográfico.
Baixe agoraTeste, cronometre e tenha a confiança para dizer não
Tudo o que foi mencionado acima é necessário, mas nada disso é suficiente sem um plano de recuperação testado, cronometrado e comprovado. A verdadeira pergunta que cada empresa deve responder não é apenas se ela pode se recuperar, mas o quão rápido ela consegue restaurar as funções críticas do negócio.
Seu plano não pode depender de que todos executem suas tarefas perfeitamente sob pressão. Simule a recuperação e meça o tempo. Identifique o que falha, refine e repita o processo. A organização que consegue dar ao seu CEO uma estimativa de restauração confiável é aquela que pode se dar ao luxo de dizer “não” quando o pedido de pagamento de resgate for feito. Como os números mostram, a maioria não consegue fazer isso hoje. Essa é a lacuna que as arquiteturas modernas de backup e recuperação com resiliência cibernética — baseadas em armazenamento imutável, cyber vaults (cofres cibernéticos) isolados, detecção inteligente de anomalias e recursos comprovados de restauração rápida — foram especificamente concebidas para preencher.
