O ransomware evoluiu e se tornou mais perigoso. No caso de um ataque, o ransomware é agora mais destrutivo e mais difícil de combater do que nunca. Muitas empresas são vítimas de tais ataques e, como resultado, sofrem milhões em perdas. Nesta postagem do blog, esclarecemos como funcionam os ataques modernos de ransomware, compartilhamos exemplos desses ataques e discutimos soluções de segurança, como a microssegmentação, para combater o ransomware.
A Marks & Spencer (M&S) é uma varejista multinacional com sede no Reino Unido e quase 1.400 lojas em todo o mundo. Recentemente, a M&S informou vendas de mais de 18,8 bilhões de dólares americanos. Além de suas lojas físicas, a empresa tem uma forte presença on-line, o que contribui para o crescimento das vendas.1
Em abril de 2025, a empresa foi vítima de um ataque de ransomware que paralisou as operações comerciais por semanas e afetou significativamente as vendas durante a semana da Páscoa. Foi um ataque de phishing e engenharia social realizado por criminosos no ciberespaço (Scattered Spider e DragonForce). Os hackers obtiveram acesso aos sistemas críticos de M&S por meio dos sistemas de helpdesk (que eram provavelmente operados por um provedor de serviços externo).
Os invasores obtiveram acesso e assumiram uma posição na rede. Em seguida, eles implantaram um ransomware que criptografou alguns dos sistemas da empresa. A M&S reagiu imediatamente e bloqueou alguns de seus sistemas para evitar que o ransomware se espalhasse ainda mais. Nesse meio tempo, a empresa recorreu a métodos manuais testados e aprovados para manter as operações comerciais. No entanto, as receitas do comércio eletrônico caíram drasticamente em um período de cerca de seis semanas ou mais.2
As perdas estimadas totalizaram cerca de 400 milhões de dólares americanos. O preço das ações da varejista também despencou, levando a uma perda de valor de mercado de várias centenas de milhões de dólares. A empresa também confirmou que os dados dos clientes também haviam sido roubados.3
Embora a empresa tenha adotado medidas de segurança abrangentes, o incidente mostrou claramente que essas medidas não eram suficientes, especialmente no que diz respeito à proteção contra ataques de ransomware. Depois que a empresa cooperou com várias autoridades de segurança, os sistemas foram restaurados algumas semanas após o ataque. A M&S planeja aumentar seu investimento em segurança para melhor proteger a empresa contra ciberataques.
O ransomware evoluiu rapidamente ao longo dos anos. Os ataques modernos não se baseiam mais exclusivamente na criptografia de arquivos. Em vez disso, busca-se um modelo de chantagem mais complexo, no qual os dados são roubados antes da criptografia e com ameaça de publicação. Os ataques DDoS são então lançados ou as autoridades e os clientes são informados para forçar as vítimas a pagar.
Os ataques de ransomware atuais não envolvem necessariamente a criptografia de dados, que era padrão há alguns anos. Cerca de 30% das empresas (com 501 a 5.000 funcionários) são afetadas tanto pela criptografia quanto pelo roubo de dados.4
Essas estratégias de ataque são muito direcionadas: os invasores usam a manipulação social, provedores terceirizados comprometidos e credenciais roubadas para obter acesso às redes e avançar pelo sistema. Muitos ataques agora são controlados por humanos, e a IA está sendo usada até mesmo para ajudar no reconhecimento ( ou seja, a coleta de informações) e para burlar os sistemas de detecção.
As infraestruturas críticas e a tecnologia operacional, como instalações de produção e hospitais, tornaram-se alvos de ataques porque geralmente dependem de sistemas desatualizados e apresentam alto risco de interrupção. Esse desenvolvimento fez com que o ransomware se tornasse um setor profissionalizado e voltado para o lucro. As medidas de proteção convencionais, como backups de dados, não são mais suficientes; em vez disso, são necessárias medidas anti-ransomware avançadas.
Além das consequências financeiras, os departamentos de segurança das empresas sofrem com o aumento do estresse e do sentimento de culpa após um ataque de ransomware. Portanto, é essencial que as empresas identifiquem as causas dos ataques de ransomware. As causas mais comuns incluem vulnerabilidades de segurança, credenciais de login comprometidas, e-mails maliciosos, ataques de phishing, ataques de força bruta e downloads.
Muitas empresas consideram as medidas de segurança inadequadas como um dos principais motivos dos ataques de ransomware, juntamente com fatores como a falta de conhecimento especializado e a falta de conscientização sobre as vulnerabilidades de segurança existentes.
O que elas precisam para se armar contra novos tipos de ransomware é uma abordagem de segurança em várias camadas que inclua segmentação de rede, arquitetura de Zero-Trust, detecção e resposta de endpoint (EDR) e monitoramento ativo de ameaças. Nesta postagem do blog, explicamos como a microssegmentação pode ajudar as empresas a impedir a disseminação de ataques de ransomware.
Em um ataque de ransomware, a microssegmentação é um mecanismo essencial para conter e controlar a área potencial de danos. Em contraste com a segmentação de rede convencional, que se baseia em limites abrangentes e específicos de perímetro, como redes de acesso local virtuais (VLANs) ou sub-redes, a microssegmentação implementa políticas de segurança precisas e orientadas a aplicativos no nível da carga de trabalho ou do host. Isso permite que as empresas limitem o tráfego de dados entre dispositivos na mesma rede ou data center (também conhecido como tráfego de dados leste-oeste). Se uma variante de ransomware atacar um endpoint, ela não poderá se mover lateralmente para outros sistemas e infectá-los.
De uma perspectiva técnica, a microssegmentação é implementada usando controles de segurança orientados por software que operam no nível do kernel ou do hipervisor, geralmente usando agentes instalados em endpoints, máquinas virtuais ou contêineres. Esses mecanismos de controle funcionam independentemente da infraestrutura de rede subjacente, o que é particularmente vantajoso em ambientes dinâmicos, como data centers ou sistemas de nuvem híbrida.
Por exemplo, uma política de microssegmentação Zero-Trust pode restringir a comunicação entre um servidor Web e um servidor de arquivos, a menos que seja explicitamente permitida por identidade, função ou processo. Isso impede o acesso não autorizado, mesmo que o invasor obtenha informações de login válidas ou explore uma vulnerabilidade de segurança em um host.
Em um cenário de ransomware, a microssegmentação oferece duas funções: prevenção e contenção. Em primeiro lugar, ela reduz drasticamente a área em que o acesso horizontal é possível, aplicando o princípio do menor privilégio. Em segundo lugar, ela permite o isolamento em tempo real das cargas de trabalho infectadas durante um ataque ativo sem afetar a funcionalidade dos serviços não afetados. Essa medida de contenção não apenas impede que o ransomware criptografe sistemas críticos ou armazenamento de backup, mas também dá às equipes de segurança o tempo necessário para investigar e resolver o incidente.
Além disso, as políticas de microssegmentação podem ser integradas aos sistemas de gerenciamento de eventos e informações de segurança (SIEM) ou às plataformas de detecção e correção avançadas (XDR) para acionar respostas automatizadas com base em comportamentos suspeitos, como o bloqueio do tráfego de rede, a colocação em quarentena dos sistemas afetados ou o envio de alertas.
Em resumo, a microssegmentação está transformando a segurança de rede de um modelo de proteção baseado em perímetro para uma solução de segurança descentralizada e baseada em contexto. É um recurso de segurança fundamental para arquiteturas de Zero-Trust e oferece proteção crucial contra a disseminação de ransomware. Portanto, as organizações que se preocupam com a resiliência cibernética devem implementar a microssegmentação como parte essencial de sua estratégia de segurança em várias camadas.
De acordo com o Gartner, cerca de 25% das empresas que usam a tecnologia Zero-Trust terão implementado mais de uma solução de microssegmentação até 2027. O Gartner também prevê que cada vez mais organizações recorrerão à microssegmentação para obter uma segmentação de rede mais precisa, implementar políticas em nível de carga de trabalho, obter visibilidade do tráfego de rede e gerenciar políticas de carga de trabalho em escala.6
Voltemos ao ataque de ransomware à M&S: Nesse caso, o uso da microssegmentação poderia ter reduzido significativamente os danos, pois teria impedido que os atacantes se espalhassem ainda mais pela rede interna. A vulnerabilidade de segurança foi causada por um provedor de serviços externo e, posteriormente, se espalhou para as áreas principais dos sistemas de varejo e comércio eletrônico. A microssegmentação teria permitido controles rígidos e baseados em regras entre as diversas áreas do sistema, por exemplo, separando as áreas de acesso para provedores de serviços externos dos sistemas de produção ou isolando os aplicativos de comércio eletrônico dos bancos de dados de backend e dos sistemas de pagamento.
Isso teria bloqueado os canais de comunicação não autorizados e evitado que o ransomware se espalhasse além dos endpoints inicialmente infectados, garantindo a funcionalidade dos sistemas essenciais. Além disso, os tempos de inatividade teriam provavelmente sido significativamente mais curtos.
A microssegmentação não apenas bloqueia as ameaças, mas também oferece visibilidade abrangente do tráfego de rede no nível do aplicativo e da carga de trabalho. Ao contrário dos firewalls tradicionais que monitoram o tráfego de rede entre diferentes zonas, as ferramentas de microssegmentação (como o Akamai Guardicore) mostram quais dispositivos estão se comunicando entre si, quais serviços estão sendo usados e se essa comunicação é mesmo necessária. Seja na nuvem, on-premise ou em um ambiente híbrido: essa transparência ajuda as equipes de TI a identificar configurações incorretas, sistemas de TI paralelos e comportamentos de risco. É como acender a luz em uma rede.
Essa forma de transparência é fundamental para a segurança e a conformidade. Ela permite que as empresas registrem as dependências entre aplicativos, detectem conexões não autorizadas e criem normas de acesso extremamente precisas. Durante um ataque, os movimentos laterais podem ser reconhecidos mais rapidamente e contidos de forma direcionada. Além disso, os padrões de conformidade, como HIPAA, PCI ou SOC 2, são apoiados pela exibição de quais sistemas interagem com dados confidenciais e pela garantia de que as diretrizes de segmentação sejam cumpridas.
Um provedor de serviços de saúde dos EUA implementou a solução de segmentação de rede Guardicore da Akamai e obteve imediatamente informações sobre o tráfego de rede interno. Mais de 4.000 tentativas de ataques foram reconhecidas logo no primeiro dia. A equipe conseguiu identificar um dispositivo configurado incorretamente e controlar a comunicação entre os dispositivos da rede. Isso permitiu aumentar a segurança, reduzir a superfície de ataque e melhorar a conformidade, tudo com uma equipe pequena e sem comprometer o atendimento ao paciente ou os sistemas existentes.7
A maioria dos ciberataques permanece invisível para as empresas. No entanto, com as ferramentas certas, essas ameaças podem ser reconhecidas e combatidas. O número de ataques a uma empresa pode chegar a milhares todos os dias, e cada tentativa pode levar a um ciberataque completo. De acordo com um relatório da Microsoft, cerca de 600 milhões de tentativas de ataque são registradas em todo o mundo em um dia normal.8
As organizações que implementam a microssegmentação estão mais bem protegidas contra ameaças internas e atividades pós-incidente, como a propagação horizontal de ransomware ou o aumento de privilégios. Como o tráfego é limitado ao que é explicitamente autorizado, é menos provável que dispositivos ou contas de usuários comprometidos ponham em perigo outros recursos, especialmente dados confidenciais, como informações financeiras, propriedade intelectual ou dados proprietários de clientes.
Do ponto de vista comercial, isso leva a um risco menor na área de segurança cibernética, a custos menores no caso de uma violação de segurança e, portanto, a uma maior estabilidade operacional. A microssegmentação também ajuda as organizações a garantir a conformidade com todos os requisitos de conformidade (como PCI DSS, HIPAA e GDPR), assegurando a separação de ambientes de dados confidenciais. Ela também simplifica a resposta a incidentes, minimizando as superfícies de ataque e acelerando a contenção.
Recursos
Vantagens
A luta contra o ransomware exige um profundo conhecimento de segurança cibernética, visibilidade em tempo real e um sistema de segurança em várias camadas. A T-Systems é uma provedora de serviços de detecção e resposta gerenciados (MDR) e oferece aos clientes a experiência necessária por meio de monitoramento 24 horas por dia de Security Operations Center (SOC), análise de ameaças e tecnologias de ponta, incluindo a solução de microssegmentação da Akamai Guardicore. Com fortes recursos de prevenção, resposta rápida a incidentes e busca proativa de ameaças, a T-Systems permite que as organizações se defendam contra ameaças complexas de ransomware, mantendo a continuidade dos negócios e garantindo a confiança.
Para se proteger dos modernos ataques de ransomware, entre em contato conosco hoje mesmo.
1 Marks and Spencer Statistics, 2025, Statista
2 M&S Cyber Attack Article, 2025, BBC
3 Marks & Spencer Breach, 2025, Blackfog
4 The State of Ransomware Report, 2025, Sophos
5 The State of Ransomware Report, 2025, Sophos
6 Market Guide for Microsegmentation, 2025, Gartner
7 Healthcare Case Study, 2025, Akamai
8 Microsoft Digital Defense Report, 2024, Microsoft.
