A narrativa clássica que coloca as cópias de segurança como a última linha de defesa contra um ataque de ransomware ficou antiquada: os incidentes recentes mostram que os atacantes não esperam cifrar sistemas para depois pedir resgate; primeiro buscam, corrompem ou removem os pontos de recuperação. Uma cópia de segurança inacessível ou manipulada não serve de nada, e essa realidade exige repensar não só a tecnologia, mas também os processos e a responsabilidade entre equipes de TI e segurança.
Na prática, os ataques tendem a seguir uma sequência lógica: acesso inicial, escalada de privilégios, movimento lateral, descoberta de infra-estruturas de backup e, apenas então, destruição dos pontos de recuperação antes da cifra em massa. Essa cadeia demonstra que proteger os endpoints sem garantir a camada de apoio equivale a fechar a porta principal deixando a caixa forte aberta. A proteção de backups deve ser integrada na estratégia de cibersegurança, não se tratar como procedimento separado e administrado por outra equipe.
As falhas que aparecem uma e outra vez nas pesquisas de incidentes revelam fraquezas concretas: ambientes de backup não isolados do domínio de produção, credenciais compartilhadas ou sem MFA, políticas de retenção que podem ser modificadas, e ausência de controles de inmutabilidade no armazenamento. Isto soma-se a falta de testes regulares de restauração em escala e a fragmentação entre ferramentas de segurança e backup, permitindo que atividades maliciosas passem desapercebidas.
Uma dimensão técnica crítica é a inmutabilidade: os mecanismos que impedem a modificação ou a remoção de dados durante um período definido. Não basta que o software o declare; a protecção deve ser imposta no armazenamento ou em camadas de controlo que não dependem exclusivamente de credenciais administrativas, reduzindo o impacto da suplantação de contas ou do abuso de APIs. No entanto, a inmutabilidade por si só não garante recuperação se alguém pode alterar as políticas ou se a integridade dos pontos de recuperação nunca for validada.
As implicações organizacionais são profundas. Confiar em backups sem auditar seu isolamento e sem integrá-los em detecção e resposta cria um falso sentido de segurança que amplifica o risco reputacional e econômico. O tempo de inatividade quando não há cópias confiáveis pode ser muito mais caro do que investir em controles preventivos e em exercícios periódicos de restauração. Além disso, os prestadores de serviços gerenciados devem padronizar configurações seguras para todos os seus clientes para evitar que uma falha de processo se transforme em um incidente em cadeia.
Do ponto de vista operacional, é prioritário estabelecer separação clara de identidades: contas dedicadas à administração de backup com princípios de mínimo privilégio, autenticação multifator e gestão de segredos com registros e alertas. Ao mesmo tempo, a segmentação de rede e o uso de zonas de gestão isoladas evitam que um host comprometido explore e impacte repositórios de recuperação. Controlar o acesso, registrar atividade e alertar anomalias na camada de backups deve ser tão obrigatória quanto nos endpoints.
Outro pilar é a automação e a validação: realizar verificações automáticas que confirmem a consistência das cópias, restaurações periódicas a ambientes de teste e orquestração de recuperação que reduza erros humanos durante uma crise. Essas práticas convertem as cópias em pontos de confiança e permitem detectar corruptelas ou lacunas antes de precisar de uma restauração real.
Se já se perdeu a integridade de algumas cópias, as opções incluem localizar cópias antigas fora do alcance do atacante, recorrer a armazenamentos imutávels em locais diferentes, reconstruir de imagens limpas ou, quando necessário, realizar análises forenses para identificar o último estado confiável. Em qualquer caso, a recuperação requer geralmente uma combinação de experiência forense, recursos de engenharia e decisões estratégicas sobre o que restaurar e em que ordem.
Adoptar uma abordagem integrada que combine proteção de endpoints, controle de identidades, detecção e orquestração de recuperação reduz a janela de exposição. A consolidação de capacidades pode facilitar a visibilidade e acelerar a coordenação entre equipamentos, embora não seja a única via válida: o essencial é que os controlos operem de forma coerente e que as políticas de backup estejam sujeitas à mesma governação que o resto da segurança.
Para aqueles que querem aprofundar medidas concretas e enquadramentos de referência, a Agência de Segurança Cibernética e Infra-estruturas dos EUA. EUA oferece guias práticas sobre ransomware e recuperação em seu portal https://www.cisa.gov/stopransomware, e a Agência da União Europeia para a Cibersegurança publica análise e recomendações sobre o panorama de ameaças em torno do ransomware https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022-ransomware.
Em resumo: cópias de segurança devem ser concebidas para sobreviver a um ataque deliberado. Isso implica isolamento, identidade e acesso rígidos, inmutabilidade verificada, monitorização integrada e exercícios regulares de restauração. A alternativa é arriscar que as cópias, em vez de ser a garantia de continuidade, se tornem outra vítima mais do incidente.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...