O Google deu um passo mais na proteção da nuvem contra o sequestro de dados: seu sistema de detecção de ransomware para o Google Drive, potenciado por modelos de IA, já está disponível para todos os clientes de pagamento e ativado por defeito. Trata-se de uma funcionalidade que, quando detecta atividade suspeita durante a sincronização de uma equipe, interrompe essa sincronização instantaneamente e avisa tanto o usuário quanto os administradores para conter o dano.
A ideia central é simples, mas importante: embora a detecção não impeça que um computador comprometido chegue a cifrar arquivos localmente, evita que essas versões cifradas se propaguem às cópias que estão em Drive. Isso significa que a cópia na nuvem fica protegida e pode recuperar rapidamente quando a máquina infectada se sanea, graças à ferramenta de restauração da Drive que permite desfazer as mudanças causadas pelo ransomware. O Google oferece mais detalhes técnicos e passos administrativos no seu centro de ajuda: explicação oficial sobre detecção e recuperação.
Esta função começou a sua implantação em fase beta em outubro de 2025 e agora o Google afirma que, com as melhorias no seu modelo de IA, a detecção cobre uma gama muito maior de padrões de criptografia malicioso e o torna mais rápido. Nas palavras da empresa, o último modelo detecta dezenas de vezes mais infecções do que antes, o que se traduz em uma proteção mais ampla para as organizações. A publicação no blog do Workspace fornece informações sobre a chegada geral da característica: anúncio oficial do Google Workspace.
Do ponto de vista prático, quando o Drive detecta arquivos encriptados durante a sincronização de um computador de mesa, a sincronização é interrompida automaticamente. O usuário afetado recebe uma notificação por e-mail e em Drive, e os administradores vêem um alerta na consola de administração, o que facilita uma resposta coordenada. Além disso, o Google fornece instruções passo a passo para a restauração dos arquivos afetados através da ferramenta de recuperação da Drive, para que as organizações possam voltar ao normal quanto antes.
É importante sublinhar as limitações: parar a sincronização não é um substituto das medidas de proteção nos endpoints. O ataque pode ter criptografado dados no disco local e, portanto, as boas práticas ainda são imprescindíveis: manter sistemas e software atualizados, dispor de cópias de segurança fora da reach dos atacantes, aplicar políticas de mínimos privilégios e usar autenticação multifator. Para recomendações oficiais e guias sobre como preparar-se contra o ransomware, a Agência de Segurança Cibernética dos EUA oferece recursos úteis: Guia de CISA sobre ransomware.
Quanto à disponibilidade, o Google tem ativado a detecção por defeito para organizações com licenças Business, Enterprise, Education e Frontline, enquanto a funcionalidade de restauração está acessível para clientes do Google Workspace, assinantes individuais e usuários com contas pessoais. Os administradores que considerem necessário podem desativar a proteção da consola de administração sob a seção de aplicativos do Google Workspace, nos ajustes de Drive e Docs relacionados com malware e ransomware. Para que os alertas sejam activados nos endpoints, o Google pede que a versão mais recente do Drive seja instalada para desktop (v.114 ou superior); mesmo assim, se o cliente de desktop for uma versão antiga, a sincronização continuará gradualmente quando for detectada uma ameaça.
O Google não é o único ator neste espaço. Outros fornecedores de armazenamento na nuvem forneceram funções semelhantes: a Microsoft inclui detecção e recuperação do ransomware no OneDrive para assinantes da Microsoft 365, com recursos e procedimentos para recuperar arquivos danificados, como detalha sua documentação de suporte: OneDrive — detecção e recuperação. O Dropbox também tem mecanismos de detecção para clientes empresariais e planos avançados; sua ajuda online explica o que eles oferecem e quem é dirigido: Informações do Dropbox sobre detecção de ransomware. A convergência dessas funções mostra que os fornecedores cloud estão incorporando capacidades proativas para limitar o alcance do dano quando os endpoints falham.
Da perspectiva de TI e segurança, a chegada de detecção impulsionada por IA a serviços como Drive levanta questões operacionais e de privacidade. Que sinais analisa o modelo? O conteúdo dos ficheiros é avaliado ou apenas os padrões de comportamento da sincronização? O Google indica que a detecção é feita durante a sincronização e que, devido à suspeita de criptografia malicioso, bloqueia o aumento, é notificado e cria um alerta administrativo, mas as organizações prudentes devem rever políticas de privacidade e retenção, além de coordenar com fabricantes de antivírus e fornecedores de gerenciamento de endpoints para cobertura completa.
Para as empresas, a recomendação é clara: activar uma defesa em camadas. A função de Drive acrescenta uma barreira importante contra a propagação do ransomware à nuvem, mas não substitui cópias de segurança offline, segmentação de redes, formação a usuários ou soluções endpoints modernas. Implementada juntamente com essas medidas, esta detecção AI pode reduzir significativamente o impacto de um incidente e acelerar a recuperação.
Em última análise, o Google permite uma detecção de ransomware alimentada por IA em Drive para clientes de pagamento é uma boa notícia para administradores e usuários. Representa uma melhoria na protecção dos activos na nuvem e na capacidade de resposta a incidentes, mas continuará a ser parte de um ecossistema de controlos que as organizações devem gerir de forma coordenada.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...