Em fevereiro de 2026, um ataque de ransomware deixou a University of Mississippi Medical Center (UMMC) sem acesso ao seu sistema de histórias clínicas eletrônicas Epic em 35 clínicas e mais de 200 pontos de telemedicina, obrigando a mudar para processos em papel, cancelar quimioterapias e adiar cirurgias não urgentes. Essa imagem —pessoal, concreta e dolorosa — resume como um ciberataque deixa de ser um problema puramente informático para se tornar um risco operacional real que afeta vidas, contas bancárias e linhas de produção. A cobertura desse incidente apareceu em meios especializados como HIPAA Journal, e reflete uma tendência mais ampla: em 2025, a prática de publicar incidentes e medir seus efeitos mostrou um aumento notável de ataques e, sobretudo, de interrupções de serviços críticos.
O fenômeno já não é apenas “encryptar arquivos”: Desde há anos, as bandas criminosas evoluíram seu modelo de negócio. Se, no início, bastava cifrar um servidor e exigir resgate pela chave de decifração, a extorsão geralmente combina a cifra com o roubo de informações sensíveis para pressionar a vítima através da ameaça de divulgação. Quando os intervenientes maliciosos exfiltram histórias médicas, dados de salários ou arquivos de design industrial, os danos potenciais transcendem a perda temporária de acesso: há risco de sanções regulatórias, litígios e danos reputacionais que os apoios tradicionais não atenuavam sozinhos. Investigação e análise do sector, como os que publicam Coveware, documentam como a dupla extorsão se tornou prática habitual e como, posteriormente, alguns grupos adicionaram uma terceira camada de pressão ao contatar diretamente com clientes ou fornecedores.
Os números ajudam a dimensionar o problema: em 2025 o número de ataques públicos aumentou significativamente, e os pesquisadores que rastreiam grupos e campanhas detectaram mais de uma centena de coletivos ativos, muitos deles recém formados. Uma contagem jornalística especializada constatou a detecção de 124 grupos de ransomware ativos, com uma parte substancial emergindo no último período, o que complica a tarefa das defesas tradicionais e eleva a “oferta” de serviços criminosos disponíveis no mercado criminoso ( Infosecurity). Ao mesmo tempo, plataformas que monitoram incidentes públicos oferecem dados sobre a magnitude dos casos relatados e seu crescimento ano contra ano ( Emsisoft).
Não é surpresa, então, que setores tão distintos como a saúde, a banca ou a manufatura estejam na primeira linha de impacto. Além de hospitais que interrompem tratamentos, os ataques contra fornecedores de pagamentos demonstraram que uma única incidência pode deixar transações paralisadas e comerciais sem poder cobrar. O risco é sistémico: a interdependência entre fornecedores, serviços na nuvem e terceiros torna uma violação localizada em uma crise com efeitos em cadeia.
Face a esta realidade, existem duas conclusões que devem ser claras. A primeira é que as soluções baseadas apenas em perímetros ou na restauração desde cópias de segurança já não bastam. A segunda é que existem ferramentas e práticas que reduzem a capacidade dos atacantes para converter uma intrusão em uma extorsão rentável: criptografia de dados em repouso, controles de acesso que impeçam processos não autorizados ler ou modificar arquivos críticos, segmentação de redes e planos de recuperação geridos de forma independente.
O desafio técnico e humano Não é menor: proteger dados críticos exige políticas que garantam que, mesmo que um adversário consiga extrair arquivos, esses dados não sejam legíveis ou úteis. Isso implica aplicar a cifra efectiva e ligando-o a controlos que determinem quais processos e usuários podem decifrar em tempo de execução. Também significa registrar e auditar acessos para detectar atividade anómala o mais rapidamente possível e dispor de estratégias de recuperação que reduzam a necessidade de negociar com criminosos.
Desde o domínio público, foram reforçadas as recomendações técnicas e de gestão: agências como a CISA e organismos reguladores de saúde como o HHS Eles publicam guias práticas sobre como prevenir e responder a incidentes, e insistem na importância da autenticação multifator, segmentação, visibilidade da telemetria e procedimentos de recuperação que incluam testes periódicos. Os grandes atores da indústria tecnológica também alertam que a adoção de inteligência artificial muda a dinâmica: a mesma tecnologia que potência defesas também facilita a atacantes menos sofisticados automatizar seu trabalho, criar ferramentas de ataque mais eficazes ou melhorar técnicas de engenharia social ( Microsoft Digital Defense Report).
No mercado existem soluções centradas na ideia de “neutralizar” o valor do dado exfiltrado por encriptação aplicado de modo a que, mesmo fora da rede da organização, a informação roubada não possa ser lida sem as chaves apropriadas. Alguns fornecedores combinam isto com controles a nível de processos que bloqueiam software não autorizado e com sistemas de recuperação que buscam encurtar a janela de interrupção. Um exemplo comercial visível na oferta do setor é a plataforma D.AMO do Penta Security, que propõe combinação de criptografia a nível de pasta, controle de processos e mecanismos de recuperação; sua própria documentação explica como encaixam essas peças numa abordagem integrada ( Penta Security).
No entanto, nenhuma tecnologia funciona isolada ou substitui uma governação robusta: a prevenção requer formação contínua do pessoal, exercícios de simulação, avaliação de fornecedores e políticas claras sobre gestão de incidentes e comunicação. Os recursos técnicos ganham eficácia quando se aplicam num quadro que contempla aspectos legais, de garantia e de continuidade do negócio.
Para as organizações que ainda estão desenhando sua estratégia de defesa, a recomendação prática dos especialistas é dupla: fortalecer as camadas de prevenção e, simultaneamente, reduzir a rentabilidade do ataque. Isso quer dizer endurecer acessos, cifrar informações sensíveis em repouso e em trânsito, monitorar atividade incomum e garantir cópias de segurança isoladas e testadas. Ao mesmo tempo, dispor de acordos de resposta, equipamentos forenses e um plano de comunicação pública e com reguladores reduz o custo total de um incidente.
A conversa pública e tecnológica sobre o ransomware continuará a evoluir. Entretanto, o essencial não muda: As organizações devem assumir que um ataque é questão de quando, não de si, e de conceber defesas que mitiguem tanto a interrupção operacional como a exploração e os danos reputacionais resultantes da fuga de dados. Aqueles que o internalicem e agirão em consequência estarão em melhor posição para proteger seus usuários, clientes e pacientes quando o próximo incidente golpee.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...