O veredicto recente contra dois profissionais de cibersegurança envolvidos em ataques com o ransomware conhecido como BlackCat (ALPHV) destaca uma realidade inquietante: não só existem ameaças externas sofisticadas, mas também podem vir de quem deveria nos proteger. Os acusados, que trabalhavam em empresas do setor e aceitaram repartir com os operadores do ransomware uma porcentagem de resgates, combinavam conhecimentos técnicos e acesso privilegiado para violar sistemas e extorsionar vítimas nos Estados Unidos.
Para além da história judicial – onde se descreve o pagamento de resgates no Bitcoin, a lavagem posterior de fundos e o abuso de funções internas para inflar negociações – a lição principal é que o modelo de Ransomware-as-a-Service (RaaS) permite a atores com diferentes papéis colaborar para maximizar lucros ilegais. Embora grupos específicos possam desaparecer ou mudar de nome, o esquema técnico e económico persiste e evolui, o que exige respostas tanto organizativas como regulamentares.
Do ponto de vista da gestão do risco, existem várias implicações imediatas: a necessidade de reforçar a confiança em terceiros e contratantes, rever privilégios e acessos de pessoal com alta capacidade técnica, e melhorar a supervisão de quem mediam negociações ou respostas a incidentes. Também é claro que a existência de apólices de ciberseguro pode tornar-se uma variável explorada por intervenientes internos e externos, pelo que a informação sobre limites e condições deve ser gerida com cuidado extremo.
No plano técnico, as defesas tradicionais continuam a ser necessárias, mas não suficientes. É imprescindível combinar cópias de segurança testadas e isoladas, segmentação de redes, princípio de mínimos privilégios, autenticação multifator e soluções modernas de detecção e resposta em endpoints (EDR). Além disso, manter um inventário atualizado de ativos e aplicar adesivos de forma priorizada reduz a superfície de ataque que os grupos RaaS costumam aproveitar.
Para organizações que gerem a resposta a incidentes, convém estabelecer procedimentos claros sobre quem pode negociar, quais informações são partilhadas e como cada passo é documentado, envolvendo sempre aconselhamento legal e forças de segurança quando apropriado. As negociações sem transparência ou com intervenientes internos que facilitem dados sensíveis aumentam o risco de pagamentos mais elevados e de efeitos jurídicos subsequentes.
Em matéria de recrutamento e de recursos humanos, as empresas devem alargar as avaliações de risco ao contratar perfis técnicos com acesso crítico: verificações de antecedentes, controlos contínuos de privilégios, políticas de separação de funções e supervisão de actividades invulgares. A formação ética e em segurança para pessoal com capacidades avançadas pode reduzir a probabilidade de abuso deliberado.
A ação judicial contra esses indivíduos é um lembrete de que o combate ao cibercrime requer coordenação entre o setor privado e as autoridades, bem como transparência na notificação de incidentes para evitar que atores maliciosos repitam táticas eficazes. Recursos oficiais sobre prevenção e resposta ao ransomware fornecem guias práticas que convém rever e aplicar: por exemplo, as recomendações do CISA sobre ransomware https://www.cisa.gov/ransomware e a informação geral sobre pesquisas cibernéticas do FBI https://www.fbi.gov/investigate/cyber.
Finalmente, para qualquer organização, a recomendação é clara: não delegar a confiança em meras credenciais ou experiência técnica sem controles compensatórios, fortalecer a governança de acessos e respostas, e conceber planos de resiliência que permitam restaurar operações sem sucumbir a chantagem. A combinação de medidas preventivas, detecção precoce e cooperação com autoridades reduz tanto o atrativo económico dos ataques como a capacidade de atores internos para se tornar facilitadores do crime.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...