A falsa sensacao de seguranca do backup tradicional
Existe uma frase recorrente em reunioes de TI: “Estamos protegidos, temos backup”. Na pratica, essa confianca pode ser fatal. Analise recente publicada pelo The Hacker News alerta que estrategias tradicionais de backup estao se mostrando insuficientes contra as tecnicas atuais de ransomware — e o motivo e mais simples do que parece: os atacantes sabem que voce tem backup, e atacam ele primeiro.
Grupos modernos de ransomware comprometem os sistemas de backup ja nos primeiros dias de permanencia na rede, frequentemente em torno do decimo dia apos o acesso inicial. Quando a encriptacao massiva acontece, a vitima descobre que seus snapshots estao corrompidos, suas replicas foram apagadas e seus RPOs e RTOs se tornam inalcancaveis.
Dupla extorsao: criptografar nao basta mais
O modelo de negocio do ransomware evoluiu. A dupla extorsao combina duas pressoes simultaneas:
- Criptografia dos dados: o ataque classico que torna os sistemas indisponiveis.
- Exfiltracao previa: antes de criptografar, os atacantes copiam dados sensiveis para servidores externos. Mesmo que a empresa restaure tudo a partir do backup, os dados ja vazaram.
Isso significa que restaurar o backup nao resolve o problema completo. A empresa evita o downtime, mas ainda enfrenta o risco regulatorio e reputacional do vazamento. Para organizacoes sujeitas a LGPD, o cenario exige notificacao a ANPD e aos titulares afetados — independentemente de ter restaurado os sistemas.
Onde as estrategias tradicionais falham
A maioria das empresas de medio porte no Brasil opera com uma combinacao de backup em disco local, replicacao para um servidor secundario e, no melhor caso, uma copia em nuvem. Essa arquitetura tem tres pontos frageis criticos:
- Credenciais compartilhadas: se o backup usa as mesmas credenciais de dominio que o restante da rede, o atacante com privilegio de dominio apaga tudo com um unico comando.
- Backups conectados a rede: um share SMB montado permanentemente no servidor de backup e tao vulneravel quanto qualquer outro volume quando o ransomware se propaga lateralmente.
- Backups nao testados: pesquisas do setor indicam que uma parcela significativa das empresas nunca realizou um teste completo de restauracao. O backup existe no papel, mas falha quando e acionado de verdade.
Checklist pratico: o que mudar hoje
A defesa contra ransomware moderno exige repensar o backup como parte de uma estrategia integrada de resiliencia, nao como recurso isolado. Aqui esta o que times de infraestrutura devem priorizar:
- Backups imutaveis: armazenamento onde os dados gravados nao podem ser alterados ou excluidos durante um periodo definido (WORM — Write Once, Read Many). Servicos de object storage com politica de imutabilidade (como S3 Object Lock ou equivalentes em OCI) garantem que mesmo um administrador comprometido nao consiga apagar os snapshots.
- Copia air-gapped: pelo menos uma copia de backup deve estar fisicamente desconectada da rede. Fitas LTO em cofre, discos removiveis armazenados offline ou replicacao para um ambiente com credenciais totalmente independentes.
- Regra 3-2-1-1-0: tres copias dos dados, em dois tipos de midia diferentes, uma fora do site, uma imutavel ou offline, com zero erros verificados no ultimo teste de restauracao.
- Testes regulares de restauracao: agende restauracoes completas trimestrais em ambiente isolado. Valide o tempo real de recuperacao contra o RTO contratado. Se a restauracao leva 48 horas e o RTO prometido e 4 horas, ha um problema que precisa ser resolvido antes do incidente.
- Deteccao comportamental: monitorar padroes anomalos de acesso a arquivos — criptografia massiva, renomeacao em lote, exclusao de shadow copies — com ferramentas de deteccao de intrusao e monitoramento de integridade de arquivos. Quanto antes a atividade de ransomware e detectada, menor o volume de dados comprometidos.
- Segmentacao de credenciais: o sistema de backup deve operar com contas de servico dedicadas, sem relacao com o Active Directory principal. Autenticacao multifator no console de gerenciamento do backup e obrigatoria.
O backup e necessario, mas nao e suficiente
Nenhuma dessas medidas substitui as camadas anteriores de defesa: patching em dia, segmentacao de rede, privilegio minimo, monitoramento continuo. O backup e a ultima linha, nao a unica. O erro mais comum e trata-lo como seguro de vida sem verificar se a apolice esta em dia.
Para equipes de TI que operam ambientes criticos, a pergunta nao e “temos backup?”, mas sim: “nosso backup sobrevive a um adversario que sabe que temos backup e veio preparado para destrui-lo?”. Se a resposta nao for um sim confiante e verificado, e hora de revisar a estrategia antes que o proximo incidente faca isso por voce.