Ransomware.

O ransomware cifra ficheiros, bases de dados, máquinas virtuais ou volumes de armazenamento inteiros e apresenta depois uma nota a exigir criptomoeda em troca da chave de decifragem. Os operadores atuais praticam habitualmente campanhas de "dupla extorsão": exfiltram os dados antes de cifrar e ameaçam publicá-los em sites de fuga caso a vítima se recuse a pagar. O acesso inicial é normalmente obtido através de phishing, portais RDP/VPN expostos, vulnerabilidades em software ou credenciais comprometidas.

As campanhas reais mostram este padrão. O WannaCry (maio de 2017) propagou-se pelas redes como um worm usando o exploit EternalBlue em SMB. O incidente da Colonial Pipeline (maio de 2021) — causado por afiliados do DarkSide que entraram através de uma palavra-passe de VPN vazada e sem MFA — interrompeu o fornecimento de combustível em toda a costa leste dos EUA. Semanas depois, o REvil explorou uma vulnerabilidade zero-day no software de gestão VSA da Kaseya (CVE-2021-30116) para distribuir ransomware a jusante a entre 800 e 1.500 empresas num único ataque à cadeia de fornecimento, exigindo depois um decifrador universal de 70 milhões de dólares.

flowchart LR
  A[Acesso inicial<br/>phishing / RDP / VPN] --> B[Reconhecimento e escalada de privilegios]
  B --> C[Exfiltracao de dados]
  C --> D[Cifragem em massa]
  D --> E[Nota de resgate + ameaca de site de fuga]
  E --> F{A vitima paga?}
  F -->|Sim| G[Decifrador talvez fornecido]
  F -->|Nao| H[Dados divulgados / sistemas perdidos]

As defesas eficazes incluem cópias de segurança offline e imutáveis, EDR/XDR, MFA em todos os acessos remotos, aplicação rápida de patches, segmentação de rede, contas com privilégios mínimos e um plano de resposta a incidentes testado. Pagar não garante a recuperação e pode financiar novos ataques.