Muitos donos de pequenas empresas ainda pensam que ataques de ransomware só acontecem em hospitais, marcas globais ou infraestruturas públicas. Na realidade, o risco de ransomware em pequenas empresas é um dos exemplos mais claros de como os invasores estão consistentemente visando organizações com dados valiosos, tempo limitado e defesas mais fracas.

Descobertas recentes do Observatório de Violações de Dados da Proton mostram que as PMEs são frequentemente vítimas de violações. Elas também estão desproporcionalmente representadas nos incidentes mais prejudiciais, incluindo violações envolvendo dados de alto risco e grandes exposições de registros.

O ransomware é um problema de continuidade de negócios, segurança de credenciais e proteção de dados. A Pesquisa de Violações de Segurança Cibernética do governo do Reino Unido descobriu que 1% das empresas do Reino Unido identificaram incidentes de ransomware nos 12 meses anteriores, acima dos menos de 0,5% em 2024. Em escala nacional, isso equivale a cerca de 19.000 empresas.

Apesar do aumento do ransomware, o phishing ainda é o tipo mais comum de ataque cibernético. Os invasores obtêm acesso às redes de negócios com mais frequência por meio de pessoas, credenciais e fluxos de trabalho rotineiros, em vez de ataques cibernéticos em larga escala. Eles podem basicamente usar um ataque de phishing para lançar um ataque de ransomware maior se sentirem um retorno financeiro maior.

Para uma pequena empresa, o dano do ransomware pode causar interrupções significativas na continuidade do negócio. Os membros da equipe perdem acesso aos arquivos e não conseguem continuar o trabalho, as operações desaceleram ou param, e os clientes não recebem os serviços adequados. Se os dados pessoais forem comprometidos, as obrigações de relatório virão em seguida. Uma estratégia prática de ransomware para PMEs deve cobrir ambos os aspectos de um ataque: prevenção e recuperação.

Como funciona o ransomware?

Ransomware é um tipo de malware que impede você de acessar dispositivos ou dados, geralmente criptografando arquivos, e então exige um pagamento em troca da descriptografia. Em muitos casos, os invasores agora fazem mais do que bloquear arquivos. Eles também roubam dados e ameaçam vazá-los se o resgate não for pago, o que transforma o incidente tanto em uma crise de disponibilidade quanto em uma potencial violação de dados.

As vítimas são frequentemente instruídas a se comunicar por e-mail anônimo ou páginas da web e a pagar em criptomoeda. Para pequenas empresas, essa distinção é importante porque a criptomoeda é anônima, descentralizada e não regulamentada por instituições financeiras tradicionais: é quase impossível rastrear os pagamentos.

Um evento de ransomware nem sempre se limita a perder o acesso a arquivos. Também pode significar que informações de clientes, dados de funcionários, registros financeiros, contratos ou credenciais de início de sessão já foram exfiltrados. O ransomware pode levar à perda de acesso oportuno a dados pessoais e, onde os backups não são adequados ou disponíveis, até mesmo à perda permanente.

A cadeia de ataque é geralmente mais comum do que você imagina. Os incidentes fáceis de ignorar que podem levar a um ataque de ransomware incluem:

  • Links de phishing sendo acessados.
  • Senhas reutilizadas sendo expostas em uma violação de dados.
  • Serviço de acesso remoto deixado exposto.
  • Vulnerabilidades conhecidas deixadas sem correção.

Assim que um invasor consegue acesso a uma rede de negócios, ele se move lateralmente, escala privilégios, desativa caminhos de recuperação onde possível e implanta a criptografia ou extorsão onde for doer mais. Nenhuma ferramenta ou solução isolada pode prevenir ataques de ransomware. Em vez disso, as organizações devem se concentrar em reduzir o número de caminhos fáceis para a sua rede.

Por que as pequenas empresas são alvos desproporcionais

As pequenas empresas são alvos de ransomware atraentes por um motivo simples: elas possuem dados valiosos que não estão tão protegidos quanto deveriam. As últimas descobertas do observatório da Proton mostram que as PMEs representam 63% das violações rastreadas desde janeiro de 2025 e mais de 352 milhões de registros vazados.

Elas também representam 61% das violações envolvendo dados de alto risco, com as pequenas empresas sozinhas representando 48% desses incidentes críticos. Entre as violações que expõem mais de 100.000 registros, as PMEs representam 60%, e as pequenas empresas representam 42%.

As pequenas empresas não são descuidadas. Na verdade, o Relatório de Cibersegurança para PMEs 2026 da Proton prova que as pequenas empresas estão tentando melhorar sua cibersegurança. O problema é que suas defesas estão falhando em condições do mundo real. A aplicação inconsistente, o erro humano, hábitos de acesso compartilhado e a capacidade limitada de segurança interna são o que tornam as pequenas empresas alvos tentadores.

Na pesquisa da Proton com 3.000 líderes de empresas com menos de 250 funcionários, 39% disseram que os incidentes originaram-se de erro humano e 48% disseram que não tinham um gerenciador de senhas implementado.

Empresas maiores podem ter equipes de resposta dedicadas, ambientes segmentados, planos de backup testados e suporte externo a incidentes já estabelecidos. As menores geralmente têm uma função de TI enxuta, suporte terceirizado ou nenhum especialista de segurança dedicado. Quando o ataque acontece, a empresa é forçada a tomar decisões de alto risco sob pressão operacional. Essa pressão é exatamente o que os operadores de ransomware esperam.

Os pontos de entrada mais comuns para ransomware em PMEs

Após examinar os estudos realizados no Reino Unido, sabemos que o phishing continua sendo o vetor dominante de crimes cibernéticos para empresas. Mas por quê? É porque o phishing é frequentemente o primeiro passo para o roubo de credenciais, comprometimento de conta, entrega de malware ou abuso de acesso remoto.

Credenciais fracas ou reutilizadas são outro grande problema. Pequenas empresas frequentemente têm inícios de sessão compartilhados, senhas reutilizadas em vários serviços ou contas antigas que permanecem ativas depois que alguém muda de função ou sai. Uma vez que os invasores obtêm um início de sessão que funcione, eles não precisam hackear as contas. Eles podem simplesmente iniciar sessão.

A partir daí, uma conta de administrador mal protegida, um console de nuvem exposto ou um ponto de acesso remoto sem autenticação de dois fatores (A2F) podem se tornar a ponte para um incidente de ransomware mais amplo. Realisticamente, as organizações precisam implantar A2F, acesso com privilégio mínimo e revisões regulares de permissão para reduzir a facilidade com que credenciais roubadas podem ser reutilizadas e até onde o malware pode se espalhar.

O software não corrigido é outro ponto de entrada recorrente. O NCSC observa que o ransomware é cada vez mais implantado por meio de serviços expostos, como o RDP ou dispositivos de acesso remoto não corrigidos, e recomenda a correção de vulnerabilidades em sistemas de acesso remoto e voltados para a internet assim que estiverem disponíveis. Para PMEs, é aqui que um incidente ignorado silenciosamente se torna uma superfície de ataque.

Como se proteger contra ransomware: uma abordagem em camadas

Não existe um controle único que possa impedir o ransomware. A abordagem mais eficaz é prática e em camadas.

Comece com o gerenciamento de identidade

Os dados nas contas dos membros da equipe precisam de uma proteção minuciosa para repelir ataques de ransomware. Torne a autenticação de dois fatores obrigatória, sempre que possível, em todas as contas críticas para os negócios, especialmente e-mail, ferramentas de administrador, armazenamento em nuvem, plataformas financeiras, pontos de acesso remoto e quaisquer sistemas que armazenem dados pessoais de clientes ou outras informações de identificação pessoal (PII).

Melhore a higiene das senhas

Os invasores nem sempre invadem as contas. Muitas vezes, eles iniciam sessão com credenciais roubadas ou reutilizadas. Cada conta empresarial deve ter uma senha forte e exclusiva, e o acesso compartilhado deve ser substituído pelo compartilhamento seguro e gerenciado de credenciais por meio de um gerenciador de senhas empresarial, em vez de planilhas, chats ou e-mail.

O relatório da própria Proton sobre PMEs destaca que até mesmo empresas com ferramentas instaladas ainda costumam recorrer a hábitos inseguros de compartilhamento de senhas. É exatamente aqui que um gerenciador de senhas empresarial seguro, como o Proton Pass for Business, pode reduzir os riscos: ele ajuda as equipes a criarem credenciais fortes e exclusivas, armazená-las com segurança e compartilhar o acesso de forma controlada e segura.

O gerenciamento de correções deve ser disciplinado

As atualizações de segurança para sistemas operacionais, aplicativos, VPNs, ferramentas de acesso remoto e dispositivos de fronteira devem ser tratadas como itens operacionais essenciais, não como manutenção opcional. Instale as atualizações de segurança o mais rápido possível e ative as atualizações automáticas sempre que possível.

Proteção robusta de e-mail e web

A filtragem de e-mail, controles de anexos, bloqueio de sites maliciosos conhecidos e proteções de navegação segura reduzem a probabilidade de um ransomware ser entregue em primeiro lugar. Como o phishing é muito comum, esses controles são essenciais.

Corrija o erro humano

Mesmo depois de você ter implementado medidas de segurança e uma política de senhas, o treinamento de conscientização sobre segurança ainda é necessário. O treinamento ajuda a equipe a identificar e-mails suspeitos e tentativas de engenharia social, mas as pessoas ainda cometem erros.

Ferramentas ou recursos mais fortes e controles de acesso devem prever isso. O NCSC recomenda explicitamente o treinamento de conscientização, mas a pesquisa da Proton também aponta que o treinamento sozinho não evita todos os deslizes. Um bom design de segurança reduz os danos quando alguém clica em algo, tornando menos provável que um erro se torne um incidente de grande escala, seja por meio de A2F, acesso com privilégios mínimos, proteções de e-mail mais fortes, acesso segmentado ou backups testados que suportem a recuperação.

Proteja a recuperação antes de precisar dela

Os backups precisam ser regulares, isolados e testados. O ICO recomenda adotar a abordagem 3-2-1: três cópias, em dois dispositivos diferentes, com uma armazenada fora do local. O NCSC adiciona um aviso operacional importante: o ransomware pode ter se infiltrado no seu ambiente antes de ser descoberto, portanto, os backups devem ser escaneados antes da restauração, e os próprios sistemas de backup devem ser protegidos.

A conexão das credenciais: por que as senhas ainda importam na defesa contra ransomware

É fácil pensar no ransomware apenas como um malware e esquecer que as senhas desempenham um papel em um ataque bem-sucedido. No entanto, muitos incidentes de ransomware começam com o roubo, reutilização ou abuso de inícios de sessão.

Isso pode significar um membro da equipe reutilizando uma senha de outro serviço, a conta de um antigo prestador de serviços que continua ativa, uma credencial de administrador compartilhada entre várias pessoas ou um ponto de acesso remoto exposto sendo protegido apenas por uma senha. Cada um desses atalhos expande a superfície de ataque.

Este é um dos motivos pelos quais o gerenciamento forte de credenciais faz parte de qualquer plano de recuperação de ransomware e estrutura de prevenção. Senhas exclusivas por serviço reduzem o raio de alcance de um início de sessão roubado. O MFA torna essa senha roubada menos útil por si só, enquanto o armazenamento centralizado de credenciais elimina a necessidade de soluções improvisadas e inseguras.

O compartilhamento seguro significa que os funcionários obtêm o acesso de que precisam por meio de métodos controlados e rastreáveis, em vez de compartilhamento informal de senhas. A revisão regular de quem tem acesso a quê também apoia o privilégio mínimo, que o NCSC recomenda como parte da limitação do movimento lateral e da propagação.

Escrevemos extensivamente sobre as ameaças de ransomware que as PMEs enfrentam. Vez após vez, vemos a mesma coisa: os invasores procuram cada vez mais as empresas que são mais fáceis de invadir, não apenas as empresas com os nomes mais famosos.

O que fazer se a sua pequena empresa for atingida

1. Conter o incidente

Se a sua empresa for atingida, sua primeira prioridade é a contenção. Desconecte os dispositivos infectados da rede, desative as contas comprometidas se você conseguir identificá-las, isole os caminhos de acesso remoto, preserve as evidências e evite limpar os sistemas rápido demais, caso você precise de suporte forense mais tarde.

2. Relate o incidente

O NCSC aconselha as organizações do Reino Unido a relatar incidentes e fornece orientações dedicadas sobre ransomware para resposta e recuperação. O guia da Proton sobre resposta a incidentes também é uma referência útil para estruturar o processo de tomada de decisão mais amplo em relação à contenção, investigação, comunicações e recuperação.

3. Não pague o resgate

O NCSC e as autoridades policiais do Reino Unido não incentivam, endossam ou aprovam o pagamento de pedidos de resgate. Eles observam que não há garantia de que você recuperará o acesso, seus sistemas ainda podem estar infectados, você estará financiando grupos criminosos e pode ter mais chances de ser alvo novamente.

O ICO é igualmente claro que pagar um resgate não reduz o risco para as pessoas e não protege as informações. Mesmo que uma chave de descriptografia seja oferecida, não há garantia de que ela funcionará ou que os dados roubados não serão vazados.

4. Inicie a recuperação

A recuperação deve se concentrar em uma restauração lenta e segura. Isso significa reconstruir a partir de backups limpos, validar que o caminho do ataque foi fechado, trocar as credenciais afetadas, reativar o acesso com cuidado e documentar o que aconteceu. Se os backups estiverem conectados a sistemas ativos ou não tiverem sido testados, é geralmente aí que as empresas descobrem uma segunda falha após a primeira. Um bom plano de recuperação de ransomware começa, na verdade, muito antes de um incidente ocorrer.

Obrigações de relatório do Reino Unido: quando o ICO pode precisar ser envolvido

Se um incidente de ransomware afetar dados pessoais, isso pode ser uma violação de dados pessoais sob o GDPR do Reino Unido. O ICO explica que a perda de acesso a dados pessoais pode ser, por si só, uma violação quando cria riscos para os indivíduos, e que você deve notificar o ICO sem demora indevida e, quando possível, em até 72 horas se a violação for passível de resultar em um risco aos direitos e liberdades das pessoas. Se o risco for alto, os indivíduos afetados também podem precisar ser informados sem demora indevida.

Algumas organizações ainda presumem que, se restaurarem os sistemas rapidamente ou se não houver um vazamento público óbvio, o relatório é desnecessário. Essa não é uma suposição segura. As orientações de ransomware do ICO abordam explicitamente cenários de notificação de violação e deixam claro que a avaliação depende do risco para os indivíduos, não apenas se os arquivos roubados já apareceram on-line.

O ransomware é agora um problema para as PMEs

As pequenas empresas estão sendo atingidas por ataques de resgate com cada vez mais frequência e, quando são atingidas, o impacto pode ser grave porque os invasores exploram suas fraquezas. Os dados de violação mais recentes da Proton tornam isso visível: a ameaça é mensurável, crescente e operacionalmente disruptiva.

A boa notícia é que o básico pode fazer grande parte do trabalho pesado para qualquer PME. Medidas como o uso de um gerenciador de senhas empresarial para implantar A2F e criar credenciais exclusivas, correções, filtragem de e-mail, conscientização da equipe, revisão de permissões, backups testados e planejamento de resposta a incidentes podem não parecer chamativos por si sós, mas juntos fazem uma diferença significativa. Eles reduzem as chances de que uma única senha roubada, um e-mail de phishing ou um serviço remoto exposto se tornem uma interrupção em toda a empresa.