Ransomware além do EDR

Ransomware além do EDR: reforçando a defesa com novas camadas contra extorsão e vazamento

Já é sabido que o ransomware deixou de ser um mero “problema de TI” para se tornar um risco corporativo. Os ataques evoluíram para modelos de dupla extorsão, combinando criptografia de dados com vazamento de informações sensíveis, sabotagem e interrupção direta de operações críticas. Relatórios recentes mostram essa guinada com clareza: o estudo da Check Point Research sobre o terceiro trimestre de 2025 aponta 85 grupos de ransomware ativos no mundo, um recorde de fragmentação, enquanto o DBIR 2024 da Verizon indica alta de 180% no uso de exploração de vulnerabilidades como porta de entrada inicial, impulsionado por casos como o zero-day do MOVEit.

No Brasil, o impacto é ainda mais concreto. Em fevereiro de 2025, o país registrou mais de 960 ataques de ransomware em um único mês, segundo relatório da SonicWall, e o custo médio de uma violação de dados já ultrapassa os R$ 7,19 milhões por incidente, de acordo com o estudo Cost of a Data Breach 2025 da IBM. Pesquisas baseadas no relatório “State of Ransomware”, da Sophos, mostram que boa parte das organizações brasileiras que tiveram dados criptografados acabaram pagando o resgate, enquanto outra parcela semelhante recorreu a backups para tentar restaurar o ambiente, muitas vezes combinando as duas estratégias.

Esses dados não mentem: o Brasil se consolidou como um dos alvos preferenciais de ransomware. Levantamentos de panorama de ameaças colocam o país como epicentro de ataques na América Latina, com grandes volumes de tentativas de ransomware bloqueadas ao longo do ano e dezenas de vítimas corporativas expostas em blogs de grupos de extorsão, em setores como saúde, indústria, varejo, educação e governos locais. Mesmo em um mercado que não é o maior do mundo, é um terreno fértil: muitos dados sensíveis, alta dependência de sistemas críticos e ainda uma quantidade significativa de ambientes com lacunas em controles básicos.

EDR/XDR sozinho não é mais o suficiente

Ferramentas de EDR e XDR evoluíram bastante e são o coração da defesa para muitos times de segurança. Elas monitoram endpoints, coletam telemetria e disparam alertas que “salvam o dia” em diversos cenários. Mas, contra ransomware, há falhas reais e bem documentadas que os atacantes exploram sem piedade. Os criminosos conhecem o playbook melhor que muita equipe defensiva: técnicas de bypass são rotina, agentes são removidos ou “cegados” com privilégios elevados, e detecções baseadas em assinaturas perderam relevância com a onda de ransomwares polimórficos e fileless que aparecem nas notícias.

Confiar só na telemetria do agente e em playbooks de resposta é arriscado e, francamente, leviano em 2025. Alguns problemas clássicos com EDR/XDR no front do ransomware incluem

Dependência de conectividade com a nuvem para análise. Se o atacante bloqueia esse canal (e eles sabem como fazer isso), a eficácia despenca.
Falta de proteção nativa contra drivers maliciosos ou abusos no kernel. O famoso BYOVD (Bring Your Own Vulnerable Driver) continua sendo um dos queridinhos dos criminosos.
Detecções essencialmente reativas, baseadas em logs e alertas que chegam tarde demais. Quando o alarme toca, muitas vezes a exfiltração de dados já aconteceu e a criptografia está a caminho.

Em resumo, essas ferramentas são eficazes para redução geral de incidentes, mas contra a dupla extorsão do ransomware elas param na superfície. Precisamos de camadas que atinjam a raiz do problema.

Então, como fechar esse gap de verdade? Não basta só “melhorar o EDR/XDR”. É hora de ir além do modelo tradicional e adicionar camadas que ataquem a cadeia de ataque nos pontos cegos. Na prática, três pilares vêm ganhando espaço na defesa moderna e já mostram resultado em cenários reais, reduzindo tanto o risco quanto o tempo de resposta.

Proteção em nível de kernel e blindagem do endpoint: Plataformas mais recentes conseguem operar próximas do kernel do sistema operacional, monitorando e bloqueando tentativas de carregar drivers vulneráveis, interferir em serviços críticos ou desativar agentes de segurança, ao mesmo tempo em que observam como os processos estão usando criptografia em tempo real. isso não só dificulta o uso de técnicas como BYOVD para passar “por baixo” da defesa, como também permite capturar o material criptográfico utilizado pelo ransomware durante o processo de cifragem.
Proteção contra exfiltração de dados (DXP): Se o modelo de negócio do ransomware depende de vazamento e extorsão, faz pouco sentido enxergar só processos e não os dados saindo. Mecanismos de DXP acompanham o comportamento de saída de informações, volume, destino e contexto, e são capazes de identificar quando um servidor ou estação começa a enviar grandes quantidades de dados para locais que não fazem parte do padrão da empresa. Ao detectar esse tipo de movimento, a solução gera um alerta qualificado e, em muitos casos, bloqueia o canal de exfiltração.
Automação de contenção e recuperação: Em um ataque real, não existe tempo para montar comitê, discutir opções e depois agir manualmente. As soluções mais maduras já trazem playbooks embutidos para isolar automaticamente o ativo suspeito, encerrar processos relacionados à criptografia, preservar evidências e, quando possível, capturar o material criptográfico usado pelo ransomware. Com isso, fica viável acelerar a recuperação, revertendo a criptografia sem depender do atacante ou de restaurações demoradas de backup.

Quando esses três pilares atuam em conjunto, o ransomware deixa de ser um evento capaz de paralisar a empresa por semanas e passa a ser um incidente crítico, mas contido. O ataque pode até acontecer, mas o impacto sobre o negócio cai de forma dramática. Agora imagine o seguinte cenário: segunda-feira, 9h17. Ana, do financeiro, abre um anexo malicioso em um e-mail de phishing. Em 11 segundos, o exploit tenta carregar um driver vulnerável para desabilitar o EDR/XDR. A camada que monitora o kernel detecta e bloqueia o movimento na hora. Em 42 segundos, o atacante inicia a exfiltração de 180 GB para um serviço de armazenamento não corporativo, como um provedor de nuvem público fora do padrão da empresa. O DXP flagra o volume anômalo e o destino suspeito, corta a conexão e dispara um alerta automatizado. Em 58 segundos, a plataforma isola a máquina infectada, encerra processos maliciosos e preserva a memória para análise forense. Um ticket vai direto para o time de resposta a incidentes com artefatos prontos. Resultado: nenhum arquivo criptografado, nenhum dado vazado e nenhum resgate pago. O negócio segue rodando, com downtime mínimo.

Esse encadeamento não é ficção. É o tipo de arquitetura que está virando a curva de sucesso dos atores de ameaça de cabeça para baixo, transformando pontos vulneráveis em fortalezas.

O ransomware parou de ser só um “problema de recuperação de dados”. Hoje, é uma ameaça à resiliência do negócio inteiro, e backups e ferramentas de EDR/XDR são o mínimo necessário, mas estão longe de ser suficientes nessa guerra. A próxima geração de defesa aposta na combinação de proteções em kernel, detecção e bloqueio de exfiltração (DXP) e contenção automática. Calibrado do jeito certo, esse trio não só previne o pior, como constrói uma organização que resiste e se recupera mais rápido. Em um mundo em que o Brasil é alvo prioritário, empurrar essa discussão para depois é, na prática, convidar o caos. É hora de elevar o jogo.

Por Lucas Schmitz, Arquiteto de Segurança da Informação da Service IT

Clique e fale com um representante oficial