Uni-duni-tê nada: por que a escolha das vítimas de ransomware está longe de ser aleatória
A ideia de que grupos de ransomware “miram” setores específicos — bancos, saúde, governo, indústria — é sedutora, mas simplifica demais a realidade. Em boa parte dos casos, os operadores de ransomware não começam pensando em *quem* atacar, e sim em *onde* já existe uma porta aberta. A partir daí, qualquer organização que esteja ao alcance pode se tornar a próxima vítima.
Pesquisas de equipes especializadas em resposta a incidentes e inteligência de ameaças mostram que a maior parte das campanhas de ransomware é oportunista. Ou seja, não há, na origem, um plano claro de atacar “empresa X do setor Y em tal país”, mas sim o aproveitamento de acessos disponíveis, falhas expostas e credenciais roubadas. O “critério” de escolha, em geral, é simples: se dá para entrar, é candidata a ser extorquida.
Isso não significa, porém, que todos os grupos ajam da mesma forma, nem que a motivação por trás dos ataques seja sempre idêntica. A forma como as vítimas são selecionadas muda bastante conforme o objetivo do agente de ameaça: ganho financeiro direto, espionagem, sabotagem, pressão política ou geração de receita para Estados hostis. Entender esses perfis é essencial para ajustar a defesa.
—
Ransomware como negócio: a lógica do cibercrime financeiro
Quando o objetivo é puramente financeiro, qualquer organização é, em tese, uma oportunidade válida. Pequenas, médias ou grandes empresas, em qualquer setor ou país: se for possível criptografar dados críticos e interromper operações, há chance de resgate.
Nesses cenários, os operadores:
– Vasculham a internet em busca de sistemas expostos com vulnerabilidades conhecidas.
– Compram ou alugam acessos iniciais de outros criminosos (como corretores de acesso).
– Usam campanhas massivas de phishing para espalhar malware e colher credenciais.
– Automatizam parte do processo de varredura, tentativa de acesso e escalada de privilégios.
O fator principal não é *quem* é a empresa, mas sim *quão fácil* é invadi-la e *quão provável* é que pague para recuperar dados e voltar a operar. A vitimização é, portanto, consequência do acesso disponível, não de uma seleção personalizada caso a caso.
—
Por que pequenas empresas são atacadas com tanta frequência
Muitos imaginam que hackers priorizam grandes corporações em busca de resgates milionários. Na prática, dados de telemetria de incidentes indicam que o volume de tentativas de implantação de ransomware é maior em pequenas e médias empresas.
Existem razões bem concretas para isso:
– Orçamentos apertados de segurança: ferramentas básicas não são implementadas ou ficam desatualizadas.
– Ausência de time dedicado de cibersegurança: responsabilidade diluída na área de TI, que já está sobrecarregada.
– Baixa maturidade em backup e resposta a incidentes: mesmo quando há backup, nem sempre ele é testado ou isolado.
– Menor nível de conscientização dos colaboradores: usuários clicam em anexos e links maliciosos com mais facilidade.
Como os ataques são oportunistas, a lógica é simples: há muito mais pequenas empresas pouco protegidas do que grandes organizações bem defendidas. Em termos de esforço x retorno, faz sentido para o criminoso explorar esse universo mais vulnerável.
—
Da “escolha” à “vitimização”: por que o termo importa
Pesquisadores de ameaças têm evitado usar o termo “alvo” ou “direcionamento” quando falam de ransomware com motivação financeira. Em vez disso, preferem “vitimização”. Essa mudança semântica ajuda a reforçar uma ideia importante: em campanhas em massa, as vítimas não são escolhidas uma a uma.
Na prática, o que há é:
– Exploração em larga escala de vulnerabilidades publicamente conhecidas.
– Tentativas automatizadas de login com credenciais vazadas ou fracas.
– Uso de malware disseminado em campanhas que atingem dezenas de milhares de usuários.
Se a organização cai em uma dessas armadilhas, ela entra no “funil” do operador de ransomware. Quando o criminoso percebe que conseguiu acesso relevante, começa a avaliar se vale a pena seguir adiante: explorar lateralmente, roubar dados, criptografar servidores, negociar resgate.
A “triagem”, muitas vezes, é feita para decidir quem não atacar, e não para decidir quem atacar.
—
Quem os criminosos evitam (e por quê)
A seleção negativa — a decisão de não atacar certas vítimas — é um ponto pouco falado, mas muito relevante.
Alguns exemplos:
– Organizações em países específicos
Muitos grupos com base na Rússia e no Leste Europeu evitam, deliberadamente, vítimas localizadas na Rússia, em países da Comunidade dos Estados Independentes ou, mais recentemente, em nações vistas como politicamente alinhadas. Isso reduz a chance de que autoridades locais se sintam pressionadas a agir contra eles.
– Alguns setores sensíveis
Há grupos que dizem não atacar hospitais ou infraestrutura crítica. Frear diante desse tipo de alvo pode ter motivações práticas: ataques contra serviços essenciais geram repercussão internacional e pressão governamental intensa. Os criminosos frequentemente tentam justificar essa postura com discursos “éticos”, mas, na maioria das vezes, trata-se de um cálculo de risco.
– Organizações com alta visibilidade em segurança
Grandes empresas conhecidas por ter times fortes de defesa, ou que já foram alvo de longas investigações, podem ser evitadas por grupos menos sofisticados, que não querem lidar com a reação nem com a exposição.
Ou seja: mesmo quando o ataque é oportunista, há um componente de autopreservação. Esses grupos sabem que os holofotes podem ser ruins para os negócios.
—
Setor bancário: alto potencial de lucro, mas não prioridade automática
O setor bancário costuma ser citado como alvo “natural” de ransomware: alto faturamento, dependência de sistemas digitais, impacto direto em clientes e economia. Interromper por algumas horas uma operação de pagamentos ou compensação pode, em teoria, criar enorme pressão para o pagamento do resgate.
Na prática, porém, bancos são, em geral, mais maduros em cibersegurança do que outros segmentos:
– Investem pesado em monitoramento e resposta a incidentes.
– Sofrem auditorias constantes, internas e externas.
– Precisam cumprir regulações mais rígidas, o que os força a manter controles de segurança robustos.
Por isso, embora sejam alvos atrativos, não são necessariamente os mais fáceis. Grupos puramente oportunistas tendem a preferir caminhos com menor resistência. O banco entra na mira se, por algum motivo, houver uma brecha concreta — um serviço mal configurado, um acesso interno comprometido — e não tanto por ser “banco”.
—
Cadeia de suprimentos: quando o alvo real não é a vítima inicial
Outra forma importante de seleção de vítimas acontece pela cadeia de suprimentos. Aqui, o objetivo final não é, obrigatoriamente, a primeira empresa comprometida, mas sim seus clientes ou parceiros.
Cenários comuns incluem:
– Comprometimento de fornecedores de software, cuja atualização maliciosa atinge centenas de clientes de uma só vez.
– Ataques a provedores de serviços de TI, ERPs, contabilidade ou folha de pagamento, usados por dezenas ou centenas de empresas.
– Uso de acessos de terceiros integrados ao ambiente da vítima (VPNs, consoles remotos, integrações de API).
Nesse modelo, os operadores de ransomware podem:
1. Infectar o prestador de serviços.
2. Usar a infraestrutura desse fornecedor para se mover lateralmente para os ambientes dos clientes.
3. Avaliar quais ambientes oferecem melhor potencial de resgate.
4. Implantar ransomware seletivamente, de acordo com o “valor” percebido de cada organização.
Esse tipo de ataque mistura característica oportunista (aproveitar o acesso a um fornecedor) com um componente estratégico (escolher quais clientes serão efetivamente extorquidos).
—
“Marca” criminosa, reputação e prestígio
Embora pareça contraditório, grupos de ransomware também se preocupam com marca e reputação dentro do submundo do crime e até perante as próprias vítimas.
Eles constroem essa “marca” por meio de:
– Portais de vazamento onde expõem dados de empresas que não pagaram.
– Comunicados públicos explicando regras, ameaças e até “códigos de conduta”.
– Histórico de “cumprimento de promessas”: descriptografar dados de quem paga, entregar chaves de decodificação que funcionam, não atacar duas vezes a mesma empresa que quitou o resgate (em alguns casos).
Essa reputação ajuda em pelo menos dois aspectos:
– Aumenta a probabilidade de pagamento: se outras vítimas sabem que o grupo “cumpre” o que promete, a pressão interna para pagar é maior.
– Atrai afiliados e parceiros no modelo de Ransomware-as-a-Service, que preferem se associar a “marcas” mais lucrativas.
Esse componente de marketing criminoso, ainda que perverso, também influencia o tipo de vítima escolhido: casos com alto potencial de repercussão podem ser usados para ganhar visibilidade e reforçar a imagem de “grupo poderoso”, mesmo que os ataques continuem em grande medida oportunistas.
—
Ransomware como ferramenta de Estados: além do dinheiro
Quando atores patrocinados por Estados entram em cena, o contexto muda. Aqui, o objetivo nem sempre é apenas arrecadar fundos — embora essa motivação exista em alguns casos. O ransomware pode ser usado para:
– Sabotagem e disrupção: interromper serviços essenciais em outro país, causando impacto econômico e social.
– Espionagem disfarçada: usar o ransomware como “cortina de fumaça” para esconder roubo de dados confidenciais ou espionagem industrial e militar.
– Pressão política: desestabilizar governos, minar confiança em instituições e criar narrativas internas e externas.
– Geração de receita para regimes sancionados: driblar sanções internacionais e obter recursos financeiros.
Nesses cenários, a escolha de vítimas tende a ser mais direcionada:
– Infraestruturas críticas (energia, transportes, telecomunicações, serviços governamentais).
– Empresas de tecnologia estratégica ou com propriedade intelectual sensível.
– Setores que, se paralisados, impactam diretamente a população e a confiança nas autoridades.
Mesmo assim, operadores ligados a Estados podem adotar técnicas semelhantes às de grupos puramente financeiros, misturando espionagem e extorsão na mesma campanha.
—
Disrupção, assédio e influência
Além do dano financeiro e operacional, o ransomware pode ser usado como instrumento de assédio e influência. Nesses casos, a seleção de vítimas considera:
– O valor simbólico da organização: mídia, órgãos públicos, entidades ligadas a causas sensíveis.
– A capacidade de gerar caos informacional: vazamento de dados confidenciais, informações pessoais de figuras públicas, documentos internos comprometedores.
– O potencial de amplificar tensões sociais ou políticas existentes.
Ataques desse tipo podem não visar apenas o pagamento de resgate. A campanha pode ser desenhada para vazar dados de forma seletiva, alimentar desinformação ou constranger governos e empresas, influenciando debates públicos ou processos de tomada de decisão.
—
Como isso tudo muda a estratégia de defesa
Diante desse cenário, preparar-se para o ransomware não significa ficar obcecado por um grupo específico, mas sim aumentar a resiliência contra qualquer operador, independentemente de sua motivação.
Alguns princípios práticos:
1. Partir do pressuposto de ataque oportunista
A questão não é “se somos alvo”, mas “quão expostos estamos a ataques em massa”. Mapear serviços expostos, revisar configurações de VPN, RDP e outros acessos remotos é essencial.
2. Reduzir a superfície de ataque
– Corrigir vulnerabilidades conhecidas o mais rápido possível.
– Desativar serviços desnecessários.
– Aplicar autenticação multifator em todos os acessos críticos.
3. Focar em detecção precoce de movimento lateral
Mesmo que o ataque comece com um clique em phishing, é o movimento lateral que permite o desastre. Monitoramento de comportamentos anômalos, uso abusivo de ferramentas administrativas e escalada de privilégios são sinais-chave.
4. Fortalecer backups e planos de recuperação
Backups desconectados, testados regularmente, fazem a diferença entre retomar operações sem pagar resgate ou ficar à mercê do criminoso. Sem um plano de recuperação realista, a pressão financeira e reputacional para pagar é muito maior.
5. Conhecer dependências de cadeia de suprimentos
Entender quais fornecedores têm acesso ao ambiente, que sistemas de terceiros são críticos e como seriam isolados em caso de ataque ajuda a conter danos quando a intrusão vem “pela lateral”.
—
Ajustando a postura de acordo com o perfil de risco
Nem todas as organizações enfrentam o mesmo tipo de ameaça. Uma pequena empresa local pode ser, sobretudo, vítima de campanhas oportunistas e automáticas. Já uma infraestrutura crítica, um órgão público ou uma companhia estratégica pode estar mais exposta a atores patrocinados por Estados ou campanhas com componente político.
Isso não significa que pequenas empresas possam se descuidar, nem que grandes organizações sejam atacadas apenas por grupos sofisticados. Ao contrário: frequentemente, ataques graves começam com técnicas relativamente simples.
O ponto central é:
– Empresas de qualquer porte devem cobrir bem o “feijão com arroz” da segurança: vulnerabilidades, credenciais, backups, monitoramento.
– Setores estratégicos precisam complementar essa base com capacidade de inteligência de ameaças, exercícios de crise e cooperação com outras entidades do ecossistema (reguladores, associações de classe, órgãos de segurança, etc.).
—
Conclusão: menos mito sobre “alvos”, mais foco em reduzir oportunidade
A imagem do criminoso digital analisando listas de empresas e escolhendo, manualmente, quem atacar, não corresponde à realidade da maioria das campanhas de ransomware. Em geral, o caminho é o inverso: primeiro aparece um acesso; depois, decide-se se vale a pena explorá-lo até o fim.
Isso não elimina o direcionamento em casos específicos, especialmente quando há interesse político, militar ou econômico de alto valor — mas reforça uma verdade incômoda: muitas organizações se tornam vítimas não por serem especiais, e sim por estarem desprotegidas na hora errada.
Em vez de concentrar esforços em tentar adivinhar “qual grupo está nos mirando”, faz mais sentido:
– Fechar portas óbvias de entrada.
– Limitar ao máximo o impacto caso um invasor consiga entrar.
– Desenvolver a capacidade de detectar e reagir rapidamente, antes que a criptografia e a extorsão aconteçam.
Ransomware, no fim das contas, é o encontro entre oportunidade e fragilidade. As organizações não controlam as motivações dos atacantes, mas podem — e devem — reduzir dramaticamente as oportunidades que elas oferecem.