Proteger contra ransomware no setor público
Fortaleça a segurança com pessoas, processos e tecnologia
Os ataques de ransomware em organizações do setor público estão em ascensão, interrompendo serviços essenciais para milhões de pessoas. E as estratégias tradicionais de segurança cibernética não são suficientes para defender contra as táticas mais recentes.
De acordo com um relatório de 2024, os incidentes de ransomware no setor público dos EUA aumentaram mais de 94% desde 2021. As agências governamentais sozinhas sofreram 117 ataques de ransomware em 2024, um aumento em relação aos 95 de 2023 (um aumento de 23%). Um relatório global de 2025 mostra que os ataques de ransomware a governos aumentaram 65% no primeiro semestre de 2025 em comparação com o mesmo período em 2024.
Ataques a governos estaduais e locais têm um impacto direto e imediato nas pessoas devido à interrupção de operações governamentais vitais, incluindo centrais de atendimento do 911, delegacias, clínicas de saúde e serviços públicos. Esses eventos frequentemente expõem informações confidenciais, deixando os indivíduos vulneráveis a fraudes por muitos anos. E eles podem exigir gastos públicos em larga escala para recuperar sistemas e dados, mesmo que as agências governamentais se recusem a pagar o resgate.
Dois incidentes recentes destacam os altos custos dos ataques de ransomware:
Columbus, Ohio, recusou-se a pagar uma exigência de ransomware de US$ 1,9 milhão em 2024, mas gastou mais de US$ 4 milhões para proteger e restaurar a infraestrutura de tecnologia da cidade.
A cidade de Dallas, Texas, pagou US$ 8,5 milhões em custos relacionados ao ransomware em 2023.
Mudanças nas táticas e técnicas de ransomware reforçam a necessidade imperativa de fortalecer as defesas contra ransomware. À medida que os cibercriminosos exploram novas ferramentas, seus ataques se tornarão ainda mais eficazes e terão um impacto maior. Por exemplo, eles estão usando IA para criar mensagens de phishing mais convincentes, desenvolver malware que escapa das defesas, identificar dados valiosos para exfiltração e produzir ataques maiores. Ao mesmo tempo, pequenos grupos de cibercriminosos estão recorrendo a organizações de ransomware-como-serviço para lançar ataques de forma rápida e barata.
Os cibercriminosos também estão adicionando novas camadas aos seus esquemas de ransomware. Até recentemente, a maioria dos atacantes criptografava dados sensíveis e exigia resgate em troca de uma chave de descriptografia. Hoje, os atacantes estão exfiltrando dados e ameaçando expor esses dados, a menos que o resgate seja pago. Eles sabem que podem vender dados roubados se as negociações de resgate falharem.
Observamos esse tipo de tática no ataque RansomHub ao departamento de saúde da Flórida em julho de 2024. A agência não pagou o resgate, então os cibercriminosos vazaram 100 GB de dados, incluindo números de seguro social, informações de cartão de crédito, dados médicos e muito mais, para quase 730 mil pessoas.
Dada a evolução dos ataques de ransomware e as consequências potencialmente devastadoras de cada evento, as agências governamentais devem ir além das estratégias de segurança tradicionais. O backup dos dados não pode mais ser o único meio de evitar que as informações sejam mantidas como reféns.
Para ajudar a facilitar a transição para uma proteção mais robusta contra ransomware, o Instituto Nacional de Padrões e Tecnologia (NIST) criou uma estrutura cibernética para ransomware, e o Departamento de Segurança Interna (DHS) publicou um guia abrangente para ajudar as organizações a combater o ransomware. Essas recomendações enfatizam que as agências governamentais estaduais e locais precisam de uma abordagem mais abrangente e proativa, uma que exigirá mudanças que incluam pessoas, processos e tecnologia.
Pessoas: fortalecer a primeira linha de defesa
Antes de adicionar tecnologias avançadas, as equipes de segurança devem se concentrar na higiene cibernética ou, como afirma o DHS, tornar-se "brilhantes no básico". Especificamente, elas devem implementar três práticas recomendadas para prevenir o acesso não autorizado às redes:
Treinar os membros da equipe: phishing, smishing e outras táticas de engenharia social são muitas vezes como os incidentes de ransomware começam. As ferramentas de IA estão facilitando para os atacantes a criação de mensagens convincentes que enganam os funcionários para clicarem em links falsificados e inserirem credenciais de login. Assim que os atacantes obtêm essas credenciais, eles podem injetar ransomware na rede.
Os funcionários são a primeira camada de defesa, e as agências devem treiná-los sobre como identificar e-mails e mensagens fraudulentas. Elas devem atualizar continuamente esse treinamento conforme as táticas evoluem.Exigir senhas fortes e MFA: ao mesmo tempo, as agências devem exigir que os funcionários usem senhas fortes e exclusivas, difíceis de adivinhar por meio de métodos de força bruta (mesmo com a ajuda de ferramentas de IA) e impossíveis de reutilizar em vários aplicativos.
A autenticação multifator (MFA) oferece uma camada adicional de proteção. Mesmo que os cibercriminosos roubem credenciais, a MFA os impedirá de acessar aplicativos críticos.Evitar downloads maliciosos: mesmo funcionários com um alto grau de conscientização de segurança podem clicar por engano em um link que os leve a um site comprometido ou acione um download malicioso. As agências devem proteger a experiência de navegação na web inspecionando e filtrando o tráfego da internet, evitando que os usuários acessem destinos maliciosos.
Processo: fique à frente das táticas de ransomware em evolução
Muitas agências precisam examinar os processos existentes, ou implementar novos, para garantir que estão fazendo tudo para abordar as vulnerabilidades existentes e as mudanças nas táticas.
Atualizar o software e o firmware: explorar softwares e dispositivos sem correções e desatualizados se tornou uma tática importante para cibercriminosos. Na verdade, vulnerabilidades de software, juntamente com credenciais comprometidas, são os vetores iniciais para cerca de metade de todos os eventos de ransomware. Ao atacar aplicativos vulneráveis, os atacantes conseguem contornar a segurança e obter acesso não autorizado aos sistemas, que podem então infectar com ransomware. Combater essa ameaça requer vigilância: as agências devem atualizar o software e o firmware assim que os fornecedores lançarem novas atualizações e correções.
Juntas, as vulnerabilidades de software e as credenciais comprometidas são os vetores iniciais de aproximadamente 55% de todos os eventos de ransomware, de acordo com um relatório recente.
Aplicar segurança de TI às operações: a convergência dos sistemas de TI com os sistemas de tecnologia operacional (TO), por exemplo, através do uso de sensores de IoT, oferece aos cibercriminosos uma nova via de ataque. Ao atacar dispositivos que conectam TI e TO, os cibercriminosos podem causar sérias interrupções operacionais e obter vantagem para exigir resgate. As agências governamentais precisam aplicar recursos de segurança de TI à TO para garantir que sistemas subprotegidos não se tornem vetores para incidentes de ransomware.
Desenvolver e testar um plano de resposta a incidentes: cada dia de interrupção pode custar milhares de dólares para recuperar e restaurar dados. Desenvolver um plano de resposta a incidentes e testá-lo regularmente, ajuda a garantir uma resposta rápida a partir do momento em que um ataque é detectado.
Fazer backup de dados: embora fazer backup de dados por si só não seja suficiente para impedir incidentes de ransomware, isso ainda deve fazer parte das defesas. Manter um backup atualizado dos dados em um local seguro off-line ou em nuvem reduz significativamente a pressão para pagar um resgate. Criptografar os dados de backup é essencial, já que a maioria dos invasores também tentará acessar e roubar os backups.
Tecnologia: melhorar a postura de segurança cibernética
Na minha experiência com governos estaduais e locais, percebo que muitos simplesmente não implementaram os tipos de recursos de segurança de que precisam para se protegerem contra ransomware. Em vez de confiar apenas no backup de dados, eles precisam empregar soluções que lhes permitam bloquear ataques iniciais, conter o movimento lateral de malware e interromper a exfiltração de dados.
Bloquear ataques iniciais: existem vários tipos de soluções que ajudam a bloquear o estágio inicial crítico de um incidente de ransomware, impedindo que os atacantes acessem a rede.
Segurança de e-mail: à medida que os atacantes criam e-mails de phishing mais convincentes, as agências devem aproveitar os recursos de segurança de e-mail para identificar e bloquear esses e-mails antes que cheguem às caixas de entrada dos funcionários.
Filtragem de DNS: a filtragem de DNS, recomendada pela Agência de Segurança Cibernética e de Infraestrutura (CISA), pode impedir o acesso a qualquer site malicioso conhecido, evitando downloads.
Segurança de aplicativos: as agências devem implementar um firewall de aplicativos web (WAF) para detectar e bloquear ataques a aplicativos web em tempo real, encerrando tentativas de obter controle dos aplicativos e implantar ransomware.
Proteção contra DDoS: embora seja raro, alguns cibercriminosos exigem resgate como parte de ataques de negação de serviço distribuída (DDoS). As agências precisam de proteção contra DDoS que detecte, absorva e interrompa automaticamente esses ataques, eliminando a necessidade de pagar resgate.
Conter o movimento lateral: se os cibercriminosos conseguirem roubar credenciais de usuários ou comprometer um aplicativo, o malware deles poderá se mover lateralmente por uma rede, encontrando, em última análise, dados confidenciais. Implementar um modelo zero trust impedirá esse movimento lateral. Ao implantar a microssegmentação e usar um serviço de acesso à rede Zero Trust, por exemplo, as agências podem controlar quais recursos cada usuário pode acessar. Mesmo que um invasor obtenha acesso a um único aplicativo ou ambiente, ele não conseguirá acessar toda a rede.
Interromper a exfiltração de dados: um gateway seguro da web que verifica dados em trânsito, identifica dados sensíveis e aplica regras que bloqueiam a movimentação desses dados ajuda a prevenir o roubo final desses dados caso um invasor consiga acessá-los.
Como você pode evitar ransomware sem complexidade?
Governos estaduais e locais continuarão a ser os principais alvos do ransomware. Os cibercriminosos frequentemente veem as agências governamentais como organizações vulneráveis, dispostas a pagar resgates para restaurar serviços essenciais.
A nuvem de conectividade da Cloudflare fornece uma plataforma unificada com recursos de cibersegurança nativos de nuvem que auxiliam as agências na implementação de defesas abrangentes contra ransomware. Com os serviços da Cloudflare, sua organização pode impedir ataques iniciais, downloads maliciosos, movimento lateral e exfiltração de dados, tudo em uma única plataforma totalmente integrada. Essas soluções tecnológicas também ajudam a otimizar seus esforços para melhorar processos e reforçar suas defesas de "pessoas". E como a Cloudflare fornece serviços por meio de uma única interface, suas equipes podem enfrentar ransomware e outras ameaças enquanto controlam custos e complexidade.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Saiba mais sobre esse assunto
Saiba mais sobre como as agências federais estão modernizando a TI no e-book The simple way to efficient IT.
Autoria
Dan Kent — @danielkent1
Field CTO for Public Sector, Cloudflare
Principais conclusões
Após ler este artigo, você entenderá:
Como os ataques de ransomware estão mudando e se tornando mais eficazes
Os principais vetores para ataques de ransomware em agências governamentais
Três soluções para deter ataques de ransomware