Esse caso aconteceu um tempo atrás, e decidi trazer aqui para, mais uma vez, mostrar como resiliência é garantia de continuidade do negócio. Obviamente, informações críticas foram ocultadas, bem como detalhes técnicos que possam levar à identificação do cliente.
Era uma indústria e o ataque veio pesado: ransomware atingindo o ambiente de virtualização, derrubando os sistemas de sustentação — ERP, CRM, WMS — e vários sistemas satélites. As investigações, amparadas por SIEM como serviço (coleta em nuvem, evidências protegidas), apontaram o vetor: acesso externo a um servidor RDP com credencial privilegiada comprometida. A partir daí, escalonamento de acesso, movimentação lateral e impacto direto na camada de virtualização.
A boa notícia é que, mais uma vez, o backup salvou o negócio. A estratégia havia sido desenhada exatamente para esse tipo de cenário: backup em cloud, 100% do ambiente virtual protegido, 100% oƯsite e airgapped — um repositório não acessível pela rede interna, justamente para impedir que o atacante o eliminasse. O repositório local chegou a ser apagado manualmente durante o ataque; o airgap oƯsite permaneceu íntegro. No processo de retomada, priorizamos sistemas críticos (ERP/CRM/WMS) e cumprimos RTO de acordo com a priorização definida. Os RPOs ficaram até 12 horas, dentro do que havia sido combinado como aceitável para o negócio.
A restauração foi feita a partir de imagens limpas e com o ambiente sob novos e ajustados controles de segurança. Eu entendo que, no momento de retomada, é fundamental que a cadeia de ataque identificada alimente uma lista sólida de melhorias — para que o ambiente, ao retornar, esteja mais protegido do que antes (lições aprendidas, dentro do conceito de resiliência).
Esses pontos não são negociáveis:
– Backup é arquitetura, não checkbox. Se o atacante alcança o repositório, deixa de ser backup — vira cópia vulnerável.
– Airgap/imutabilidade não é luxo. É a diferença entre “conseguimos voltar” e “viramos reféns”.
– Teste de restauração é parte do plano. Tecnologias como Veeam SureBackup facilitam essa validação constante de recuperação baseada em teste real.
– Proteja a console de administração do backup. A identidade que administra backup é alvo prioritário; segmente, audite, use MFA e monitore.
– Priorize antes da crise. Saber o que volta primeiro encurta a dor e dá direção à retomada.
Um detalhe importante foi o papel do SIEM como serviço guardando evidências em nuvem: além de acelerar a investigação do vetor (RDP + credencial privilegiada), preservou trilhas que ajudaram a explicar o que aconteceu e a evitar caça às bruxas.
Transparência e evidência encurtam caminho.
No fim, resiliência é sobre continuar operando apesar do ataque, e não sobre prometer que ele nunca vai acontecer. E há uma frase que eu repito — e que a gente sempre diz na Gruppen: “Sem backup, não há plano B.”
