Ransomware Sem Criptografia: Como o Ataque Invisível Está Driblando as Defesas das Empresas
Por Rodrigo Rocha
Ransomware Sem Criptografia: Como o Ataque Invisível Está Driblando as Defesas das Empresas
Uma nova geração de ataques de extorsão abandona o bloqueio de sistemas e aposta no silêncio — roubando dados sem deixar rastros óbvios e tornando obsoletos planos de resposta baseados apenas em backup e recuperação.
O novo rosto do ransomware
Durante anos, o roteiro do ransomware era previsível: arquivos bloqueados, uma nota de resgate na tela e o relógio correndo. Empresas preparadas sabiam a resposta — acionar o backup, isolar os sistemas e restaurar o ambiente. Mas em 2026, parte significativa dos grupos criminosos está jogando um jogo diferente, e as regras mudaram de forma silenciosa.
A nova modalidade dispensa a criptografia por completo. Em vez de bloquear sistemas, os atacantes apenas roubam os dados — e depois ameaçam publicá-los caso o resgate não seja pago. Segundo relatório da At-Bay Security, ataques de exfiltração pura cresceram 450% entre o terceiro e o quarto trimestre de 2025. O fenômeno tem nome: extorsão sem criptografia, ou ransomware sem ransom no sentido técnico.
Por que os atacantes estão abandonando a criptografia
A lógica por trás da mudança é pragmática. Desenvolver e operar um locker — o componente que criptografa arquivos — exige expertise técnica considerável, além de aumentar o risco de detecção pelos sistemas de EDR (Endpoint Detection and Response). A criptografia em massa de arquivos gera padrões de comportamento anômalos que ferramentas modernas conseguem identificar. Ao remover esse elemento, os grupos reduzem drasticamente a complexidade da operação e rebaixam a barreira de entrada para novatos no ecossistema criminoso.
O método preferido passa a ser o uso de ferramentas legítimas de movimentação de dados. Casos documentados mostram atacantes utilizando o Azure Copy — software oficial da Microsoft para transferência de dados para a nuvem Azure — para exfiltrar terabytes de informação. Como muitas organizações usam o Azure como ambiente de backup e armazenamento, esse tráfego simplesmente não dispara alertas nos SIEMs (Security Information and Event Management) mal configurados. Os atacantes se disfarçam dentro do que é considerado tráfego normal.
A consequência direta é que as vítimas frequentemente só tomam conhecimento do ataque quando os dados aparecem à venda em fóruns criminosos ou quando o próprio atacante entra em contato exigindo pagamento. Não há tela de resgate, não há sistemas paralisados, não há alerta de backup falho. A operação pode durar semanas dentro do ambiente corporativo sem ser detectada.
O que empresas brasileiras precisam rever agora
O cenário expõe uma lacuna perigosa: organizações que investiram em backup robusto e planos de recuperação de desastres ficaram bem protegidas contra o ransomware clássico — mas continuam vulneráveis à extorsão por exfiltração. Restaurar sistemas é possível; recuperar dados já roubados, não. Para esse novo modelo de ameaça, a defesa precisa ser construída em torno de prevenção e detecção precoce.
As principais recomendações técnicas incluem:
- DLP (Data Loss Prevention): soluções que monitoram e bloqueiam transferências não autorizadas de dados sensíveis, independentemente da ferramenta utilizada — incluindo serviços legítimos de nuvem.
- XDR/EDR com análise comportamental: plataformas de detecção e resposta extendida (XDR) que correlacionam comportamentos suspeitos em endpoints, rede e nuvem. O foco deve ser em anomalias de comportamento, não apenas em assinaturas de malware conhecidas.
- UEBA (User and Entity Behavior Analytics): integrado ao SIEM, permite identificar quando um usuário ou sistema está acessando e transferindo volumes atípicos de dados — mesmo usando credenciais válidas e ferramentas legítimas.
- Classificação e inventário de dados: é impossível proteger o que não se conhece. Mapear onde residem os dados críticos — especialmente aqueles protegidos pela LGPD — é o primeiro passo para aplicar controles proporcionais.
- Zero Trust e PAM: o modelo de confiança zero parte do princípio de que nenhuma conta ou sistema deve ter acesso irrestrito. Combinado a soluções de PAM (Privileged Access Management), reduz drasticamente a superfície de dados que um atacante consegue alcançar após comprometer uma credencial.
A defesa precisa evoluir junto com a ameaça
O crescimento do ransomware sem criptografia é um lembrete de que segurança da informação não é um problema resolvido — é um equilíbrio dinâmico. À medida que as defesas evoluem, os atacantes adaptam suas táticas. Empresas que ainda medem sua maturidade em segurança pela qualidade do backup estão respondendo a uma ameaça que já não é mais a principal. O desafio atual está em detectar o que não faz barulho.
Fontes
Ransomware Without Encryption: Why Pure Exfiltration Attacks Are Surging — Morphisec Blog
Ransomware Without Encryption: Why Pure Exfiltration Attacks Are Surging — Security Magazine
Ransomware Trend: Skips Encryption for Data Theft — DataLink Tech (março 2026)
Even ransomware actors tire of complicated encryption — IT Brew (fevereiro 2026)
ECHO Findings: Data Exfiltration and The Quiet Evolution of Ransomware — Cynet
