Os números brasileiros publicados nesta semana mostram que o ransomware Babuk não precisa ser sofisticado para faturar no país. Basta encontrar empresas operando com a porta da identidade escancarada.
Há cenários em que o atacante precisa ser criativo e há cenários em que basta empurrar a porta. Os dois números brasileiros que ganharam destaque nesta semana, 98% das contas em nuvem das empresas nacionais operando sem autenticação multifator e 91% delas com privilégios excessivos, mostram em qual desses cenários estamos. Some a isso a média de 3.736 ataques cibernéticos por semana por organização registrada em fevereiro de 2026, um crescimento de 37% em doze meses, e o quadro fica gritante: o atacante moderno mira o Brasil porque o trabalho é fácil. Não é coincidência que o grupo Babuk tenha se consolidado como líder do ecossistema de ransomware nacional e tenha popularizado a chamada “re-extorsão”, a reutilização de dados já vazados para aplicar novas rodadas de pressão sobre as mesmas vítimas. O Babuk não venceu por ser tecnicamente brilhante. Venceu porque o terreno está pronto.
A re-extorsão merece um olhar mais cuidadoso porque inverte uma premissa antiga. Por anos, a estratégia padrão da vítima foi pagar uma vez, recuperar o que dava e seguir em frente assumindo que o atacante cumpriria sua parte. O Babuk e operadores semelhantes descobriram que dados exfiltrados continuam sendo munição reutilizável muito depois do incidente original. O mesmo dump usado em um ataque é reempacotado, enriquecido com informações de outras fontes e devolvido à mesa de negociação meses depois, simulando um incidente novo. A vítima, sem capacidade técnica de provar que aquele material já vazou anteriormente, paga de novo. O cálculo do atacante muda: cada vítima vira receita recorrente. E isso amplifica o impacto financeiro do incidente original e cria um efeito cascata sobre toda a cadeia de fornecedores e parceiros expostos no mesmo vazamento.
No contexto brasileiro, esse modelo encontra terreno fértil. O relatório FortiGuard Labs apontou quase 754 bilhões de tentativas de ataque cibernético no país em 2025, e o custo médio consolidado de um incidente de ransomware para uma empresa de médio porte já ultrapassa R$ 1,4 milhão, considerando paralisação operacional, recuperação, custos jurídicos e dano de imagem. No varejo, o cálculo sobe para algo entre R$ 6 e R$ 7,19 milhões em períodos de pico de vendas. Os dois números que abrem este artigo explicam, sozinhos, por que essas estatísticas são tão altas. Quando 98% das contas em nuvem dispensam MFA e 91% operam com privilégio que excede em muito a necessidade real do papel, o atacante precisa apenas de uma credencial comprometida (comprada em fórum criminoso, capturada por infostealer ou exposta em vazamento de terceiro) para virar administrador de domínio em uma única tarde.
A defesa é menos sobre adquirir ferramentas novas e mais sobre executar com disciplina aquilo que já existe. MFA, em 2026, não é mais “qualquer segundo fator”. Códigos por SMS e push notifications simples continuam vulneráveis a phishing em tempo real e a ataques de MFA fatigue. O caminho é o MFA phishing-resistant, baseado em FIDO2, WebAuthn e passkeys, vinculado ao dispositivo físico do usuário, com cobertura obrigatória sobre acessos a console de nuvem, painéis de SaaS críticos e operações privilegiadas. Já abordei aqui no Café com Bytes que o PAM moderno precisa ir muito além de cofre de senhas, e é exatamente nesse ponto que a história se conecta. Privilégio excessivo só desaparece com governança de identidade contínua, revisão periódica de permissões, modelo just-in-time eliminando administradores permanentes e sessões privilegiadas gravadas para auditoria. Some a essa base o backup imutável seguindo a regra 3-2-1-1-0, para que, mesmo que o pior aconteça, a re-extorsão perca a alavanca: os dados exfiltrados podem voltar, mas o ambiente produtivo continua íntegro e a operação não para.
A sua organização sabe quantas das contas com acesso à console de nuvem operam hoje sem MFA forte, e quantos administradores permanentes ainda existem espalhados em sistemas que ninguém mais usa? Se a resposta for “não sei”, o Babuk e seus pares já têm a sua porta mapeada. Agradeço por acompanhar mais um artigo do Café com Bytes. Se esse tema fizer sentido para alguém da sua rede, compartilhe e deixe seu comentário.
Rodrigo Rocha
Co-fundador e Head de Soluções de Cibersegurança da Gruppen it Security
