Hora zero: 23h47 de uma quinta-feira.
Alerta do Wazuh: movimento lateral atípico + tentativa de acesso a compartilhamento de rede. Cinco minutos depois: primeiro servidor criptografado. Trinta minutos depois: a organização sabia que estava sob ataque.
O que funcionou
Playbook existia e estava atualizado. Parece óbvio. Em 80% dos clientes que assessoro, o IRP está desatualizado ou nunca foi testado. Aqui, havíamos feito um tabletop exercise 60 dias antes.
Backups offline. A decisão de manter backups air-gapped foi questionada pelo CFO como "cara demais" seis meses antes. No incidente, foi o que permitiu RTO de 6h em vez de semanas.
Comunicação centralizada. Uma pessoa com autoridade para decidir. Uma linha de comunicação. Nada de grupos de WhatsApp paralelos com rumores.
O que quase falhou
Segmentação incompleta. O atacante se moveu lateralmente por um segmento que estava fora do escopo da revisão anterior. Servidores legados sem agente de monitoramento.
Fornecedor de backup sem SLA de emergência. Precisamos de recuperação prioritária. O contrato não previa. Negociamos na hora — custou tempo e R$ extra.
A notificação ANPD
Dados pessoais foram exfiltrados antes da criptografia (double extortion). Notificação obrigatória em 72h. O que nos salvou: RIPD atualizado, mapeamento de dados concluído, e clareza sobre quais titulares foram impactados.
Resultado: zero sanções. A ANPD valorizou a proatividade, transparência e demonstração de medidas técnicas documentadas.
Três mudanças imediatas pós-incidente
- Agente Wazuh em 100% dos ativos (incluindo legados com workaround)
- Segmentação revisada com microsegmentação por criticidade
- Contrato de emergência com empresa de IR externa como backstop
Ransomware não é uma questão de se. É uma questão de quando — e se você estará preparado.