RANSOMWARE: ANÁLISE DE IMPACTOS E METODOLOGIA DE PREVENÇÃO EM PEQUENAS E MÉDIAS EMPRESAS

Engenharias, Volume 29 - Edição 152/NOV 2025 / 02/12/2025

REGISTRO DOI: 10.69849/revistaft/pa10202511291852

José Cândido Reis de Sá 1
Keoma de Sousa Coelho 2

RESUMO

Este artigo apresenta uma análise sobre o impacto, evolução e metodologias de prevenção contra ransomware em pequenas e médias empresas (Pequenas e Médias Empresas (PME)), combinando referencial teórico acadêmico com validação experimental através de simulação de ransomware. A pesquisa, guiada por revisão bibliográfica e testes empíricos realizados com KnowBe4 RanSim, evidencia que PMEs são alvo recorrente desse tipo de ataque devido à carência de equipes dedicadas e de políticas maduras de segurança. Utilizando marcos como o National Institute of Standards and Technology (NIST) Cybersecurity Framework, as normas International Organization for Standardization (ISO)/International Electrotechnical Commission (IEC) 27001/27002 e Center for Internet Security (CIS) Controls v8, o estudo avalia estratégias graduais de mitigação, esforços de implementação e capacidade de preven- ção/recuperação de ambientes Windows 7, 10 e 11. Os testes experimentais demonstraram taxa de vulnerabilidade de 81,5%–85,2%, confirmando que mais de 4 em cada 5 ataques de ransomware são bem-sucedidos em configurações padrão. Destaca-se o crescimento dos modelos de dupla extorsão, vetores predominantes (phishing, Remote Desktop Protocol (RDP), vulnerabilidades), e recomendações práticas que consideram restrições de equipe e orçamento típicas do segmento. A síntese é fundamentada em evidências recentes de mercado, academia e validação experimental, buscando contribuir para práticas de segurança mais efetivas e viáveis em PMEs.

Palavras-chave: ransomware; segurança da informação; NIST; CIS Controls; PMEs; simu- lação de ransomware.

ABSTRACT

This article presents an analysis of the impact, evolution, and prevention methodologies against ransomware in small and medium-sized enterprises (SMEs), combining academic theoretical frameworks with experimental validation through ransomware simulation. The literature review and empirical tests conducted with KnowBe4 RanSim show SMEs are fre- quent targets due to lack of dedicated teams and mature security policies. Using frameworks such as NIST Cybersecurity Framework, ISO/IEC 27001/27002 standards, and CIS Controls v8, the study evaluates mitigation strategies, implementation effort, and prevention/recovery capacity for Windows 7, 10, and 11 environments. Experimental tests demonstrated vulnera- bility rates of 81.5%–85.2%, confirming that more than 4 in 5 ransomware attacks succeed in default configurations. The sharp rise of double extortion models, predominant attack vectors (phishing, RDP, vulnerabilities), and practical recommendations reflecting team and budget constraints of this sector are highlighted. The synthesis is grounded in recent market and academic evidence plus experimental validation, aiming to promote more effective and feasible security practices for SMEs.

Keywords: ransomware; cybersecurity; NIST; CIS Controls; SMEs; ransomware simulation.

1 INTRODUÇÃO

Nas últimas décadas, a transformação digital acelerada tem levado as PMEs a uma crescente dependência de dados e sistemas conectados, estabelecendo um cenário de interdepen- dência tecnológica sem precedentes (SCHMIDT, 2021; MARR, 2017; The Economist, 2017). Nesse contexto, o ransomware emergiu como a principal ameaça cibernética para esse segmento empresarial, uma vez que não apenas paralisa operações críticas, mas também gera prejuízos financeiros substanciais e danos reputacionais de difícil recuperação (ENISA, 2023; VERIZON, 2025; IBM Security; Ponemon Institute, 2024; KASPERSKY, 2023).

A evolução dessa modalidade de ataque transcendeu a simples criptografia de dados, incorporando o sofisticado modelo de dupla extorsão. Nessa estratégia, além de criptografar os dados da vítima, os invasores exfiltram informações sensíveis e ameaçam divulgá-las em marketplaces criminosos, ampliando significativamente a pressão sobre as organizações afetadas (ENISA, 2023; VERIZON, 2025; HORNETSECURITY, 2025). Particularmente preocupante é o fato de que o pagamento do resgate não garante a restauração completa dos dados, criando um cenário de risco permanente (KASPERSKY, 2023).

Pesquisas recentes, como o trabalho de Avery et al. (2025) (AVERY et al., 2025), demons- tram como falhas únicas em ambientes críticos podem gerar impactos em cascata, resultando em paralisações operacionais e riscos severos à continuidade de negócios. Embora tais estudos foquem primariamente no setor de saúde, seus achados são diretamente aplicáveis às PMEs, onde um ataque bem-sucedido em sistemas Enterprise Resource Planning (ERP), infraestrutura de e-mail ou pontos de venda pode comprometer toda a operação empresarial em questão de horas, limitando drasticamente a capacidade de resposta organizacional.

Adicionalmente, a forma como esses ataques são divulgados pela mídia exerce influência significativa na percepção pública sobre confiança, responsabilidade corporativa e segurança organizacional, afetando especialmente PMEs que dependem fortemente de sua reputação local (AVERY et al., 2025). Assim, investir exclusivamente em proteção técnica, negligenciando estratégias de comunicação, planos formais de resposta e políticas de preservação da reputação, constitui uma abordagem reconhecidamente incompleta (SCHMIDT, 2021).

Observa-se claramente o salto exponencial em 2016–2017 com WannaCry e Petya/NotPetya, e nova intensificação entre 2019–2021 com Maze, REvil e LockBit, reforçando o foco nas dife- renças de vulnerabilidade relativa entre Windows 7, 10 e 11 no presente estudo (Trend Micro, 2022; SOPHOS, 2021). Segundo Matthew Kosinski, ransomware é um software malicioso que, após comprometer dispositivos e redes através de vetores diversos, restringe o acesso a dados com frequência por meio de criptografia e exige pagamento para restauração, operando modelo economicamente viável para criminosos (KOSINSKI, 2024).

Considerando que as PMEs frequentemente carecem de equipes dedicadas à segurança e de processos maduros de gestão de segurança da informação (IBM Security; Ponemon Ins- titute, 2023; INSTITUTE, 2022; KASPERSKY, 2023), esta pesquisa desenvolve uma análise abrangente que combina revisão bibliográfica de fontes acadêmicas e de mercado com validação experimental. O objetivo central é identificar e avaliar metodologias e frameworks de segurança da informação mais aplicáveis e exequíveis para o enfrentamento do ransomware no contexto específico das PMEs.

O estudo prioriza a análise da exequibilidade prática, do esforço real de implementação, dos custos envolvidos e da capacidade efetiva de mitigação em ambientes Windows 7, 10 e 11, sempre considerando as realidades orçamentárias e operacionais características desse segmento empresarial. Como diferencial metodológico, a pesquisa incorpora validação experimental por meio de testes com simulador de ransomware não destrutivo (KnowBe4 RanSim), superando as limitações de estudos puramente bibliográficos e fornecendo evidências empíricas sobre vulnerabilidades presentes em configurações padrão de segurança.

2 REFERENCIAL TEÓRICO

2.1 Conceitos fundamentais de segurança da informação

Em ambientes empresariais, dados e sistemas constituem ativos centrais para a continui- dade dos negócios, sendo frequentemente irrecuperáveis quando comprometidos, especialmente em PMEs onde a redundância é limitada. Esses ativos devem necessariamente atender aos requisitos fundamentais da tríade Confidencialidade, Integridade e Disponibilidade (CIA): con- fidencialidade, integridade e disponibilidade, conforme estabelecido na literatura clássica de segurança da informação (International Organization for Standardization, 2022a; STALLINGS; BROWN, 2020).

O ransomware representa uma ameaça particular porque combina a indisponibilidade dos dados (através da criptografia) com extorsão financeira direta. O modelo contemporâneo de dupla extorsão amplia significativamente esse arsenal criminoso, incorporando a exfiltração de dados como elemento adicional de pressão (ENISA, 2023; VERIZON, 2025; KASPERSKY, 2023). Essa estratégia evoluída surgiu como resposta dos criminosos à crescente adoção de backups robustos e soluções de recuperação em nuvem pelas organizações.

Consequentemente, quando uma vítima possui backup íntegro e testado, a simples cripto- grafia dos dados não garante o pagamento do resgate. Nesse cenário, a ameaça de divulgação de informações comprometidas em marketplaces clandestinos adiciona pressão psicológica e legal que independe da capacidade técnica de restauração, elevando significativamente as taxas de conformidade com as exigências dos criminosos.

2.2 Ameaça de ransomware: vetores e evolução

A evolução do ransomware demonstra uma transformação significativa: de campanhas oportunísticas em larga escala para operações altamente direcionadas, impulsionada pela con- solidação do modelo Ransomware-as-a-Service (RaaS) (SOPHOS, 2021; Trend Micro, 2022). Essa mudança estratégica reflete uma sofisticação crescente das organizações criminosas e uma segmentação mais precisa de alvos vulneráveis.

A literatura especializada identifica cinco vetores principais de ataque que se mostram particularmente eficazes contra PMEs: (1) phishing, responsável por 35% dos casos; (2) explo- ração de serviços RDP inadequadamente protegidos; (3) vulnerabilidades não corrigidas, com crescimento de 180% na exploração durante 2024; (4) uso de credenciais comprometidas obtidas em mercados criminosos; e (5) falhas de atualização e configuração de sistemas (FBI, 2021; VERIZON, 2024; VERIZON, 2025).

O phishing mantém-se como o vetor mais eficaz devido à sua exploração de engenharia social sofisticada, levando funcionários a interagir com conteúdo malicioso sem perceberem os riscos inerentes. Paralelamente, serviços RDP expostos à Internet sem proteção adequada constituem alvos preferenciais para ataques de força bruta. As vulnerabilidades em software amplamente utilizado, especialmente Common Vulnerabilities and Exposuress (CVEs) não corri- gidas em aplicações críticas, oferecem pontos de entrada que dispensam técnicas de engenharia social, facilitando o comprometimento inicial dos sistemas.

A consolidação do modelo RaaS alterou significativamente o cenário de ameaças e ampliou o acesso a ferramentas sofisticadas. Grupos criminosos operam como estruturas orga- nizacionais hierárquicas especializadas: desenvolvedores criam o malware e infraestrutura de comando e controle (Comando e Controle (C2)), enquanto afiliados realizam campanhas de ataque e recebem percentual do pagamento do resgate, tipicamente 20%–30% do valor cobrado. Essa estruturação ampliou o acesso a ferramentas profissionais de ransomware, permitindo a operadores com menor expertise técnica executar ataques direcionados eficazes.

2.3 Terminologia técnica e escopo

Utilizam-se formas estendidas seguidas das siglas para clareza: sistemas integrados de gestão empresarial (ERP), autenticação multifator (Multi-Factor Authentication (MFA)), detecção e resposta em endpoint (Endpoint Detection and Response (EDR)), detecção e resposta estendida (Extended Detection and Response (XDR)), gerenciamento de eventos de segurança (Security Information and Event Management (SIEM)), Recovery Time Objective (Recovery Time Objective (RTO)) e Recovery Point Objective (Recovery Point Objective (RPO)), dentre outras. O escopo da presente pesquisa analisa estratégias de endurecimento de sistemas, políticas de segurança, implementação de controles técnicos e administrativos, e limitações de legados em ambientes Windows 7, Windows 10 e Windows 11 (MICROSOFT, 2022; NIST, 2020; SIMEONONSECURITY, 2025).

2.4 Modelos e frameworks de referência

As práticas de segurança contemporâneas são ancoradas em referências consolidadas como NIST Cybersecurity Framework (Cybersecurity Framework (CSF)) (NIST, 2018; NIST, 2021), ISO/IEC 27001 e 27002 (International Organization for Standardization, 2022a; Inter- national Organization for Standardization, 2022b), CIS Controls v8 (SECURITY, 2021), com destaque para a segmentação em funções do NIST CSF: Identify, Protect, Detect, Respond, Re- cover. O NIST CSF é reconhecido globalmente como abordagem agnóstica e flexível, aplicável a qualquer setor e tamanho de organização. ISO/IEC 27001 oferece certificação formal reco- nhecida comercialmente, demandando implementação completa de um programa de segurança. CIS Controls fornece lista priorizada de 18 salvaguardas críticas com esforço de implementação previamente mapeado, tornando-se ideal para PMEs que necessitam direcionamento prático. São recomendados roadmaps incrementais (fase 1, 2, 3) e diretrizes integradas de continuidade de negócios, incluindo ISO 22301 (International Organization for Standardization, 2019).

2.5 Critérios de exequibilidade para PMEs

Avaliou-se viabilidade prática, esforço de implementação e capacidade real de mitigação para cada controle/framework, considerando custos diretos e indiretos, curva de aprendizado tecnológico e dependência de serviços de terceiros (Security Operations Center (SOC)/Managed Detection and Response (MDR)/Managed Service Provider (MSP)) (INSTITUTE, 2022; IBM Security; Ponemon Institute, 2023). PMEs frequentemente possuem orçamentos de TI entre 2% a 4% do faturamento anual, enquanto grandes empresas investem 5% a 10% (INSTITUTE, 2022). Essa restrição orçamentária exige priorização rigorosa de controles com maior Return on Investment (ROI).

3 METODOLOGIA

3.1 Tipo e abordagem

Pesquisa bibliográfica exploratória e descritiva, baseada em avaliação crítica e síntese de publicações acadêmicas e técnicas sobre ransomware, frameworks de segurança para PMEs e estudos de impacto econômico, complementada por validação experimental por meio de simulação de ransomware. A escolha de metodologia mista (bibliográfica e experimental) permite consolidar o estado atual do conhecimento de forma rigorosa, sem riscos éticos de segurança (simulação não destrutiva) e com aplicabilidade imediata aos profissionais da área.

3.2 Pergunta orientadora e objetivos

Pergunta central: Quais metodologias e frameworks são mais adequados à prevenção, detecção, resposta e recuperação de ransomware em PMEs, considerando ambientes Windows 7, Windows 10 e Windows 11? Qual é o nível real de vulnerabilidade desses ambientes em configurações padrão de fábrica (instalação limpa sem hardening)? Objetivos específicos: (1) Identificar e sintetizar metodologias e frameworks usados no mercado; (2) Avaliar critérios de aplicabilidade às PMEs; (3) Validar empiricamente vulnerabilidades por meio de simulação; (4) Consolidar recomendações viáveis; (5) Identificar lacunas técnicas, metodológicas e operacionais para pesquisas futuras.

3.3 Fontes de informação

Utilizadas: CAPES, Google Scholar, SciELO, Scopus, Web of Science, além de normativas NIST, ISO/IEC, CIS V8, e relatórios consolidados de ENISA, Verizon DBIR, IBM/Ponemon, Kaspersky, Sophos, Backup Garantido. Foram realizadas buscas estruturadas com operadores booleanos e filtragem por período (2016–2025) e idioma (português/inglês). Total de fontes consultadas: 46 referências (37 bibliográficas e 9 de ferramentas de teste). Para validação experimental, utilizou-se a ferramenta KnowBe4 RanSim v.24.1.2 com execução de quatro testes independentes em ambiente Windows controlado.

4 IMPACTOS DO RANSOMWARE EM PEQUENAS E MÉDIAS EMPRESAS

4.1 Dimensão e contexto brasileiro do problema

O cenário brasileiro revela uma escalada crítica nos ataques direcionados às PMEs, evidenciada pelo fato de que 73% das empresas reportaram vitimização por ransomware em 2024, resultando em custos médios de recuperação de R$ 6 milhões por incidente (NERD, 2025). Esse panorama torna-se ainda mais alarmante quando considerado o crescimento exponencial de 273 vezes nos incidentes reportados, saltando de 48.700 para 13,3 milhões entre junho de 2024 e junho de 2025 (TERRA, 2025).

Esse direcionamento preferencial às PMEs não é fortuito, considerando que elas re- presentam 96% do universo empresarial brasileiro e apresentam vulnerabilidades estruturais características. Entre essas vulnerabilidades, destacam-se a infraestrutura de TI elementar, a ausência de MFA, equipes técnicas não especializadas em segurança e a inexistência de polí- ticas básicas de proteção. A dimensão regional desse problema é corroborada pelos dados da Kaspersky, que indicam 43% de vitimização por phishing na América Latina (TERRA, 2025), refletindo tanto restrições orçamentárias quanto a tendência de priorizar demandas operacionais de curto prazo em detrimento de investimentos em segurança preventiva.

4.2 Impactos financeiros e operacionais

A análise dos custos associados a ataques de ransomware em PMEs revela uma comple- xidade financeira que transcende significativamente o valor do resgate inicialmente demandado pelos criminosos. Estimativas da Forbes (2023) indicam que o custo médio total de recupera- ção atinge aproximadamente US$ 2 milhões, sendo que apenas a investigação forense pode ultrapassar US$ 70 mil (LEADCOMM, 2023).

Essa estrutura de custos torna-se ainda mais complexa quando são considerados elemen- tos adicionais como remediação de infraestrutura, contratação de serviços especializados de recuperação, adequação à conformidade regulatória (Lei Geral de Proteção de Dados (LGPD)), ações judiciais preventivas e os impactos operacionais imediatos. O somatório desses fatores pode representar entre 15% e 30% da receita anual de uma PME de médio porte (LEADCOMM, 2023), proporção que tende a ser ainda maior em organizações de menor porte, onde a capacidade de absorção desses custos é mais limitada.

Estudos quantitativos recentes indicam que 15% das PMEs vítimas de ransomware não conseguem retomar operações normais no período de seis meses pós-incidente, conforme documentado por análises setoriais (NERD, 2025). O impacto operacional imediato inclui paralisação completa de sistemas críticos: em 58% dos casos analisados, organizações precisam interromper operações por uma média de 12 horas, e em 80% dos casos essa interrupção prolonga- se para mais de uma semana (ILLUMIO, 2024). Esse tempo de indisponibilidade pode acarretar perda de receita direta, impossibilidade de atender clientes e pedidos, possível perda de confiança de parceiros comerciais, e dificuldades na recuperação de reputação.

4.3 Impactos reputacionais, legais e regulatórios

A dimensão reputacional do ransomware é comumente subestimada pelas PMEs brasilei- ras. Pesquisa da Forbes Insights (2023) constatou que 46% das organizações globais vítimas de violações de segurança sofreram danos significativos à sua reputação e ao valor de marca (MA- NAGEENGINE, 2025). Para PMEs, onde a reputação é frequentemente o principal diferencial competitivo em mercados locais, essa consequência é particularmente devastadora. Estudos da National Cyber Security Alliance indicam que 60% das PMEs saem do mercado seis meses após sofrerem uma violação de dados ou ataque cibernético grave (MANAGEENGINE, 2025).

No contexto brasileiro específico, a LGPD e cumprimento regulatório impõem maior complexidade regulatória e risco legal. Vazamentos decorrentes de ataques de ransomware podem resultar em multas administrativas (de até 2% do faturamento anual por infração), ações judiciais de clientes e parceiros prejudicados, investigações por órgãos como a Autoridade Nacional de Proteção de Dados (ANPD) e aplicação de sanções administrativas previstas na legislação. O modelo de dupla extorsão intensifica esses riscos: criminosos não apenas criptografam dados, mas exfiltram informações sensíveis, ameaçando divulgação na “dark web”, criando pressão temporal e psicológica que frequentemente induz ao pagamento de resgates mesmo sem garantia de recuperação completa (ENISA, 2023; VERIZON, 2025).

5 METODOLOGIAS DE PREVENÇÃO DE RANSOMWARE

5.1 Função IDENTIFY: mapeamento de ativos e vulnerabilidades

A primeira função do NIST Cybersecurity Framework enfatiza identificação precisa de ativos críticos e avaliação contínua de exposições à ameaça. Para PMEs, essa etapa é frequente- mente negligenciada ou executada de forma superficial e não iterativa. A implementação efetiva requer: inventário completo de hardware e software, mapeamento granular de fluxos de dados entre sistemas, identificação clara de dados críticos para continuidade operacional, documentação de dependências entre aplicações críticas e classificação racional de ativos por criticidade (NIST, 2018).

Ferramentas de descoberta automatizadas como o Nessus, OpenVAS e Microsoft Defender para Endpoint podem executar varreduras de vulnerabilidades iniciais com custo-benefício viável para PMEs. A limitação crítica em PMEs é interpretação acertada e priorização eficiente de descobertas. Uma PME com cinco a dez servidores pode identificar 200 a 500 vulnerabilidades potenciais; determinar quais requerem remediação imediata versus mitigação gradual exige expertise que comumente não está disponível internamente.

5.2 Função PROTECT: hardening e controles preventivos

A função Protect abarca medidas técnicas e administrativas que reduzem a probabilidade de sucesso de ataques de ransomware. Para ambientes Windows, a Microsoft fornece security baselines específicos para Windows 10 e Windows 11 (MICROSOFT, 2022). A implementação dessas baselines recomendadas via Group Policy (GP) ou ferramentas automatizadas como HardeningKitty reduz superfície de ataque de forma sistemática e documentada.

Controles de alta prioridade incluem: Controlled Folder Access (proteção nativa do Windows Defender contra criptografia de ransomware), regras Attack Surface Reduction (ASR) que bloqueiam padrões de ataque comuns, Credential Guard para proteção isolada do Local Security Authority Subsystem Service (LSASS), ativação de Secure Boot e Measured Boot em hardware compatível, desabilitação da autenticação WDigest, e aplicação de patches cumulativos mensais (CYBER.GOV.AU, 2025). Estima-se que implementação completa de baselines reduz 70% das técnicas de ataque mais comuns quando combinado com outros controles (Security and Technology Institute, 2022).

A autenticação multifator (MFA) merece ênfase especial por impacto desproporcional- mente alto. Implementação de MFA em serviços RDP, Virtual Private Network (VPN), webmail e ferramentas administrativas reduz a probabilidade de comprometimento por força bruta ou roubo de credenciais em mais de 95%. Para PMEs, soluções baseadas em nuvem como Microsoft Authenticator, Google Authenticator ou aplicativos Time-based One-Time Password (TOTP) reduzem complexidade de gerenciamento comparado à infraestrutura de servidor de autenticação dedicado.

Backup resiliente é controle preventivo essencial e frequentemente negligenciado. A regra 3-2-1-1 — que estabelece três cópias de dados em dois tipos de mídia diferentes, com uma cópia offline e verificação de integridade — fornece fundação resiliente (SYSTEMS, 2025). Para PMEs, implementação realista inclui: backup diário em armazenamento local conectado (cópia 1), replicação noturna para Network Attached Storage (NAS) segregado em rede com acesso restrito (cópia 2), backup semanal para nuvem com credenciais administrativas distintas (cópia 3, em isolamento lógico). Verificação de integridade automatizada após cada backup detecta corrupção precocemente, antes de cenário de desastre ativo.

5.3 Função DETECT: monitoramento e telemetria

Detecção rápida de ataques reduz o tempo de resposta crítico e minimiza dano efetivo. Para PMEs com orçamentos limitados, priorização é absolutamente crítica. Soluções de EDR (Endpoint Detection and Response) como CrowdStrike Falcon, SentinelOne, Microsoft Defender para Endpoint ou alternativas open-source como Wazuh fornecem telemetria comportamental capaz de detectar padrões anormais: tentativas de elevação de privilégios, enumeração de rede, movimentação lateral, atividades de criptografia em massa (ISH, 2024; REDBELT, 2024).

O EDR monitora comportamento de processos em tempo real, analisando padrões de chamadas de sistema, acesso a arquivos e conectividade de rede. Quando detectadas atividades consistentes com ransomware (por exemplo, criptografia em paralelo de múltiplos arquivos, mo- dificação de extensões de arquivo em massa, busca por backups), o EDR pode executar resposta automática: isolamento imediato do endpoint, término de processo malicioso ou notificação imediata para investigação humana.

Para PMEs, modelo híbrido, frequentemente viável economicamente: EDR gerenciado por provedor de serviço (MDR Managed Detection and Response) monitora endpoints 24/7, enquanto SIEM simplificado (como ferramentas baseadas em nuvem) correlaciona eventos de firewall, Domain Name System (DNS), logs de acesso e EDR. Combinação EDR, SIEM e automação de resposta (Security Orchestration, Automation and Response (SOAR)) forma conjunto integrado de detecção moderna (REDBELT, 2024).

Segmentação de rede implementada via abordagem Zero Trust (ZT/microssegmentação) interrompe movimento lateral após comprometimento inicial. Em vez de confiar em perímetro único, Zero Trust segmenta cada endpoint e aplicação, requerendo verificação contínua de identidade, dispositivo e contexto para cada comunicação. Para PMEs, abordagens baseadas em software (por exemplo, Illumio, Guardicore) são preferíveis a reconfigurações caras de infraestrutura física (ILLUMIO, 2024; E-SAFER, 2023).

6 COMPARATIVA: WINDOWS 7 VS. WINDOWS 10 VS. WINDOWS 11

Windows 7 (fim de suporte oficial: janeiro de 2020) permanece em aproximadamente 8% de ambientes empresariais globais, predominantemente em PMEs brasileiras por limitações orçamentárias, conforme dados estatísticos da Microsoft (MICROSOFT, 2022). Vulnerabilidades estruturais incluem ausência de Controlled Folder Access, regras ASR, Credential Guard e múltiplas vulnerabilidades CVE não corrigidas com impacto crítico na segurança do sistema. Windows 10 oferece defesas significativas quando adequadamente endurecido através de security baselines (CYBER.GOV.AU, 2025). Windows 11 reforça defesas obrigando o Secure Boot, o Trusted Platform Module (TPM) 2.0 e a Unified Extensible Firmware Interface (UEFI), reduzindo substancialmente a superfície de ataque em firmware e diminuindo significativamente a possibilidade de exploração em firmware.

6.1 Evidência Visual: Windows 7 com e sem Antivírus Adicional

Para efeito comparativo e ilustração das vulnerabilidades de sistemas legados, apresentam- se a seguir capturas de tela de ambiente Windows 7 submetido a testes de simulação com e sem proteção adicional de antivírus. Estes resultados visuais evidenciam limitações significativas em sistemas descontinuados e sugerem que mesmo com proteção adicional instalada, sistemas Windows 7 apresentam maior vulnerabilidade a simulações de ransomware contemporâneo quando comparados a sistemas mais recentes.

Figura 1 – Windows 7 com solução antivírus Avast ativa: alerta de detecção do artefato FileRep- Malware durante execução do simulador RanSim. Nota-se que a detecção é baseada em assinatura, não impedindo o início da execução do simulador.

A Figura 1 observa que mesmo com a solução antivírus Avast ativa em sistema Windows 7, a detecção é principalmente baseada em assinatura de arquivo conhecido e não consegue bloquear o início da execução do simulador. Este comportamento reativo, em lugar de proativo, é característico de soluções antivírus de geração anterior, que dependem de comparação contra a base de dados de ameaças conhecidas. Quando confrontadas com novos comportamentos ou variantes não documentadas, essas soluções falham em proteção preventiva (MICROSOFT, 2022).

Figura 2 – Windows 7 sem solução antivírus adicional: interface KnowBe4 RanSim demons- trando vinte e três de vinte e cinco cenários de ransomware vulneráveis. Taxa de vulnerabilidade: 92% em configuração padrão.

A Figura 2 demonstra, através do relatório gráfico e tabulado do KnowBe4 RanSim, que ambiente Windows 7 com configuração padrão e sem proteção adicional apresenta taxa de vulnerabilidade de 92% (vinte e três cenários vulneráveis em vinte e cinco possíveis). Este resultado é ainda mais preocupante que os observados em Windows 10/11, confirmando que sistemas operacionais descontinuados representam risco significativamente maior para PMEs brasileiras que ainda mantêm tais infraestruturas por limitações orçamentárias (MICROSOFT, 2022).

A comparação visual entre as Figuras 1 e 2 oferece evidência consistente de que: (1) Win- dows 7 apresenta vulnerabilidades estruturais significativas a ransomware, independentemente de solução antivírus adicional estar instalada (MICROSOFT, 2022); (2) A presença de antivírus não resolve o problema, apenas retarda ligeiramente a exposição ao risco; (3) Migração para Windows 10 ou 11 é fortemente recomendada como medida preventiva de primeiro nível urgente para qualquer PME ainda operando versões legadas.

7 AVALIAÇÃO EXPERIMENTAL: SIMULAÇÃO DE RANSOMWARE EM AMBI- ENTE WINDOWS

7.1 Metodologia de simulação e ferramental

Para validar empiricamente as vulnerabilidades discutidas anteriormente e avaliar a eficácia das defesas nativas de ambientes Windows, foram realizados testes experimentais utilizando o simulador KnowBe4 RanSim (Ransomware Simulator). O RanSim é uma ferramenta de avaliação não destrutiva amplamente reconhecida na indústria de segurança da informação, desenvolvida especificamente para testar a capacidade de detecção e prevenção de soluções de proteção de endpoint contra ataques de ransomware (KnowBe4, 2016; KNOWBE4, 2025).

O simulador opera por meio da execução controlada de múltiplos cenários de ataque ba- seados em famílias reais de ransomware documentadas na literatura especializada (KNOWBE4, 2025). Criticamente, o RanSim não utiliza arquivos reais do usuário nem executa criptografia de dados reais: em vez disso, cria conjuntos de arquivos de teste temporários e simula com- portamentos característicos de ransomware (enumeração de arquivos, tentativas de criptografia, modificação de extensões, criação de chaves de registro) para avaliar se as soluções de segurança conseguem detectar e bloquear essas ações antes da conclusão do ataque (KnowBe4, 2016; KNOWBE4, 2025).

A escolha do RanSim como ferramenta de teste justifica-se por diversos fatores meto- dológicos: (1) é amplamente utilizado pela indústria de segurança da informação conforme documentação do fabricante; (2) não apresenta riscos operacionais, operando em ambiente con- trolado sem danificar dados reais; (3) permite reprodutibilidade de testes em múltiplos ambientes; (4) fornece resultados quantitativos claros sobre taxa de detecção e vulnerabilidade.

7.2 Ambiente de teste e configuração

Os testes foram realizados em ambiente Windows com as seguintes características: (1) Sistema operacional: Windows 10/11 (versões atualizadas até a data dos testes); (2) Solução de segurança: Windows Defender (Microsoft Defender Antivirus) com configurações padrão; (3) Configuração de segurança: Proteção em tempo real ativa, Controlled Folder Access desabilitado em algumas instalações padrão do Windows, regras ASR não configuradas; (4) Conectividade: Conexão com internet ativa para permitir atualizações de definições de ameaças e proteção baseada em nuvem; (5) Versão do RanSim: v.24.1.2 (2025), testando 27 cenários (25 cenários de ransomware e 2 cenários de falsos positivos – situações onde atividades legítimas são incorretamente identificadas como ameaças).

É fundamental destacar que os testes foram conduzidos com configurações de segurança padrão de fábrica do Windows Defender, sem aplicação de baselines de endurecimento reco- mendadas pelo NIST, Microsoft ou CIS Controls. Essa abordagem foi deliberada para avaliar o nível de proteção que PMEs brasileiras possuem na prática, considerando que a maioria das organizações não implementa configurações avançadas de segurança por limitações de conhe- cimento técnico ou recursos humanos especializados (IBM Security; Ponemon Institute, 2023; INSTITUTE, 2022).

7.3 Protocolo de execução dos testes

Foram realizados quatro testes exploratórios em datas distintas para avaliar consistência de resultados e possíveis variações decorrentes de atualizações de assinaturas e heurísticas do Windows Defender: Teste 1 (03/09/2025), Teste 2 (03/09/2025 – primeira replicação), Teste 3 (03/09/2025 – segunda replicação), Teste 4 (01/11/2025 – teste 59 dias após). Cada execução seguiu protocolo padronizado: (1) Verificação de atualização completa de definições de ameaças do Windows Defender; (2) Reinicialização do sistema operacional; (3) Execução do RanSim com privilégios de administrador; (4) Registro de alertas gerados pelo Windows Defender durante execução; (5) Exportação de resultados em formato Comma-Separated Values (CSV) para análise quantitativa; (6) Registro visual de alertas e notificações de segurança do sistema operacional.

7.4 Limitações metodológicas e justificativas

Limitações da amostra experimental: Reconhece-se que quatro execuções constituem amostra limitada para generalização estatística robusta. Pesquisas experimentais ideais reque- rem dezenas de execuções para redução de viés e estabilização de variabilidade. Os presentes testes têm caráter exploratório, fornecendo indicações preliminares sobre vulnerabilidades em configurações padrão.

Limitações do ambiente de teste: (1) Testes realizados em ambiente controlado, sem variações de hardware, patches ou configurações regionais que podem influenciar resultados; (2) Simulação não destrutiva pode não capturar completamente comportamentos de ransomware real em ambiente produtivo; (3) Windows Defender utilizado foi atualizado até setembro-novembro de 2025, podendo diferir de versões utilizadas por PMEs com atualizações atrasadas.

Justificativas metodológicas: (1) KnowBe4 RanSim é ferramenta reconhecida na indús- tria para avaliação de segurança de endpoints; (2) Configurações padrão representam realidade da maioria das PMEs que não implementam hardening avançado; (3) Múltiplos testes em datas distintas (setembro e novembro) permitem avaliar consistência temporal; (4) Abordagem híbrida (teórica + experimental) compensa limitações de cada método isoladamente.

Limitações de generalização: Resultados aplicam-se especificamente a: PMEs brasi- leiras com ambientes Windows, configurações padrão de segurança, e ausência de controles avançados como EDR/MDR. Extrapolação para outros contextos requer validação adicional.

7.5 Resultados quantitativos e análise comparativa

A Tabela 2 consolida os resultados quantitativos dos quatro testes realizados. Observa-se consistência elevada entre os três primeiros testes (realizados no mesmo dia) e leve melhoria no quarto teste (realizado 59 dias após), potencialmente relacionada a atualizações de definições de ameaças ou aprimoramentos no mecanismo de detecção comportamental do Windows Defender.

7.5.1 Análise de variabilidade temporal

A evolução dos resultados entre setembro e novembro de 2025 indica:

  • Consistência intra-dia: Taxa idêntica de 85,2% em três execuções consecutivas (03/09/2025)
  • Melhoria inter-temporal: Redução para 81,5% após 59 dias, representando melhoria de 3,7 pontos percentuais
  • Estabilidade relativa: Variação de apenas 4,3% entre o melhor e pior resultado, indicando comportamento previsível

    7.5.2 Comparação inter-sistemas

    A análise comparativa entre sistemas revela hierarquia clara de vulnerabilidade:

    Tabela 1 – Ranking de vulnerabilidade por sistema operacional.

    Fonte: Elaborado pelo autor. Diferencial calculado em relação ao Windows 7 puro.

    Interpretação dos diferenciais: A migração de Windows 7 para Windows 10/11 pro- porciona melhoria de 6,8 a 10,5 pontos percentuais na proteção contra ransomware, mas ainda mantém vulnerabilidade superior a 80%. Antivírus adicional em Windows 7 oferece proteção marginal (apenas 4 pontos percentuais), confirmando inadequação de sistemas descontinuados independentemente de proteções adicionais.

    Tabela 2 – Resultados consolidados dos testes de simulação de ransomware (KnowBe4 RanSim).

    Fonte: Elaborado pelo autor com base em testes realizados com KnowBe4 RanSim v.24.1.2.
    *Cenários que falharam na inicialização por limitações técnicas do ambiente de teste.

    A taxa de vulnerabilidade média observada nos três primeiros testes foi de 85,2%, reduzindo-se ligeiramente para 81,5% no quarto teste. Esses resultados indicam risco elevado e são consistentes com as hipóteses sobre vulnerabilidades relacionadas à ausência de Controlled Folder Access e regras ASR em configurações padrão, conforme discutido nas seções anteriores. Os dados experimentais sugerem que, mesmo com Windows Defender ativo e atualizado, apro- ximadamente quatro em cada cinco cenários de ransomware simulados obtiveram êxito em criptografar arquivos sem intervenção preventiva automatizada.

    7.6 Análise qualitativa: famílias de ransomware testadas

    A Tabela 3 detalha as principais famílias de ransomware simuladas que resultaram consistentemente vulneráveis em todos os quatro testes exploratórios. Essas famílias representam ameaças reais documentadas em relatórios de inteligência de ameaças de 2019–2024 e continuam ativas em campanhas de ataque globais (VERIZON, 2024; VERIZON, 2025; SOPHOS, 2021).

    Tabela 3 – Famílias de ransomware consistentemente vulneráveis (4/4 testes).

    Fonte: Elaborado pelo autor com base em testes KnowBe4 RanSim.

    É particularmente preocupante a vulnerabilidade consistente a variantes como Maze- Variant, que simula o comportamento de ransomware de dupla extorsão. Conforme discutido anteriormente, esse modelo de ataque representa a ameaça mais severa para PMEs, pois invalida backups como única estratégia de recuperação: mesmo com restauração completa de dados a partir de backups íntegros, a organização permanece exposta ao risco de divulgação pública de dados exfiltrados (ENISA, 2023; VERIZON, 2025).

    7.7  Evidências visuais: alertas do Windows Defender

    As Figuras a seguir documentam visualmente os alertas gerados pelo Windows Defender durante a execução dos testes. Observa-se que o Windows Defender detectou corretamente o executável principal do RanSim como hacktool, classificando-o como possível ameaça.

    Figura 3 – Alerta de ameaça atual detectada pelo Windows Defender durante execução do RanSim. Ferramenta corretamente classificada como HackTool:Win32/MalgentIMSR com severity Alta.

    Figura 4 – Interface do KnowBe4 RanSim durante execução dos cenários de teste. Dashboard mostrando vulneráveis, não vulneráveis e cenários bloqueados pelo sistema de segu- rança.

    Figura 5 – Tela de resultados do RanSim mostrando 98 arquivos vulneráveis identificados, com gráfico setorial indicando distribuição de vulnerabilidades.

    Observou-se que, embora o Windows Defender tenha detectado e alertado sobre o execu- tável principal do RanSim, ele não bloqueou a execução dos vinte e três cenários individuais de ransomware que foram disparados sequencialmente pelo simulador. Esse comportamento evidencia limitação observada na proteção comportamental: o Windows Defender consegue iden- tificar assinaturas conhecidas de hacktools, mas apresenta dificuldades em detectar e interromper padrões comportamentais característicos de ransomware quando executados por processos não catalogados em suas assinaturas ou heurísticas.

    Figura 6 – Histórico de proteção do Windows mostrando ameaça permitida e em execução ativa.
    Status: Ativo, indicando que o processo continuou executando.

    Figura 7 – Detalhes da ameaça detectada durante testes em quarentena. Trojan:Win32/Znyonm classificado como ameaça detectada.

    Figura 8 – Ameaça encontrada – opções de ação apresentadas ao usuário: Quarentena (selecio- nado), Remoção, ou Permissão.

    A sequência de alertas ilustrada acima demonstra que o Windows Defender opera em modelo reativo de detectar e alertar em vez de modelo proativo de prevenir e bloquear. Usuários finais, especialmente em PMEs sem equipes de segurança dedicadas, frequentemente desconhe- cem como interpretar esses alertas e podem, inadvertidamente, autorizar ações que aumentam a exposição ao risco ao optar por desbloqueio de processos para desobstruir atividades legítimas identificadas incorretamente como ameaças (falsos positivos) (LOGMEIN, 2024; USECURE, 2022).

    7.8 Análise gráfica dos resultados experimentais

    Para melhor visualização e compreensão dos dados obtidos nos testes experimentais, apresentam-se a seguir gráficos que ilustram os principais achados quantitativos da pesquisa.

    Figura 9 – Taxa de vulnerabilidade obtida nos quatro testes experimentais com KnowBe4 Ran- Sim. Observa-se estabilidade nos três primeiros testes e melhoria de 3,7 pontos percentuais no quarto teste.

    Figura 10 – Distribuição percentual dos resultados dos testes experimentais (média dos quatro testes). Evidencia-se que mais de 4 em cada 5 cenários de ransomware simulado obtiveram êxito.

    Figura 11 – Comparação de vulnerabilidade entre diferentes sistemas operacionais. Evidencia- se a superioridade das versões mais recentes, mas com taxas ainda elevadas de vulnerabilidade.

    Figura 12 – Perfil de vulnerabilidade individual por cenário de ransomware testado. Mostra que 23 dos 27 cenários (85,2%) obtiveram sucesso total, enquanto apenas 1-2 cenários foram consistentemente bloqueados.

    Figura 13 – Principais famílias de ransomware que obtiveram sucesso consistente em todos os quatro testes experimentais (4/4). Demonstra a vulnerabilidade a variantes modernas de dupla extorsão.

    Os gráficos apresentados consolidam visualmente os achados quantitativos da pesquisa experimental, evidenciando:

    • Consistência temporal: Taxas estáveis de vulnerabilidade entre testes realizados no mesmo dia (85,2%)
    • Melhoria marginal: Redução de 3,7 pontos percentuais após 59 dias, indicando impacto limitado de atualizações
    • Distribuição crítica: Mais de 4 em cada 5 cenários de ransomware simulado obtiveram êxito
    • Hierarquia de sistemas: Superioridade progressiva das versões mais recentes do Windows, mas com vulnerabilidade ainda elevada
    • Vulnerabilidade seletiva: Famílias modernas de ransomware (Maze, Locky, Phobos, DjVu) apresentaram sucesso consistente

    7.9 Discussão crítica e análise multi-dimensional

    7.9.1 Análise quantitativa detalhada

    Os resultados experimentais revelam padrões específicos de vulnerabilidade:

    Consistência temporal: Taxa idêntica de 85,2% em três execuções no mesmo dia indica estabilidade do mecanismo de detecção do Windows Defender. Melhoria para 81,5% após 59 dias (3,7 pontos percentuais) sugere impacto positivo de atualizações de definições de ameaças. Variabilidade inter-cenários: Análise granular dos 27 cenários testados indica que famílias específicas (Maze, Locky, Phobos, DjVu) apresentaram sucesso consistente em 100% das execuções, enquanto 2-3 cenários falharam consistentemente, sugerindo eficácia seletiva das heurísticas comportamentais.

    Comparação inter-sistemas: A hierarquia Windows 7 (92%) > Windows 7+Avast ( 88%) > Windows 10/11 (81,5-85,2%) demonstra impacto progressivo de melhorias arquiteturais e de segurança, mas mantém vulnerabilidade inaceitavelmente alta em todos os cenários.

    7.9.2 Implicações para detecção comportamental

    Windows Defender detectou o executável principal do RanSim (classificação: HackTool), mas falhou em bloquear 81,5-85,2% dos cenários individuais de ransomware simulado. Este comportamento indica:

    • Eficácia em detecção baseada em assinatura de ferramentas conhecidas
    • Limitações significativas em análise comportamental de processos derivados
    • Janela temporal insuficiente entre detecção de padrões suspeitos e intervenção preventiva
    • Necessidade de configurações avançadas (Controlled Folder Access, regras ASR) para proteção efetiva

      7.9.3 Correlação com literatura internacional

      Os resultados são consistentes com estudos de Verizon DBIR 2024-2025 sobre eficácia limitada de soluções antivírus tradicionais contra ransomware contemporâneo, confirmando necessidade de abordagens multicamadas incluindo EDR comportamental e controles de acesso granulares.

      7.10 Implicações práticas para PMEs brasileiras

      Os resultados experimentais sugerem implicações relevantes para PMEs brasileiras: (1) Risco de confiança inadequada: Taxa de vulnerabilidade observada de 81% a 85% nos cenários simulados indica que quatro em cada cinco simulações de ransomware foram bem-sucedidas em configurações padrão. (2) Priorização de controles de baixo custo: Ativação de Control- led Folder Access (recurso nativo do Windows) pode ser considerada controle prioritário para PMEs com recursos limitados. (3) Backup como medida essencial de resiliência: Conside- rando limitações observadas na prevenção, backup resiliente (regra 3-2-1-1) permanece controle fundamental para recuperação. (4) Consideração de investimento em EDR/MDR: Custos de soluções gerenciadas, conforme valores de mercado, podem ser avaliados em relação aos custos de recuperação documentados na literatura internacional, considerando adaptações ao contexto brasileiro.

      Nota metodológica: As implicações apresentadas baseiam-se em testes exploratórios li- mitados e devem ser interpretadas como indicações preliminares, não como conclusões definitivas sobre eficácia de soluções de segurança em ambiente produtivo.

      8 DETECÇÃO E RESPOSTA A RANSOMWARE

      8.1 Indicadores de comprometimento e detecção comportamental

      A detecção de ransomware requer correlação de múltiplos sinais em janelas de tempo de segundos a minutos. Indicadores de comprometimento (Indicator of Compromise (IoC)) incluem: modificações massivas de extensões de arquivo (ex: .locked, .encrypted), padrões de criptografia por processos não pertencentes à Microsoft, acesso não autorizado ou tentativas de deleção do Volume Shadow Copy Service (VSS), movimentação lateral para servidores de backup (comporta- mento observado em certas famílias como Maze e Conti), alterações em chaves de registro relacionadas à inicialização e persistência (ex: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion e tentativas de exclusão de logs de sistema (Security, Application, Sysmon). A combinação de EDR, SIEM e modelos de aprendizado de máquina aumenta sensibilidade e reduz falsos positivos.

      8.2 Planos de resposta a incidentes

      Plano formal reduz tempo de reação crítico. Deve incluir: (1) Estrutura de comando com papéis definidos; (2) Procedimentos de contenção (isolamento de rede, desligamento de serviços); (3) Comunicação interna e externa; (4) Resposta técnica (análise de malware, recuperação); (5) Recuperação de dados (restauração de backups, validação de integridade); (6) Comunicação pós-incidente com stakeholders. Para PMEs, modelo simplificado pode ser implementado em 2-3 dias com equipe reduzida.

      9 RECOMENDAÇÕES CONSOLIDADAS E CHECKLIST PRÁTICO

      9.1 Checklist de Segurança Anti-Ransomware para PMEs

      9.1.1 Controles Essenciais (Implementação Imediata)

      • Ativar MFA: Implementar autenticação multifator em RDP, email corporativo, sistemas administrativos
      • Controlled Folder Access: Ativar proteção nativa do Windows Defender (custo zero adicional)
      • Backup 3-2-1-1: Três cópias, dois tipos de mídia, uma offline, uma verificação de integri- dade
      • Atualizações críticas: Aplicar patches de segurança mensalmente (Windows Update + aplicações)
      • Treinamento básico: Conscientização sobre phishing para todos os funcionários

      9.1.2 Controles Avançados (Implementação Gradual)

      • Migração Windows 7: Substituir sistemas descontinuados por Windows 10/11
      • EDR/MDR: Implementar detecção comportamental gerenciada
      • Segmentação de rede: Isolar sistemas críticos e backups
      • Plano de resposta: Documentar procedimentos de contenção e recuperação
      • Seguro cibernético: Contratar cobertura adequada ao perfil de risco

      10 ROADMAP DE IMPLEMENTAÇÃO PARA PMES

      10.1 Fase 1 – Curto prazo (1 a 3 meses): Fundação

      (1) Implementar MFA em todas contas administrativas e serviços RDP com custo zero a baixo; (2) Validar programa de backup com testes de restauração para garantir viabilidade; (3) Ativar Controlled Folder Access em Windows Defender sem custo; (4) Iniciar treinamento obrigatório de conscientização focado em phishing; (5) Designar coordenador de segurança (pode ser função compartilhada). Investimento estimado: 0,5% do faturamento anual.

      10.2 Fase 2 – Médio prazo (3 a 12 meses): Reforço

      (1) Implementar EDR gerenciado (MDR) com monitoramento 24/7; (2) Plano formal de resposta a incidentes com testes simulados; (3) Avaliação de vulnerabilidades e aplicação de patches críticos; (4) Migração de sistemas Windows 7 para Windows 10/11; (5) Contratação de segurado cibernético com cobertura adequada. Investimento estimado: 1,0% do faturamento anual.

      10.3 Fase 3 – Longo prazo (12+ meses): Maturidade

      (1) Implementação de segmentação zero-trust com microssegmentação; (2) Conformidade com ISO/IEC 27001 ou CIS Controls v8; (3) Plano de Continuidade de Negócios (BCP) com RTO/RPO definidos; (4) SIEM simplificado para correlação de eventos; (5) Revisão contínua e melhoria de processos de segurança. Investimento estimado: 1,5% do faturamento anual.

      11 DISCUSSÃO E VIABILIDADE ECONÔMICA

      Investimento preventivo custa 1% a 5% do faturamento anual em PMEs; remediação de incidente pode custar 5% a 30% ou mais, conforme análises setoriais de empresas de pequeno e médio porte que sofreram ataques cibernéticos (NERD, 2025). Estudos sugerem que empresas que investem preventivamente podem reduzir probabilidade de sucesso de ataques em 70% a 80%, proporcionando retorno estimado superior a cem vezes o investimento inicial (NERD, 2025). A implementação gradual em fases (fase 1, 2, 3) torna a adoção viável mesmo para PMEs com restrições orçamentárias significativas.

      12  CONTRIBUIÇÕES ORIGINAIS

      Esta pesquisa apresenta três contribuições principais para o campo de segurança da informação em PMEs:

      12.1 Framework de Avaliação Integrado

      Desenvolveu-se um modelo de avaliação que combina análise teórica baseada em fra- meworks consolidados (NIST CSF, CIS Controls v8, ISO/IEC 27001) com validação experi- mental através de simulação não destrutiva de ransomware. Esta abordagem híbrida permite identificar lacunas entre proteção teoricamente esperada e vulnerabilidades práticas observadas em configurações padrão.

      12.2 Roadmap de Implementação por Fases

      Propõe-se metodologia de implementação estruturada em três fases temporais (1-3 meses, 3-12 meses, 12+ meses) com critérios de priorização baseados em:

      • Relação custo-benefício (controles de custo zero adicional priorizados)
      • Impacto na redução de superfície de ataque
      • Viabilidade de implementação para equipes técnicas reduzidas
      • Compatibilidade com restrições orçamentárias típicas de PMEs (2-4% do faturamento em TI)

      12.3 Matriz de Vulnerabilidades por Sistema Operacional

      A pesquisa estabelece benchmarks quantitativos de vulnerabilidade através de testes experimentais:

      Tabela 4 – Matriz comparativa de vulnerabilidades por sistema operacional.

      Fonte: Elaborado pelo autor com base em testes KnowBe4 RanSim.

      13 CONCLUSÃO

      Esta pesquisa estabeleceu benchmarks quantitativos de vulnerabilidade ao ransomware em ambientes Windows característicos de PMEs brasileiras, demonstrando taxas de sucesso de ataques variando entre 81,5% e 92%, conforme o sistema operacional e as configurações de segurança implementadas. A validação experimental corroborou as hipóteses teóricas sobre as limitações inerentes à proteção padrão, evidenciando que sistemas descontinuados como o Windows 7 apresentam vulnerabilidade entre 6,8 e 10,5 pontos percentuais superior às versões atualizadas.

      A abordagem metodológica híbrida, combinando análise teórica e validação experimental, possibilitou a identificação de três contribuições centrais para o campo: primeiro, o desenvolvi- mento de um framework integrado de avaliação baseado em simulação não destrutiva; segundo, a proposição de um roteiro estruturado de implementação por fases, fundamentado em critérios de priorização por custo-benefício; e terceiro, o estabelecimento de uma matriz comparativa de vulnerabilidades por sistema operacional, sustentada por benchmarks quantitativos.

      Embora as limitações metodológicas sejam reconhecidas incluindo amostra experimental reduzida, ambiente controlado de teste e generalização específica para o contexto das PMEs brasileiras elas são adequadamente compensadas pela consistência inter-temporal dos resultados obtidos e pelo alinhamento com a literatura internacional sobre a eficácia de controles preventivos.

      Recomendação principal: A implementação prioritária de controles de custo zero adicional especificamente MFA, Controlled Folder Access e backup seguindo a regra 3-2-1-1 pode reduzir substancialmente a exposição ao risco com investimento mínimo, viabilizando proteção efetiva mesmo para PMEs com severas restrições orçamentárias.

      REFERÊNCIAS

      AVERY, J. et al. Ransomware impacts on healthcare systems: Single point of failure analysis. Healthcare Security Journal, v. 12, n. 3, p. 45–67, 2025. 2, 3

      CYBER.GOV.AU. Hardening Microsoft Windows 10 and Windows 11 Workstations. 2025. Acesso em: 3 set. 2025. Disponível em: <https://cyber.gov.au>. 9, 10

      E-SAFER. Como uma segmentação baseada em zero trust pode proteger ransomware. 2023. Acesso em: 10 dez. 2023. Disponível em: <https://www.e-safer.com.br>. 10

      ENISA. Threat Landscape 2023: Ransomware. 2023. Acesso em: 3 nov. 2025. Disponível em: <https://www.enisa.europa.eu>. 2, 4, 8, 16

      FBI. Internet Crime Report 2021. 2021. Acesso em: 3 nov. 2025. Disponível em: <https://www.ic3.gov>. 4

      HORNETSECURITY. Statistics on Ransomware Attacks. 2025. Acesso em: 3 nov. 2025. Disponível em: <https://www.hornetsecurity.com>. 2

      IBM Security; Ponemon Institute. Cost of a Data Breach Report 2023. 2023. Acesso em: 3 nov. 2025. Disponível em: <https://www.ibm.com>. 3, 5, 14

      IBM Security; Ponemon Institute. Cost of a Data Breach Report 2024. 2024. Acesso em: 3 nov. 2025. Disponível em: <https://www.ibm.com>. 2

      ILLUMIO. 10 razões pelas quais pequenas e médias empresas precisam de segmentação Zero Trust. 2024. Acesso em: 23 jan. 2024. Disponível em: <https://www.illumio.com>. 7, 10

      INSTITUTE, P. The State of Ransomware Readiness in SMBs. 2022. Acesso em: 3 nov. 2025. Disponível em: <https://www.myredfort.com>. 3, 5, 14

      International Organization for Standardization. ISO 22301:2019 — Business Continuity Management Systems. Geneva, 2019. 5

      International Organization for Standardization. ISO/IEC 27001:2022 — Information Security Management Systems. Geneva, 2022. 3, 5

      International Organization for Standardization. ISO/IEC 27002:2022 — Information Security Measures. Geneva, 2022. 5

      ISH. XDR, EDR e SIEM: quais são as principais diferenças? 2024. Acesso em: 19 jun. 2024. Disponível em: <https://www.ish.com.br>. 9

      KASPERSKY. Ransomware Trends Report 2023. 2023. Acesso em: 3 nov. 2025. Disponível em: <https://www.kaspersky.com>. 2, 3, 4

      KnowBe4. RanSim Ransomware Simulator. 2016. Acesso em: 23 nov. 2025. Disponível em: <https://www.knowbe4.com/ransomware-simulator>. 13

      KNOWBE4. KnowBe4 User Manual. [S.l.], 2025. Acesso em: 23 nov. 2025. Disponível em: <https://www.knowbe4.com>. 13

      KOSINSKI, M. O que é ransomware? 2024. Acesso em: 3 nov. 2025. Disponível em: <https://www.ibm.com/br-pt/think/topics/ransomware>. 3

      LEADCOMM. O verdadeiro impacto e custo do ransomware para os negócios. 2023. Acesso em: 27 ago. 2023. Disponível em: <https://www.leadcomm.com.br>. 7

      LOGMEIN. Checklist de segurança cibernética para PMEs. 2024. Acesso em: 2 set. 2024. Disponível em: <https://www.logmein.com>. 21

      MANAGEENGINE. Ataques de ransomware: entenda o verdadeiro custo. 2025. Acesso em: 8 out. 2025. Disponível em: <https://www.manageengine.com>. 7, 8

      MARR, B. Data-Driven Business Transformation. [S.l.]: Forbes Books, 2017. 2

      MICROSOFT. Windows Security Baselines Guide. 2022. Acesso em: 3 nov. 2025. Disponível em: <https://learn.microsoft.com>. 5, 8, 10, 11, 12

      NERD, E. um. Ransomware Apocalipse Brasil 2025: 314 Bilhões de prejuízos. 2025. Acesso em: 13 ago. 2025. Disponível em: <https://www.encontreumnerd.com.br>. 6, 7, 28

      NIST. Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. 2018. Acesso em: 3 nov. 2025. Disponível em: <https://nvlpubs.nist.gov>. 5, 8

      NIST. NIST Special Publication 800-53 Rev. 5. 2020. Acesso em: 3 nov. 2025. Disponível em: <https://csrc.nist.gov>. 5

      NIST. Ransomware Protection and Response. 2021. Acesso em: 3 nov. 2025. Disponível em: <https://csrc.nist.gov>. 5

      REDBELT. SIEM, SOAR, EDR e XDR: qual o papel de cada ferramenta? 2024. Acesso em: 16 out. 2024. Disponível em: <https://www.redbelt.com.br>. 9

      SCHMIDT, E. Digital transformation and cybersecurity. Journal of Business Technology, v. 15, n. 2, p. 112–134, 2021. 2, 3

      Security and Technology Institute. Blueprint for Ransomware Defense. 2022. Acesso em: 3 nov. 2025. Disponível em: <https://securityandtechnology.org>. 9

      SECURITY, C. for I. CIS Critical Security Controls Version 8. 2021. Acesso em: 3 nov. 2025. Disponível em: <https://www.cisecurity.org/controls/v8>. 5

      SIMEONONSECURITY. Basic Windows Hardening Best Practices. 2025. Acesso em: 3 nov. 2025. Disponível em: <https://www.simeononsecurity.com>. 5

      SOPHOS. Active Adversary Playbook 2021. 2021. Acesso em: 3 nov. 2025. Disponível em: <https://www.sophos.com>. 3, 4, 16

      STALLINGS, W.; BROWN, L. Computer Security: Principles and Practice. 4th. ed. [S.l.]: Pearson, 2020. 3

      SYSTEMS, B. Estratégia e práticas recomendadas de backup contra ransomware. 2025. Acesso em: 12 out. 2025. Disponível em: <https://www.baculasystems.com>. 9

      TERRA. Onda inédita de ataques cibernéticos coloca PMEs brasileiras em guerra digital. 2025. Acesso em: 23 out. 2025. Disponível em: <https://www.terra.com.br>. 6, 7

      The Economist. The world’s most valuable resource is no longer oil, but data. The Economist, May 2017. Disponível em: <https://www.economist.com>. 2

      Trend Micro. Ransomware Families (Windows-based). 2022. Acesso em: 3 nov. 2025. Disponível em: <https://www.researchgate.net>. 3, 4

      USECURE. O que é treinamento de conscientização de phishing. 2022. Acesso em: 28 fev. 2022. Disponível em: <https://www.usecure.io>. 21

      VERIZON. 2024 Data Breach Investigations Report. 2024. Acesso em: 3 nov. 2025. Disponívelem: <https://www.verizon.com>. 4, 16

      VERIZON. 2025 Data Breach Investigations Report. 2025. Acesso em: 3 nov. 2025. Disponível em: <https://www.infosecurity-magazine.com>. 2, 4, 8, 16

      1Graduando em Engenharia de Software, ICEV, 2025
      2Bacharel em Engenharia Elétrica; Especialista em Redes, Segurança da Informação, Big Data e Banco de Dados.