Quando o Checkout Vira Vitrine Vazia: O Caso Marks & Spencer
Em abril de 2025, a Marks & Spencer (M&S), uma das varejistas mais reconhecidas do Reino Unido com mais de 140 anos de história, teve suas operações digitais gravemente comprometidas por um ataque de ransomware. Segundo informações publicadas pelo BleepingComputer, o ataque foi atribuído ao grupo Scattered Spider e resultou na desativação dos sistemas de gerenciamento de pedidos online. O e-commerce da empresa, um canal responsável por parcela significativa de seu faturamento, ficou fora do ar por mais de três semanas consecutivas.
O impacto financeiro estimado ultrapassa £300 milhões em prejuízos, considerando receitas interrompidas, custos operacionais emergenciais e danos à reputação da marca. Além da paralisia comercial, dados de clientes foram comprometidos, incluindo informações de contato e histórico de pedidos, o que acresciona ao evento uma dimensão regulatória relevante, especialmente sob o regime do GDPR europeu.
O ataque à M&S não é um episódio isolado de uma grande corporação distante da sua realidade. É um lembrete de que cadeias de logística e distribuição, sistemas de pedidos e plataformas de relacionamento com o cliente representam superfícies de ataque de alto valor para grupos criminosos sofisticados. Segundo o Relatório de Custo de uma Violação de Dados 2023 da IBM, ataques de ransomware custaram em média US$ 5,13 milhões por incidente, excluindo o valor pago em resgate.
A pergunta que importa não é se sua empresa é grande o suficiente para ser alvo. A pergunta é: sua infraestrutura de TI foi construída para sobreviver a um ataque como esse?
Vetores Que Geralmente Estão Por Trás de Ataques Como Este
Os detalhes internos do incidente da M&S não são completamente públicos, e qualquer afirmação categórica sobre o que ocorreu nos bastidores seria especulação. O que é possível afirmar, com base em padrões documentados de ataques de ransomware a organizações de porte similar, é que determinados vetores aparecem com frequência perturbadora nesses cenários.
Engenharia social e phishing direcionado. O grupo Scattered Spider é amplamente associado a técnicas avançadas de engenharia social, incluindo vishing (phishing por voz) e SIM swapping, conforme documentado pela CISA (Cybersecurity and Infrastructure Security Agency) em novembro de 2023. Em ataques como esses, um único colaborador convencido a fornecer credenciais corporativas ou a redefinir um acesso privilegiado pode ser o ponto de entrada de toda a cadeia de comprometimento. Um funcionário do helpdesk que recebe uma ligação convincente de alguém se passando por outro colaborador e redefine uma senha de acesso crítico sem verificação adequada, por exemplo, pode abrir uma porta que nenhum firewall consegue fechar.
Credenciais comprometidas e ausência de autenticação multifator (MFA). Credenciais corporativas roubadas estão disponíveis em marketplaces da dark web por valores que variam entre US$ 10 e US$ 3.000, dependendo do nível de acesso que proporcionam, segundo dados do Relatório de Ameaças da Unidade 42 da Palo Alto Networks (2024). Quando uma organização não implementa MFA (Autenticação Multifator) de forma consistente em todos os acessos críticos, como VPNs, painéis de administração e ferramentas de colaboração, um par de credenciais vazado é suficiente para que um atacante avance lateralmente pela rede sem disparar alertas imediatos.
Ausência de monitoramento proativo e detecção tardia. Estudos da Mandiant (agora parte do Google Cloud) apontam que o tempo médio de permanência de um atacante dentro de uma rede corporativa antes de ser detectado é de 16 dias. Em ataques com motivação financeira como ransomware, esse período é usado para mapear a rede, identificar backups, elevar privilégios e posicionar o payload antes da detonação. Uma estrutura sem monitoramento contínuo e alertas inteligentes não vê o incêndio se formando. Só percebe quando já está em chamas.
O Que Pode Ser Feito Para Proteger Sua Estrutura
Proteção de endpoint com detecção e resposta (EDR). EDR (Endpoint Detection and Response, detecção e resposta em terminais) é uma camada de segurança que vai além dos antivírus tradicionais. Enquanto soluções legadas reagem a assinaturas conhecidas de malware, plataformas de EDR monitoram comportamentos anômalos em tempo real, como um processo tentando criptografar múltiplos arquivos em sequência, e podem isolar o endpoint automaticamente antes que o dano se expanda. Para operações com múltiplos pontos de acesso, como varejistas, distribuidores e empresas com força de trabalho híbrida, EDR representa a diferença entre um incidente contido e uma paralisação total.
Backup isolado, criptografado e testado regularmente. Backups que estão conectados à mesma rede que os sistemas de produção são frequentemente os primeiros alvos de um ataque de ransomware. A estratégia eficaz envolve o modelo 3-2-1-1: três cópias dos dados, em dois tipos diferentes de mídia, com uma cópia offsite e uma cópia imutável e isolada (air-gapped). Mas há um detalhe crítico que muitas organizações ignoram: backups não testados não são backups reais. Um plano de recuperação só tem valor se for validado com simulações periódicas que medem o RTO (Recovery Time Objective, tempo máximo aceitável para recuperação) e o RPO (Recovery Point Objective, quantidade máxima de dados que podem ser perdidos).
Gestão contínua de patches e autenticação multifator. Vulnerabilidades não corrigidas são a porta de entrada favorita de atacantes automatizados. Em 2023, 38,6% das violações analisadas pela Verizon no Data Breach Investigations Report tiveram exploração de vulnerabilidade como vetor inicial. Combinar gestão contínua de patches com MFA obrigatório em todos os acessos privilegiados reduz dramaticamente a superfície de ataque disponível. MFA, quando implementado corretamente, bloqueia 99,9% dos ataques baseados em credenciais comprometidas, segundo dados da Microsoft publicados em 2023.
Plano de resposta a incidentes documentado e testado. Quando um ataque ocorre, cada minuto sem um protocolo claro custa dinheiro e amplia o dano. Um plano de resposta a incidentes documentado define quem faz o quê, em que ordem, com quais ferramentas e em qual janela de tempo. Organizações que possuem planos testados reduzem o custo médio de um incidente em US$ 1,49 milhão em comparação com aquelas que não têm, segundo a IBM. Ter esse plano desenhado em conjunto com um parceiro de TI gerenciada garante que ele seja acionável em um momento de crise real, não apenas um documento guardado em pasta de compliance.
Perguntas Que Todo Decisor Deveria Se Fazer Agora
1. Meus backups realmente funcionariam num desastre como esse? Em quanto tempo minha operação volta ao ar?
2. Minha equipe conta com as ferramentas certas para identificar e bloquear um ataque como esse de forma imediata, antes de causar todo o desastre? Como estou investindo no preparo da minha equipe técnica?
3. Quanto tempo minha empresa sobreviveria sem acesso aos sistemas e arquivos?
Meus backups realmente funcionariam num desastre como esse? Em quanto tempo minha operação volta ao ar?
Essa é a pergunta que mais revela lacunas críticas em organizações de qualquer porte. Ter backup configurado não é o mesmo que ter capacidade de recuperação. A maioria das empresas nunca testou um restore completo em ambiente de produção, o que significa que o RTO real, ou seja, o tempo efetivo para voltar a operar, é desconhecido até o momento em que mais importa. Uma estratégia de backup gerenciada por um parceiro especializado inclui não apenas a criação de cópias isoladas e imutáveis dos dados críticos, mas também simulações periódicas de desastre com métricas documentadas de tempo de recuperação. Se você não sabe em quantas horas sua operação voltaria ao ar, é porque esse número ainda não foi testado.
Para operações com alto volume de transações, como e-commerce, logística ou distribuição, cada hora offline tem um custo direto e mensurável. A M&S ficou mais de três semanas sem e-commerce. Para pequenas e médias empresas, uma janela menor que essa pode ser suficiente para comprometer fluxo de caixa, contratos e reputação de forma permanente.
Minha equipe conta com as ferramentas certas para identificar e bloquear um ataque como esse de forma imediata, antes de causar todo o desastre?
A detecção tardia é o multiplicador de dano em qualquer ataque de ransomware. Equipes de TI internas, mesmo competentes, raramente operam com monitoramento contínuo 24 horas por dia, 7 dias por semana, com correlação de eventos e alertas inteligentes. Um ataque que começa na madrugada de uma sexta-feira pode percorrer a rede inteira até a manhã de segunda-feira sem ser percebido. Ferramentas de EDR combinadas com monitoramento proativo gerenciado criam uma camada de visibilidade que transforma comportamentos suspeitos em alertas acionáveis em minutos, não em dias.
O preparo da equipe técnica vai além das ferramentas. Treinamentos contínuos de segurança, incluindo simulações de phishing e exercícios de resposta a incidentes, são componentes documentados de redução de risco. O Relatório de Custo de uma Violação de Dados 2023 da IBM indica que organizações com programas de treinamento de segurança ativo reduzem o custo médio de um incidente em até 18%. Investir no preparo humano não é custo operacional. É apólice de seguro.
Quanto tempo minha empresa sobreviveria sem acesso aos sistemas e arquivos?
Essa pergunta funciona como um diagnóstico instantâneo de resiliência operacional. Se a resposta for "não sei" ou "algumas horas", o risco existencial é real e imediato. Organizações verdadeiramente preparadas para cenários de desastre conhecem seus limites operacionais com precisão, porque os mapearam em um plano de continuidade de negócios integrado ao plano de resposta a incidentes. Esse plano define sistemas críticos prioritários para recuperação, cadeias de comunicação alternativas e janelas de tolerância por área de negócio.
Um parceiro de TI gerenciada com capacidade de resposta a incidentes pode reduzir o tempo entre a detecção de um ataque e o início da recuperação de dias para horas. A diferença entre uma empresa que sobrevive a um ransomware e uma que não sobrevive raramente está no tamanho do ataque. Está na velocidade e na organização da resposta.
Se sua empresa ainda não conta com uma estratégia integrada de proteção em camadas, considere realizar um Diagnóstico Estratégico de TI, sem compromisso, para identificar vulnerabilidades antes que se tornem manchetes.