O que é dupla extorsão?
Dupla extorsão é a tática de ransomware em que o criminoso rouba os dados da empresa antes de criptografá-los e passa a fazer duas ameaças ao mesmo tempo: manter os arquivos bloqueados e divulgar publicamente o que foi roubado. É a resposta do crime ao backup, porque mesmo quem consegue restaurar os próprios arquivos continua sob a ameaça do vazamento.
Como funciona a dupla extorsão
A dupla extorsão acrescenta um passo silencioso ao ataque de ransomware, o roubo dos dados antes da criptografia. O golpe costuma seguir quatro etapas.
Entrada e reconhecimento
O criminoso entra por um e-mail de phishing, um acesso remoto exposto ou uma credencial vazada, e mapeia onde estão os dados mais valiosos.
Roubo dos dados
Antes de bloquear qualquer coisa, ele copia para fora os arquivos sensíveis: contratos, dados de clientes, informações financeiras. É a etapa que a dupla extorsão adiciona.
Criptografia
Só então o ransomware embaralha os arquivos e, quando alcança, os backups conectados, deixando os sistemas parados.
Dupla cobrança
Surgem duas exigências: uma pela chave que devolve os arquivos e outra pelo silêncio sobre os dados roubados, com prazo e um site de vazamento à espera para pressionar.
Fonte: Zscaler ThreatLabz e Cyber Encyclopedia da N-able.
Variações da extorsão
- Dupla extorsão Rouba os dados e criptografa os sistemas. A empresa é cobrada duas vezes: para voltar a operar e para o dado não vazar.
- Tripla extorsão Acrescenta uma terceira pressão, como um ataque de negação de serviço ou o contato direto com clientes, parceiros e imprensa da vítima.
- Extorsão sem criptografia O criminoso rouba os dados e ameaça divulgá-los sem sequer criptografar. É mais rápida e furtiva, e vem crescendo.
Por que a dupla extorsão muda o jogo
A dupla extorsão desarma a defesa mais confiável contra ransomware: o backup. Restaurar os arquivos resolve a parada da operação, mas não impede o vazamento do que já foi roubado. E o roubo virou o centro do ataque. Segundo a Zscaler (ThreatLabz 2025), o volume de dados exfiltrados cresceu 92,7% em um ano, com 238,5 TB roubados de apenas dez famílias de ransomware, e os casos de extorsão pública em sites de vazamento subiram 70,1%. Alguns grupos já nem criptografam: roubam e ameaçam divulgar, porque a pressão do vazamento sozinha costuma bastar. Para o negócio, o prejuízo passa a incluir a exposição de dados regulados, a quebra de confiança com clientes e o risco jurídico, tudo o que o backup, sozinho, não cobre.
Como se proteger da dupla extorsão
Como o roubo acontece antes da criptografia, a defesa precisa começar bem antes do resgate, na ordem que mais reduz o risco:
- Impedir o roubo antes que ele aconteçaDefesa avançada de endpoint e monitoramento da saída de dados detectam a exfiltração enquanto ela ocorre, quando ainda dá para conter.
- Backup isolado e imutável, testadoResolve a metade da criptografia: a empresa volta a operar sem pagar pela chave, mesmo que o vazamento siga como ameaça separada.
- Segunda verificação de identidadeAlém da senha, no acesso e no e-mail: barra a credencial vazada que abre a porta do ataque.
- Segmentação da redeLimita o movimento lateral, para que um único dispositivo comprometido não dê acesso a todos os dados de uma vez.
- Monitoramento de vazamentoVigiar a dark web e os sites de vazamento mostra rápido se os dados da empresa foram roubados ou anunciados.
- Plano de resposta a incidenteQuem faz o quê nas primeiras horas, incluindo a notificação legal e a quem os dados pertencem, definido antes de precisar.
Na prática
Backup protege contra a criptografia, não contra o vazamento. Por isso a defesa contra a dupla extorsão começa em impedir o roubo dos dados, não só em conseguir restaurá-los.
Como a Zamak trata a dupla extorsão
A Zamak Technologies trata a dupla extorsão nas duas metades do golpe: ajudar a impedir o roubo, com a Cibersegurança gerenciada de endpoint, e-mail e identidade, e responder pelo retorno da operação, com a Continuidade apoiada em backup isolado e recuperação testada. Um bom ponto de partida é o diagnóstico de preparação contra ransomware, que mostra em poucos minutos onde a sua empresa está exposta ao roubo e à parada.