Pular para o conteúdo
Ameaças e Ataques

O que é dupla extorsão?

Dupla extorsão é a tática de ransomware em que o criminoso rouba os dados da empresa antes de criptografá-los e passa a fazer duas ameaças ao mesmo tempo: manter os arquivos bloqueados e divulgar publicamente o que foi roubado. É a resposta do crime ao backup, porque mesmo quem consegue restaurar os próprios arquivos continua sob a ameaça do vazamento.

Zamak TechnologiesAtualizado em 10 de julho de 2026

Como funciona a dupla extorsão

A dupla extorsão acrescenta um passo silencioso ao ataque de ransomware, o roubo dos dados antes da criptografia. O golpe costuma seguir quatro etapas.

1

Entrada e reconhecimento

O criminoso entra por um e-mail de phishing, um acesso remoto exposto ou uma credencial vazada, e mapeia onde estão os dados mais valiosos.

2

Roubo dos dados

Antes de bloquear qualquer coisa, ele copia para fora os arquivos sensíveis: contratos, dados de clientes, informações financeiras. É a etapa que a dupla extorsão adiciona.

3

Criptografia

Só então o ransomware embaralha os arquivos e, quando alcança, os backups conectados, deixando os sistemas parados.

4

Dupla cobrança

Surgem duas exigências: uma pela chave que devolve os arquivos e outra pelo silêncio sobre os dados roubados, com prazo e um site de vazamento à espera para pressionar.

Fonte: Zscaler ThreatLabz e Cyber Encyclopedia da N-able.

Variações da extorsão

  • Dupla extorsão Rouba os dados e criptografa os sistemas. A empresa é cobrada duas vezes: para voltar a operar e para o dado não vazar.
  • Tripla extorsão Acrescenta uma terceira pressão, como um ataque de negação de serviço ou o contato direto com clientes, parceiros e imprensa da vítima.
  • Extorsão sem criptografia O criminoso rouba os dados e ameaça divulgá-los sem sequer criptografar. É mais rápida e furtiva, e vem crescendo.

Por que a dupla extorsão muda o jogo

+92,7%
de aumento no volume de dados roubados em um ano (Zscaler ThreatLabz 2025)
238,5 TB
de dados exfiltrados de apenas 10 famílias de ransomware (Zscaler ThreatLabz 2025)
+70,1%
de aumento nos casos de extorsão pública em sites de vazamento (Zscaler ThreatLabz 2025)

A dupla extorsão desarma a defesa mais confiável contra ransomware: o backup. Restaurar os arquivos resolve a parada da operação, mas não impede o vazamento do que já foi roubado. E o roubo virou o centro do ataque. Segundo a Zscaler (ThreatLabz 2025), o volume de dados exfiltrados cresceu 92,7% em um ano, com 238,5 TB roubados de apenas dez famílias de ransomware, e os casos de extorsão pública em sites de vazamento subiram 70,1%. Alguns grupos já nem criptografam: roubam e ameaçam divulgar, porque a pressão do vazamento sozinha costuma bastar. Para o negócio, o prejuízo passa a incluir a exposição de dados regulados, a quebra de confiança com clientes e o risco jurídico, tudo o que o backup, sozinho, não cobre.

Como se proteger da dupla extorsão

Como o roubo acontece antes da criptografia, a defesa precisa começar bem antes do resgate, na ordem que mais reduz o risco:

  1. Impedir o roubo antes que ele aconteçaDefesa avançada de endpoint e monitoramento da saída de dados detectam a exfiltração enquanto ela ocorre, quando ainda dá para conter.
  2. Backup isolado e imutável, testadoResolve a metade da criptografia: a empresa volta a operar sem pagar pela chave, mesmo que o vazamento siga como ameaça separada.
  3. Segunda verificação de identidadeAlém da senha, no acesso e no e-mail: barra a credencial vazada que abre a porta do ataque.
  4. Segmentação da redeLimita o movimento lateral, para que um único dispositivo comprometido não dê acesso a todos os dados de uma vez.
  5. Monitoramento de vazamentoVigiar a dark web e os sites de vazamento mostra rápido se os dados da empresa foram roubados ou anunciados.
  6. Plano de resposta a incidenteQuem faz o quê nas primeiras horas, incluindo a notificação legal e a quem os dados pertencem, definido antes de precisar.

Na prática

Backup protege contra a criptografia, não contra o vazamento. Por isso a defesa contra a dupla extorsão começa em impedir o roubo dos dados, não só em conseguir restaurá-los.

Como a Zamak trata a dupla extorsão

A Zamak Technologies trata a dupla extorsão nas duas metades do golpe: ajudar a impedir o roubo, com a Cibersegurança gerenciada de endpoint, e-mail e identidade, e responder pelo retorno da operação, com a Continuidade apoiada em backup isolado e recuperação testada. Um bom ponto de partida é o diagnóstico de preparação contra ransomware, que mostra em poucos minutos onde a sua empresa está exposta ao roubo e à parada.

Perguntas frequentes sobre dupla extorsão

Qual a diferença entre ransomware e dupla extorsão?
O ransomware clássico criptografa os arquivos e cobra pela chave. A dupla extorsão acrescenta o roubo dos dados antes da criptografia e uma segunda ameaça: divulgar o que foi roubado. Hoje o roubo de dados é tão central que alguns grupos já nem chegam a criptografar.
Se eu tenho backup, estou protegido da dupla extorsão?
O backup protege metade do problema. Ele devolve os arquivos sem pagar pela chave, mas não impede que os dados roubados sejam vazados. Por isso a defesa completa também precisa impedir o roubo, não só permitir a recuperação.
O que é tripla extorsão?
É a dupla extorsão com uma terceira camada de pressão: um ataque de negação de serviço que derruba os sistemas, ou o contato direto com clientes, parceiros e imprensa da vítima para forçar o pagamento.
Pagar o resgate garante que os dados não vazam?
Não. Pagar não dá nenhuma garantia de que as cópias roubadas serão apagadas, e financia novos ataques. Há vítimas que pagaram e tiveram os dados vazados mesmo assim.
O que é extorsão sem criptografia?
É quando o criminoso apenas rouba os dados e ameaça divulgá-los, sem criptografar nada. É mais rápida e difícil de perceber, e vem crescendo porque a ameaça do vazamento, sozinha, já pressiona a vítima a pagar.
Como sei se os dados da minha empresa já foram roubados?
Sinais como tráfego incomum de saída, alertas da defesa de endpoint e o aparecimento de dados em sites de vazamento indicam exfiltração. O monitoramento de vazamento e da dark web ajuda a descobrir antes que o dano se espalhe.

Termos relacionados

Continue explorando

Ver o índice completo →
Ameaças e Ataques
RansomwarePhishingBEC (fraude do e-mail)Engenharia socialDupla extorsãoDark webMalwareDDoSVishingVazamento de dados
Endpoint e Identidade
MFAPAM (acesso privilegiado)SSO (login único)
Detecção e Resposta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operações)
Rede e Acesso
ZTNAFirewallVPNSASE
Governança e Compliance
LGPDISO 27001SOC 2NIST CSFShadow ITAvaliação de maturidade cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestão de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidade)FedRAMPGRC (governança, risco, conformidade)vCIOvCISO
Conceitos e Fundamentos
Deep webZero TrustDefesa em profundidadeSuperfície de ataqueEndpointMenor privilégio
IA e Segurança
Shadow AIGovernança de IAInjeção de promptOWASP LLM Top 10Deepfake