“Seu servidor nem foi criptografado — e mesmo assim você vai pagar.”
Essa frase resume um movimento muito real: em vez de travar a operação com criptografia, alguns grupos estão preferindo roubar dados rapidamente e chantagear a vítima com vazamento público, pressão em clientes/parceiros e risco regulatório. Relatórios recentes já destacam o aumento de data-only extortion (extorsão só com dados, sem criptografia) como uma evolução clara do ecossistema criminoso. (Check Point Research)
O que é “extorsão sem criptografia”
No modelo clássico de ransomware, o atacante criptografa os arquivos e cobra resgate pela chave. No modelo extorsão-only / encryptionless extortion, o atacante foca em:
- Acesso indevido ao ambiente;
- Coleta e exfiltração de informação sensível (clientes, RH, financeiro, contratos, e-mails);
- Prova de posse (prints, amostras de documentos, árvore de diretórios);
- Chantagem: “pague ou publicamos/vendemos”.
O motivo é simples: criptografar é barulhento (dispara alertas, derruba serviços, acelera resposta). Roubar dados pode ser mais rápido, menos visível e ainda assim altamente lucrativo — especialmente quando a empresa teme danos reputacionais e sanções.
Essa virada também aparece em números. Uma análise baseada em relatório da Sophos (reportado por Cybersecurity Dive) aponta que só metade dos ataques de ransomware no período analisado envolveu criptografia, e que ataques “extortion-only” dobraram para 6%, afetando proporcionalmente mais empresas menores. (cybersecuritydive.com)
Como isso funciona na prática (visão de alto nível)
Sem entrar em detalhes operacionais, o “roteiro” costuma seguir esta lógica:
- Entrada: credenciais comprometidas, falhas em sistemas expostos, fornecedor/terceiro, ou um aplicativo de transferência/armazenamento com vulnerabilidade.
- Mapeamento e coleta: o invasor procura dados com maior poder de pressão (LGPD, folhas de pagamento, contratos, dados de saúde, dados de clientes).
- Exfiltração: os arquivos saem do ambiente por canais que podem parecer tráfego “normal” (armazenamento em nuvem, upload para serviços comuns, etc.).
- Chantagem escalonada: além da ameaça de vazamento, alguns grupos pressionam pessoas ao redor da organização (contatos internos, parceiros e clientes) para aumentar urgência e constrangimento.
Um exemplo explícito dessa pressão aparece em um advisory público do Internet Crime Complaint Center: o grupo Karakurt foi descrito como um ator em que vítimas não relataram criptografia, mas sim roubo de dados e ameaça de leilão/publicação, frequentemente com “provas” (prints/diretórios) e contato com empregados/parceiros para coagir pagamento.
Onde aconteceu (casos reais que popularizaram a tática)
1) Campanhas de roubo em plataformas de transferência: Progress Software / MOVEit
Um caso emblemático foi a exploração de zero-day no MOVEit Transfer (CVE-2023-34362). A Mandiant (via Google Cloud) descreveu uma campanha ampla de data theft após exploração da falha; dias depois, houve reivindicação em site de vazamento do grupo ligado ao Cl0p com ameaça de publicar dados se não houvesse pagamento. (Google Cloud)
A dimensão do impacto foi enorme: análise estatística da Emsisoft consolidou divulgações públicas e indicou milhares de organizações e dezenas de milhões de indivíduos impactados, com forte presença em educação e saúde. (Emsisoft)
Esse tipo de incidente é “perfeito” para extorsão sem criptografia: o atacante não precisa derrubar nada — basta vazar.
2) Grupos que migraram para “roubar e extorquir”: BianLian
A Unit 42 descreve que o BianLian migrou de dupla extorsão para extorsão sem criptografia, indo “direto ao roubo de dados” para pressionar pagamento, com foco em setores como saúde e manufatura e ocorrências principalmente nos EUA e Europa. (Unit 42)
Como se proteger (o que muda quando não há criptografia)
Se o risco é vazamento + chantagem, backup continua essencial (para resiliência), mas não resolve o principal: o dado já pode ter ido embora. A proteção precisa reduzir probabilidade de exfiltração e impacto caso aconteça.
Checklist prático de proteção
1) Reduza o “valor do saque” (minimização de dados)
- Classifique dados (público / interno / restrito) e limite cópias.
- Revise retenção: apague o que não precisa existir (principalmente PII).
- Restrinja compartilhamentos “abertos” e pastas com “todo mundo”.
2) Endureça identidade e privilégios
- MFA forte (idealmente resistente a phishing) e acesso condicional.
- Privilégio mínimo: menos contas admin, PIM/JIT quando possível.
- Rotação e proteção de credenciais de serviço e chaves de API.
3) Proteja e monitore os “canais de saída”
- DLP/CASB para detectar upload massivo e compartilhamento externo indevido.
- Alertas para downloads incomuns, criação de links públicos, exportações e acessos fora do padrão.
- Controle de egress (onde fizer sentido) e inspeção/monitoramento de tráfego em endpoints críticos.
4) Feche a porta de entrada mais comum: vulnerabilidades e SaaS exposto
- Patch rápido em sistemas expostos (VPN, appliances, MFT, web apps).
- Inventário de ativos (inclusive “TI sombra”).
- Gestão de terceiros: requisitos mínimos e auditoria de integrações.
5) Prepare resposta para “dados já vazaram”
- Tenha playbook com Jurídico/DPO: avaliação LGPD, comunicação, contenção e evidências.
- Preserve logs e provas; acione resposta a incidentes.
- Revogue sessões, gire credenciais, investigue persistência e acessos OAuth.
- Lembrete duro: pagar não garante exclusão — e alguns grupos alegam “prova de deleção” mesmo assim, então trate como risco contínuo.
Por que isso tende a viralizar em 2026
Porque mexe com uma crença comum: “se eu tenho backup e EDR, estou seguro”. A realidade é que muitos criminosos estão escolhendo um caminho que contorna exatamente esse foco: não derrubar a operação, mas transformar a empresa em refém da própria exposição. O próprio relatório anual da Check Point aponta aumento do uso de extorsão apenas com dados, sem criptografia e táticas cada vez mais personalizadas. (Check Point Research)
