Minha empresa foi hackeada: o que fazer nos primeiros minutos
O que fazer agora
Aja na ordem certa: isole os equipamentos afetados da rede (puxe o cabo e desligue o Wi-Fi), mas NAO desligue a maquina nem formate nada, porque isso apaga as evidencias. De um dispositivo confiavel e separado, troque imediatamente as senhas das contas criticas, ative MFA e encerre as sessoes abertas. Em seguida, acione uma equipe de Resposta a Incidentes para conter o ataque e medir o estrago: a Decripte responde 24/7 com SLA de contencao de ate 1 hora pela pagina de contato. Se houve dados pessoais vazados, o prazo de notificacao a ANPD e de 3 dias uteis da ciencia. E se ainda nao tem certeza se foi invadido, comece pelo monitoramento gratuito de ameacas em decripte.io/free.
SOC 24x7 e SLA de contenção de até 1 hora. A Decripte é especialista em resposta a incidentes para fintechs, crypto, apps, e-commerces e empresas de todos os tamanhos.
Sinais de alerta
- ›Funcionarios relatam que nao conseguem mais entrar em contas ou que senhas foram trocadas sem autorizacao.
- ›Arquivos renomeados, criptografados ou com extensoes estranhas, acompanhados de um bilhete de resgate exigindo pagamento.
- ›Alertas de login de paises ou horarios incomuns no e-mail corporativo, na nuvem ou na VPN.
- ›Aviso de terceiros: um cliente, parceiro, banco ou pesquisador informa que dados da sua empresa estao vazados ou a venda.
- ›Lentidao subita, processos desconhecidos consumindo CPU, antivirus ou EDR desativado sem explicacao.
- ›E-mails saindo da sua empresa que voce nao enviou, ou clientes reclamando de mensagens e cobrancas falsas em seu nome.
- ›Regras de encaminhamento de e-mail, usuarios administradores ou chaves de API criados sem que ninguem reconheca.
Primeiros passos — o que fazer agora
- 1
Isole, nao desligue
Desconecte os equipamentos suspeitos da rede (cabo e Wi-Fi) para travar o avanco do invasor, mas mantenha a maquina ligada. Desligar de forma abrupta ou formatar destroi a memoria volatil e os rastros que provam o que aconteceu e como o invasor entrou.
- 2
Use um dispositivo comprovadamente limpo
Nao troque senhas nem investigue a partir de uma maquina possivelmente comprometida. Use um celular ou notebook que nao foi tocado pelo incidente para todas as acoes de contencao, evitando entregar as novas credenciais a um keylogger ou a uma sessao roubada.
- 3
Troque credenciais criticas e ative MFA
De forma priorizada, redefina senhas de e-mail corporativo, contas bancarias, painel de nuvem (AWS, Azure, GCP), VPN e contas de administrador. Ative autenticacao multifator em tudo, encerre todas as sessoes ativas e revogue tokens e chaves de API que possam ter sido roubados.
- 4
Preserve logs e evidencias
Nao apague nada. Garanta que logs de firewall, servidores, e-mail, EDR e nuvem nao sejam sobrescritos, idealmente exportando copias para um local seguro. Anote horarios, alertas recebidos e o que cada pessoa observou: isso orienta a investigacao e protege a empresa juridicamente.
- 5
Acione a Resposta a Incidentes 24/7
Quanto antes uma equipe especializada entrar, menor o dano. Acione a Resposta a Incidentes da Decripte pela pagina de contato: respondemos 24/7 com SLA de contencao de ate 1 hora e conduzimos do diagnostico a recuperacao, junto ao seu time.
- 6
Avalie o escopo antes de comunicar
Confirme quais sistemas, dados e clientes foram afetados antes de declarar qualquer coisa publicamente. Comunicacao precipitada ou errada gera panico e risco legal; comunicacao tardia tambem expoe a empresa. A analise de escopo define o que, a quem e como notificar.
- 7
Cumpra as obrigacoes legais (LGPD/ANPD e Pix)
Se houve vazamento de dados pessoais, a comunicacao a ANPD deve ocorrer em ate 3 dias uteis a partir da ciencia do incidente (Resolucao CD/ANPD no 15/2024), alem de comunicar os titulares afetados. Em fraude via Pix, contate o banco imediatamente para acionar o MED e registre o boletim de ocorrencia.
O que NÃO fazer
- ✕Nao desligue nem formate a maquina afetada: isso apaga a memoria volatil e os logs que provam o ataque e ajudam a expulsar o invasor sem deixar uma porta dos fundos.
- ✕Nao troque senhas a partir do equipamento possivelmente comprometido: se houver um keylogger ou roubo de sessao, voce entrega as novas credenciais ao atacante na hora.
- ✕Nao pague resgate por impulso em caso de ransomware: pagar nao garante a chave, financia o crime, nao impede o vazamento dos dados ja exfiltrados e nao dispensa as obrigacoes legais de notificacao.
- ✕Nao saia comunicando clientes e imprensa antes de medir o escopo: informacao errada amplia o panico e pode aumentar o risco juridico da empresa.
- ✕Nao confie que o problema acabou so porque os sintomas pararam: invasores deixam acessos persistentes; sem erradicacao tecnica, o ataque volta dias depois.
- ✕Nao ignore o relogio da LGPD: deixar para notificar a ANPD depois de resolver tudo pode estourar o prazo de 3 dias uteis da ciencia e gerar sancao.
Primeiro, confirme se voce realmente foi comprometido
Nem todo comportamento estranho e um ataque, e nem todo ataque e barulhento. Antes de declarar uma invasao, junte evidencias objetivas: alertas de seguranca, logins anomalos, arquivos criptografados, um aviso de terceiro confiavel ou dados da empresa expostos na internet. Trate cada sinal como uma hipotese a confirmar, nao como certeza isolada, mas tambem nao subestime: na duvida, aja como se fosse real e isole primeiro.
O erro mais comum nesta fase e investigar demais na propria maquina afetada, clicando, abrindo arquivos e mexendo no que pode ser uma cena de crime digital. Cada acao altera evidencias. Defina uma pessoa para coordenar, registre horarios e o que foi observado, e evite que varias pessoas mexam nos mesmos sistemas ao mesmo tempo. Confirmar o comprometimento com calma e o que separa uma resposta eficaz de um agravamento.
Se voce ainda nao tem certeza se houve vazamento, o caminho mais rapido e barato e o monitoramento. O plano gratuito de Gestao de Ameacas da Decripte (Decripte Intelligence Center), em decripte.io/free, verifica vazamento de credenciais, exposicao na dark web e reputacao do seu dominio, sem cartao de credito e sem precisar de equipe tecnica, e muitas vezes revela o comprometimento antes que ele vire crise.
Contencao: corte o avanco sem destruir as provas
Conter significa impedir que o ataque se espalhe, e a regra de ouro e isolar sem destruir. Desconecte os equipamentos afetados da rede retirando o cabo e desativando o Wi-Fi, mas mantenha as maquinas ligadas. A memoria RAM de um sistema ligado guarda processos maliciosos, conexoes ativas e chaves que desaparecem no desligamento; desligar ou formatar e jogar fora a prova de quem entrou e como.
Em paralelo, faca a contencao de identidade a partir de um dispositivo comprovadamente limpo. Redefina primeiro as senhas das contas mais criticas (e-mail corporativo, nuvem, banco, VPN e administradores), ative MFA e encerre todas as sessoes ativas, inclusive tokens e chaves de API que possam ter sido roubados. Trocar senha no proprio aparelho infectado pode simplesmente entregar a nova senha ao atacante.
Preserve tudo: garanta que logs de firewall, servidores, e-mail, EDR e provedor de nuvem nao sejam sobrescritos ou apagados, idealmente exportando copias para um local seguro. Esses registros sustentam a investigacao tecnica e tambem a defesa juridica da empresa. Esta etapa segue o framework do NIST (deteccao e analise seguidas de contencao), e e exatamente aqui que uma equipe de Resposta a Incidentes acelera o processo sem cometer os erros que custam evidencia. A Decripte assume essa coordenacao 24/7 com SLA de contencao de ate 1 hora.
Cada minuto conta. Comece o diagnóstico gratuito agora e veja o que já vazou.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Erradicacao e recuperacao: tirar o invasor e voltar com seguranca
Sintoma que para nao significa ameaca eliminada. Atacantes plantam persistencia: contas-fantasma, tarefas agendadas, webshells, regras de encaminhamento de e-mail e chaves de acesso. Erradicar e identificar e remover cada um desses pontos de apoio e fechar a vulnerabilidade que permitiu a entrada, seja uma senha vazada, um sistema sem atualizacao ou um phishing bem-sucedido. Pular essa etapa e o motivo mais comum de empresas serem reinvadidas poucos dias depois.
A recuperacao deve ser controlada e monitorada. Restaure sistemas a partir de backups confiaveis e verificados (que nao tenham sido comprometidos), reintroduza maquinas na rede de forma gradual e mantenha vigilancia reforcada para detectar qualquer tentativa de retorno do atacante. So se declara o incidente encerrado quando ha confianca tecnica de que o ambiente esta limpo e estavel.
Por fim, vem a fase de licoes aprendidas: documentar a linha do tempo, entender a causa raiz e corrigir o que falhou em pessoas, processo e tecnologia. E o que transforma um incidente doloroso em uma postura de seguranca mais forte. A Decripte conduz da contencao a esse fechamento, entregando relatorio de causa raiz e recomendacoes praticas para que o mesmo vetor nao seja explorado de novo.
Obrigacoes legais no Brasil: LGPD, ANPD e fraude via Pix
Se o incidente envolveu dados pessoais (de clientes, funcionarios ou parceiros), a LGPD impoe deveres com prazo. Pela Resolucao CD/ANPD no 15/2024, a comunicacao do incidente de seguranca a Autoridade Nacional de Protecao de Dados deve ocorrer em ate 3 dias uteis contados da ciencia do incidente, e os titulares afetados tambem precisam ser comunicados. O relogio comeca quando voce toma conhecimento, por isso a analise de escopo nao pode se arrastar.
A comunicacao precisa descrever a natureza dos dados afetados, os possiveis impactos e as medidas adotadas para mitigar os efeitos. Notificar de forma errada ou em panico e tao prejudicial quanto nao notificar. Por isso a sequencia importa: contenha, preserve evidencias, meca o escopo com apoio tecnico e juridico e entao comunique com precisao. Documentar cada passo e o que demonstra diligencia perante a ANPD e reduz a exposicao a sancoes.
Se o ataque envolveu fraude financeira via Pix, o tempo e ainda mais curto. Contate o banco imediatamente para acionar o MED (Mecanismo Especial de Devolucao), que tem janela limitada para tentar bloquear e devolver os valores, e registre boletim de ocorrencia. Em golpes que envolvem invasao de sistemas e desvio de pagamentos, tratar o caso como incidente de seguranca, e nao apenas como fraude bancaria isolada, costuma ser o que revela a real extensao do comprometimento.
Precisa conter o incidente agora? Comece de graça e ative a resposta 24x7.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte conduz a resposta de ponta a ponta
A Decripte e especialista em Resposta a Incidentes, com SOC operando 24x7 e SLA de contencao de ate 1 hora. Quando voce aciona pela pagina de contato, nossa equipe entra junto com a sua: assume a coordenacao tecnica, orienta a contencao correta sem destruir evidencias, investiga a fundo para mapear o escopo real e expulsa o invasor, fechando as portas que ele usou. Atendemos fintechs, exchanges crypto, apps, e-commerces, startups e empresas de todos os tamanhos.
Nosso trabalho segue o ciclo de resposta reconhecido (preparacao, deteccao e analise, contencao, erradicacao, recuperacao e licoes aprendidas), traduzido em acao pratica e em uma linguagem que tanto o dono leigo quanto o time tecnico entendem. Ao final, voce recebe um relatorio claro de causa raiz, do que foi afetado, do que foi feito e do que precisa ser corrigido, alem de apoio para cumprir as obrigacoes de notificacao a ANPD e aos titulares.
Depois do incidente, a prevencao continua. O plano gratuito de Gestao de Ameacas (decripte.io/free) monitora vazamento de credenciais, dark web e reputacao de dominio de forma continua, e os planos pagos cobrem SOC 24x7, Pentest, Gestao de Vulnerabilidades e Conformidade (LGPD/ISO 27001). Para um ataque acontecendo agora, acione a Resposta a Incidentes 24/7 pela pagina de contato. Para nunca mais ser pego de surpresa, comece pelo monitoramento gratuito.
Obrigações legais (Brasil)
LGPD: se houver vazamento de dados pessoais, comunicar a ANPD em ate 3 dias uteis a partir da ciencia do incidente (Resolucao CD/ANPD no 15/2024) e tambem os titulares afetados, descrevendo a natureza dos dados, os possiveis impactos e as medidas adotadas. Fraude via Pix: contatar o banco imediatamente para acionar o MED (janela curta) e registrar boletim de ocorrencia. Preserve logs e evidencias, pois sustentam a investigacao e a defesa juridica da empresa.
Termos importantes
- Resposta a Incidentes (IR)
- Processo coordenado de conter, investigar, erradicar e recuperar uma empresa de um ataque cibernetico, seguindo etapas estruturadas (preparacao, deteccao e analise, contencao, erradicacao, recuperacao e licoes aprendidas) para minimizar o dano e restaurar a operacao com seguranca.
- Contencao
- Etapa em que se isola o ambiente afetado para impedir que o ataque se espalhe, sem desligar ou formatar sistemas, de modo a preservar as evidencias necessarias para a investigacao e a erradicacao.
- Erradicacao
- Remocao completa da presenca do invasor (contas maliciosas, persistencia, malware) e correcao da vulnerabilidade que permitiu a entrada, garantindo que o ataque nao se repita pelo mesmo vetor.
- MED (Mecanismo Especial de Devolucao)
- Recurso do sistema Pix que permite ao banco bloquear e tentar devolver valores em casos de fraude ou falha operacional, dentro de uma janela curta de tempo, motivo pelo qual o contato com o banco deve ser imediato.
- ANPD
- Autoridade Nacional de Protecao de Dados, orgao que fiscaliza a LGPD no Brasil e que deve ser comunicada de incidentes de seguranca envolvendo dados pessoais em ate 3 dias uteis a partir da ciencia, conforme a Resolucao CD/ANPD no 15/2024.
- Gestao de Ameacas (DIC)
- Plano gratuito da Decripte (Decripte Intelligence Center), em decripte.io/free, que monitora de forma continua vazamento de credenciais, exposicao na dark web e reputacao de dominio, sem cartao de credito e sem necessidade de equipe tecnica, ajudando a detectar comprometimentos cedo.
Perguntas frequentes
Minha empresa foi hackeada agora, qual e a primeira coisa que devo fazer?
Isole os equipamentos afetados da rede (tire o cabo e desligue o Wi-Fi), mas NAO desligue nem formate a maquina, para nao apagar as evidencias. De um dispositivo limpo, troque as senhas das contas criticas, ative MFA e encerre as sessoes abertas. Em seguida, acione uma equipe de Resposta a Incidentes. A Decripte responde 24/7 com SLA de contencao de ate 1 hora pela pagina de contato.
Devo desligar o computador invadido para parar o ataque?
Nao. Desligar de forma abrupta apaga a memoria volatil e dados que provam como o ataque ocorreu e ajudam a expulsar o invasor por completo. O correto e isolar a maquina da rede (cabo e Wi-Fi) mantendo-a ligada, para conter o avanco sem destruir as evidencias.
Preciso pagar o resgate se for ransomware?
Pagar nao e recomendado: nao garante a chave de recuperacao, financia o crime, nao impede que os dados ja exfiltrados sejam vazados ou vendidos e nao dispensa as obrigacoes legais de notificacao. O caminho mais seguro e acionar uma equipe de Resposta a Incidentes para conter, avaliar backups e recuperar, alem de cumprir os deveres da LGPD caso tenha havido vazamento de dados pessoais.
Tenho que avisar a ANPD se minha empresa foi hackeada?
Se houve vazamento ou exposicao de dados pessoais, sim. Pela Resolucao CD/ANPD no 15/2024, a comunicacao a ANPD deve ocorrer em ate 3 dias uteis a partir da ciencia do incidente, e os titulares afetados tambem devem ser comunicados. Por isso a analise de escopo deve ser rapida: o prazo comeca a contar no momento em que voce toma conhecimento.
Fui vitima de fraude via Pix em um ataque, da para recuperar o dinheiro?
Pode haver chance se voce agir rapido. Contate o banco imediatamente para acionar o MED (Mecanismo Especial de Devolucao), que permite bloquear e tentar devolver os valores dentro de uma janela curta, e registre boletim de ocorrencia. Se o Pix saiu por invasao de sistemas, trate o caso tambem como incidente de seguranca para entender a real extensao do comprometimento.
Como aciono a Decripte para um incidente que esta acontecendo agora?
Acesse a pagina de contato da Decripte e acione a Resposta a Incidentes. O atendimento e 24/7, com SLA de contencao de ate 1 hora. Nossa equipe assume a coordenacao tecnica junto ao seu time, conduz a contencao, investigacao, erradicacao e recuperacao, e apoia o cumprimento das obrigacoes legais.
Como descubro se fui hackeado antes de virar uma crise?
Use o plano gratuito de Gestao de Ameacas da Decripte (Decripte Intelligence Center) em decripte.io/free: ele monitora vazamento de credenciais, exposicao na dark web e reputacao do seu dominio, sem cartao de credito e sem equipe tecnica. Muitas invasoes aparecem primeiro como credenciais vazadas, e detecta-las cedo evita o pior.
Posso trocar as senhas pelo proprio computador que foi invadido?
Nao e seguro. Se houver um keylogger ou roubo de sessao no aparelho comprometido, as novas senhas podem ser capturadas na hora. Faca a troca a partir de um dispositivo comprovadamente limpo (outro celular ou notebook), ative MFA e encerre todas as sessoes e chaves de API ativas.
Incidente em andamento?
Comece agora pelo diagnóstico gratuito — e ative SOC 24/7 e resposta a incidentes nos planos pagos.
Veja em minutos o que já vazou da sua empresa. Quando precisar, a Decripte assume a contenção, a investigação forense e a recuperação do ambiente com SLA de contenção de 1 hora.