A plataforma de segurança open source Wazuh passou a ser apontada como aliada na detecção, prevenção e resposta a ataques de ransomware, segundo artigo do The Hacker News publicado em novembro de 2025.
Como o ransomware age
O ransomware bloqueia o acesso a sistemas ou criptografa arquivos e só libera a chave de descriptografia mediante pagamento, geralmente em criptomoedas. A infecção costuma ocorrer por e-mail de phishing, downloads maliciosos, exploração de vulnerabilidades, ataques via RDP ou mídias removíveis.
Além da criptografia, variantes modernas adotam dupla extorsão: exfiltram dados e ameaçam divulgá-los caso o resgate não seja pago. As consequências incluem prejuízos financeiros, paralisação de operações e danos à reputação.
Defesa em múltiplas camadas
A reportagem reforça a necessidade de combinar controles técnicos e boas práticas organizacionais. Entre as medidas citadas estão backups frequentes, gestão de patches, segmentação de rede, filtros de e-mail, autenticação multifator, treinamentos de conscientização e planos de resposta a incidentes.
Recursos oferecidos pelo Wazuh
Classificado como plataforma unificada de XDR e SIEM, o Wazuh reúne:
- Detecção de malware: integração com feeds de inteligência e uso de assinaturas e análise de anomalias;
- Detecção de vulnerabilidades: varredura de falhas que costumam ser exploradas por ransomware;
- Análise de logs: coleta de eventos de endpoints, servidores, workloads em nuvem e dispositivos de rede;
- Monitoramento de configuração de segurança (SCA): comparação com boas práticas e normas de conformidade;
- Monitoramento de integridade de arquivos (FIM): verificação de alterações não autorizadas em diretórios críticos;
- Resposta ativa: scripts automáticos para isolar hosts ou bloquear processos maliciosos;
- Integração com outras ferramentas: conexão com plataformas externas para ampliar a visibilidade.
Casos de uso demonstrados
O artigo descreve testes de detecção e resposta a duas famílias de ransomware:
Imagem: Internet
- DOGE Big Balls: variante que combina exploração técnica e engenharia social. Regras personalizadas no Wazuh identificam comandos de reconhecimento e criação de notas de resgate; a resposta ativa pode excluir arquivos maliciosos com auxílio de assinaturas YARA.
- Gunra: malware de dupla extorsão que agrega a extensão .ENCRT aos arquivos. O Wazuh gera alertas quando notas de resgate R3ADM3.txt surgem, quando tentativas de apagar shadow copies são registradas ou quando módulos suspeitos são carregados. Integração com VirusTotal permite remover arquivos detectados.
Proteção adicional em Windows
No sistema operacional da Microsoft, a plataforma pode acionar o serviço Volume Shadow Copy Service (VSS) para criar snapshots e restaurar arquivos a um estado anterior à criptografia.
Com funcionalidades de detecção precoce, análise de vulnerabilidades, monitoramento de integridade e ações automatizadas, o Wazuh se apresenta como alternativa gratuita para reforçar a resiliência de organizações frente a ataques de ransomware.
Com informações de The Hacker News
