Invadiram meu sistema: o que fazer nos primeiros minutos de um acesso nao autorizado
O que fazer agora
Se ha sinais de invasao, aja em tres frentes ao mesmo tempo: revogue todas as sessoes e tokens ativos, troque imediatamente as senhas e chaves de API dos acessos privilegiados, e isole as maquinas afetadas da rede sem desligar nem reinstalar, porque o shutdown destroi as evidencias que revelam por onde o invasor entrou. Preserve os logs e acione a Resposta a Incidentes 24/7 da Decripte pelo /contato para contencao e threat hunting com SLA de ate 1 hora. Atacante com acesso quase sempre deixa portas de retorno, entao conter sem cacar persistencia so adia o segundo ataque. Se houver dados pessoais envolvidos, registre o horario da ciencia: o prazo de notificacao a ANPD e de 3 dias uteis a partir dele.
SOC 24x7 e SLA de contenção de até 1 hora. A Decripte é especialista em resposta a incidentes para fintechs, crypto, apps, e-commerces e empresas de todos os tamanhos.
Sinais de alerta
- ›Login bem-sucedido de IP, pais ou horario incomum, ou de um dispositivo que ninguem reconhece.
- ›Novo usuario administrador ou conta de servico que apareceu sem solicitacao.
- ›Processos desconhecidos consumindo CPU/rede, conexoes de saida estranhas ou trafego para destinos nao habituais.
- ›Regras de firewall, security group ou de e-mail (encaminhamento automatico) alteradas sem autorizacao.
- ›Arquivos novos em diretorios web (possiveis webshells), scripts ou binarios que voce nao colocou ali.
- ›Tarefas agendadas (cron/Task Scheduler) ou chaves SSH adicionadas que ninguem da equipe criou.
- ›Alertas de MFA, redefinicoes de senha ou tentativas de login que voce nao iniciou, ou usuarios relatando estar sendo deslogados.
Primeiros passos — o que fazer agora
- 1
Isole sem destruir (contencao)
Desconecte a maquina comprometida da rede (remova o cabo, desative a interface ou bloqueie no firewall/security group), mas NAO desligue nem reinicie. Isolar interrompe o acesso do invasor; desligar apaga memoria, processos e evidencias que apontam a causa raiz.
- 2
Revogue todas as sessoes e acessos ativos
Force logout global em todos os usuarios (invalidar tokens e refresh tokens), encerre sessoes de VPN, RDP, SSH e paineis admin. Revogue chaves de acesso da cloud (AWS/GCP/Azure) e desabilite contas suspeitas em vez de so trocar a senha, porque trocar senha nao derruba uma sessao ja aberta.
- 3
Rotacione segredos, chaves e tokens
Troque senhas dos acessos privilegiados, gere novas API keys, rotacione chaves SSH, secrets de aplicacao, tokens de webhook e credenciais de banco. Considere comprometido tudo que estava acessivel a maquina invadida, inclusive segredos em variaveis de ambiente e arquivos de config.
- 4
Preserve as evidencias
Antes de qualquer limpeza, salve copias dos logs (sistema, aplicacao, autenticacao, firewall, CloudTrail), uma imagem do disco e, se possivel, um dump de memoria da maquina afetada. Anote data, hora e quem detectou o que. Essa cadeia de custodia sustenta a forense e a notificacao a ANPD.
- 5
Cace persistencia e contas-fantasma
Procure por novos usuarios (principalmente admin), chaves SSH adicionadas, tarefas agendadas (cron/Task Scheduler) desconhecidas, servicos recem-criados, webshells em diretorios web e regras de firewall/seguranca alteradas. Esses sao os mecanismos pelos quais o invasor volta mesmo depois de voce trocar as senhas.
- 6
Ative MFA e feche o vetor de entrada
Habilite autenticacao multifator em todos os acessos privilegiados e remotos. Identifique e feche a porta de entrada (VPN exposta, credencial vazada, servico sem patch, painel admin publico) antes de recolocar os sistemas em producao, ou a invasao se repete.
- 7
Acione a Resposta a Incidentes 24/7 da Decripte
Pelo /contato voce fala com o time de resposta a incidentes da Decripte (SOC 24x7, contencao em ate 1 hora). Conduzimos contencao, threat hunting de movimentacao lateral, erradicacao de persistencia e forense de causa raiz, e orientamos as obrigacoes legais com a ANPD e os titulares.
- 8
Avalie a obrigacao legal de notificar
Se o incidente envolver dados pessoais e puder gerar risco ou dano relevante aos titulares, a notificacao a ANPD deve ocorrer em ate 3 dias uteis da ciencia (Resolucao CD/ANPD no 15/2024), com comunicacao tambem aos titulares afetados. Registre internamente o horario em que tomou conhecimento, pois o prazo conta a partir dai. Havendo fraude via Pix, contate o banco de imediato para acionar o MED.
O que NÃO fazer
- ✕Nao desligue nem reinstale o servidor de imediato: o shutdown apaga memoria volatil, processos ativos e artefatos que mostram por onde o invasor entrou, inviabilizando a forense de causa raiz.
- ✕Nao troque so a senha do usuario obvio e ache que acabou: o atacante normalmente ja criou contas, chaves SSH ou tarefas agendadas para voltar; sem cacar persistencia, a invasao se repete em dias.
- ✕Nao pague resgate nem negocie por impulso se houver extorsao acoplada: pagamento nao garante recuperacao dos dados nem que copias exfiltradas serao apagadas, alem de financiar o crime; trate primeiro contencao e evidencia, e avalie a decisao com apoio juridico e forense.
- ✕Nao restaure backups antes de confirmar que estao limpos e que o vetor foi fechado: voce pode reintroduzir o backdoor ou recolocar online o mesmo servico vulneravel que foi explorado.
- ✕Nao comunique publicamente versoes erradas antes da analise: declaracoes imprecisas atrapalham a notificacao correta a ANPD e aos titulares e podem gerar responsabilidade adicional.
- ✕Nao confie so no antivirus para declarar o ambiente limpo: webshells, contas legitimas sequestradas e tarefas agendadas costumam passar despercebidos sem threat hunting dirigido.
Os primeiros 60 minutos: contencao sem destruir a evidencia
O instinto de quem descobre um invasor e desligar tudo. Resista a ele. Desligar uma maquina comprometida apaga a memoria RAM (onde ficam processos do atacante, chaves em uso e conexoes ativas) e frequentemente dispara mecanismos de limpeza. O objetivo da primeira hora e cortar o acesso do invasor preservando o que ele tocou. Na pratica isso significa isolar a maquina da rede no nivel de firewall ou security group, em vez de dar shutdown.
Em paralelo, encerre o que da acesso vivo: force o logout global, invalide tokens e refresh tokens, derrube sessoes de VPN, RDP e SSH e desabilite contas suspeitas. Trocar senha sozinho nao mata uma sessao ja aberta, por isso a revogacao de sessoes vem antes. Em ambientes cloud, revogue as access keys e rotacione as credenciais de API que a maquina comprometida poderia ter lido.
Documente cada acao com horario. Esse registro vira tanto a base da forense quanto a prova de diligencia para a ANPD. Se a operacao for critica e voce nao tiver um time de resposta de plantao, e exatamente aqui que faz sentido acionar a Resposta a Incidentes 24/7 da Decripte pelo /contato: contencao coordenada em ate 1 hora, sem queimar as evidencias que ainda vao dizer por onde tudo comecou.
Caca a persistencia: por que trocar a senha nao basta
Um atacante experiente, no momento em que ganha acesso, planta meios de voltar. Os mais comuns: criar um novo usuario (de preferencia com privilegio administrativo), adicionar a propria chave publica ao authorized_keys de uma conta legitima, instalar uma tarefa agendada que reabre uma conexao reversa, subir uma webshell num diretorio servido pela aplicacao web, ou alterar uma regra de firewall para liberar uma porta de retorno. Cada um desses sobrevive a troca de senha.
Erradicar exige varrer sistematicamente esses pontos: enumerar usuarios e grupos privilegiados e comparar com o que deveria existir, auditar chaves SSH, listar cron/systemd timers/Task Scheduler, revisar servicos recem-criados, vasculhar diretorios web por arquivos com data de modificacao suspeita e revisar regras de rede e de e-mail (encaminhamentos automaticos sao um classico de comprometimento de caixa de e-mail).
E um trabalho de threat hunting, nao de checklist superficial. A erradicacao so termina quando voce tem confianca de que removeu todos os mecanismos de retorno e fechou o vetor de entrada original. Recolocar em producao antes disso e o erro que transforma um incidente em uma reincidencia.
Cada minuto conta. Comece o diagnóstico gratuito agora e veja o que já vazou.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Movimentacao lateral e causa raiz: do ponto de entrada ao alcance real
A pergunta que define o tamanho do incidente nao e onde o invasor esta, mas ate onde ele chegou. A partir do primeiro host, atacantes se movem lateralmente usando credenciais capturadas, sessoes reutilizadas e relacoes de confianca entre maquinas. Mapear essa movimentacao significa correlacionar logs de autenticacao, conexoes internas, acessos a bancos de dados e a sistemas de identidade para reconstruir a linha do tempo: quando entrou, o que acessou, o que copiou.
Em paralelo corre a forense de causa raiz, que responde como o invasor entrou. As portas de entrada tipicas sao credenciais vazadas ou reutilizadas, um servico exposto a internet sem patch, um painel administrativo publico, phishing que capturou uma sessao, ou uma chave de API exposta em repositorio. Fechar o vetor e o que impede a proxima invasao, e descobrir o vetor e o que diz se houve exposicao de dados pessoais e, portanto, dever de notificacao.
E nesse ponto que a forense vira decisao de negocio e juridica. Se a analise indicar acesso a dados pessoais com risco relevante aos titulares, dispara o prazo de notificacao a ANPD de ate 3 dias uteis a partir da ciencia, com comunicacao aos titulares afetados. O time da Decripte conduz essa investigacao e traduz o achado tecnico em uma recomendacao clara sobre o que comunicar, a quem e quando.
Como a Decripte conduz erradicacao e threat hunting
A resposta a incidentes da Decripte segue o ciclo consolidado de deteccao e analise, contencao, erradicacao, recuperacao e licoes aprendidas. Na pratica, o time entra fazendo contencao coordenada com a sua equipe (isolamento, revogacao de sessoes e rotacao de segredos), enquanto preserva imagens de disco e logs para a forense. O SOC opera 24x7 e o compromisso de contencao e de ate 1 hora, porque em invasao ativa cada hora amplia o alcance do atacante.
A fase de threat hunting busca o que ferramentas automaticas nao veem: contas legitimas sequestradas, persistencia sutil, beacons de saida e movimentacao lateral. A erradicacao remove todos os pontos de retorno e fecha o vetor de entrada, e a recuperacao so libera os sistemas depois da validacao de que o ambiente esta limpo. Ao final, voce recebe a causa raiz, a linha do tempo e as recomendacoes para fechar as lacunas que permitiram a invasao.
O acionamento e direto pelo /contato, a qualquer hora. Quanto mais cedo entrar evidencia preservada e contencao correta, menor o estrago e mais defensavel fica a sua posicao diante de clientes, parceiros e do regulador.
Precisa conter o incidente agora? Comece de graça e ative a resposta 24x7.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Depois de conter: descubra sua exposicao antes do proximo ataque
Boa parte das invasoes comeca fora do seu perimetro: uma credencial corporativa vazada em um dump, um acesso a venda em forum, um dominio sendo usado para phishing contra seus clientes. Voce nao ve isso pelos logs internos, e e justamente esse ponto cego que vira o vetor de entrada da proxima vez. Monitorar continuamente essa superficie externa e o que transforma resposta em prevencao.
Por isso a Decripte oferece um plano gratuito de Gestao de Ameacas, o Decripte Intelligence Center (DIC), em decripte.io/free. Ele monitora vazamento de credenciais, exposicao na dark web e reputacao do seu dominio, sem cartao de credito e sem exigir equipe tecnica. Depois de passar por um incidente, ativa-lo e o passo logico para saber o que ja esta exposto e ser avisado antes que vire o proximo login estranho as tres da manha.
Para quem precisa de protecao operacional continua, os planos pagos cobrem SOC 24x7, Resposta a Incidentes sob contrato, pentest, gestao de vulnerabilidades e conformidade (LGPD e ISO 27001). A logica e simples: o gratuito mostra sua exposicao, a resposta a incidentes apaga o fogo, e o programa continuo evita que ele recomece.
Obrigações legais (Brasil)
Brasil: se o incidente envolver dados pessoais e puder gerar risco ou dano relevante aos titulares, a notificacao a ANPD deve ocorrer em ate 3 dias uteis a partir da ciencia do incidente (Resolucao CD/ANPD no 15/2024), com comunicacao tambem aos titulares afetados; registre internamente o horario da ciencia, pois o prazo conta a partir dele. Em caso de fraude via Pix associada a invasao, contate o banco imediatamente para acionar o MED (Mecanismo Especial de Devolucao), que tem janela curta, e registre boletim de ocorrencia. Este conteudo e informativo e nao substitui orientacao juridica especifica.
Termos importantes
- Persistencia
- Conjunto de mecanismos que um invasor planta para recuperar o acesso mesmo apos voce trocar senhas: novos usuarios, chaves SSH adicionadas, tarefas agendadas, webshells e servicos ou regras de firewall criados por ele.
- Movimentacao lateral
- Tecnica pela qual o atacante, a partir do primeiro host comprometido, avanca para outras maquinas e sistemas usando credenciais capturadas e relacoes de confianca internas, ampliando o alcance do incidente.
- Webshell
- Script malicioso colocado em um diretorio servido pela aplicacao web que permite ao invasor executar comandos no servidor remotamente pelo navegador, funcionando como uma porta dos fundos discreta.
- Rotacao de segredos
- Substituicao de todas as credenciais que o invasor pode ter acessado: senhas privilegiadas, chaves de API, chaves SSH, secrets de aplicacao e tokens. Tudo que estava ao alcance da maquina comprometida deve ser considerado vazado.
- Threat hunting
- Busca ativa e dirigida por sinais de comprometimento que ferramentas automaticas nao detectam, como contas legitimas sequestradas, persistencia sutil e canais de comunicacao ocultos do atacante.
- MED (Mecanismo Especial de Devolucao)
- Funcionalidade do Pix que permite ao banco bloquear e devolver valores em casos de fraude ou falha operacional. Tem janela curta de acionamento, por isso o contato com o banco deve ser imediato apos detectar a transacao fraudulenta.
Perguntas frequentes
Descobri um login estranho na minha conta admin, o que faco primeiro?
Force o logout de todas as sessoes e troque a senha junto com a habilitacao de MFA, porque so trocar a senha nao derruba uma sessao ja aberta. Em seguida revogue tokens e chaves de API associados, verifique se ha novos usuarios ou regras de encaminhamento de e-mail criados, e preserve os logs de autenticacao. Se o acesso for a um sistema critico, acione a Resposta a Incidentes 24/7 da Decripte pelo /contato.
Devo desligar ou reinstalar o servidor invadido?
Nao de imediato. Desligar apaga a memoria e os artefatos que revelam por onde o invasor entrou e o que ele fez, e reinstalar destroi a evidencia por completo. O correto e isolar a maquina da rede sem dar shutdown, preservar uma imagem de disco e os logs, e so entao partir para erradicacao e reconstrucao. Reinstalar sem fechar o vetor de entrada faz a invasao se repetir.
Ja troquei todas as senhas, ainda preciso me preocupar?
Sim. Trocar senhas nao remove persistencia. Um invasor costuma deixar contas extras, chaves SSH adicionadas, tarefas agendadas, webshells ou regras de firewall alteradas que permitem voltar mesmo com as senhas novas. E preciso cacar e remover esses mecanismos e confirmar que o vetor de entrada original foi fechado antes de considerar o incidente resolvido.
Como sei se o invasor copiou ou vazou dados?
Isso vem da forense: correlacionando logs de acesso, conexoes de saida e atividade em bancos de dados e possivel reconstruir o que foi acessado e exfiltrado. Se houver indicio de acesso a dados pessoais com risco relevante aos titulares, dispara a obrigacao de notificar a ANPD em ate 3 dias uteis da ciencia e de comunicar os titulares. A Decripte conduz essa analise e orienta o que e a quem comunicar.
Preciso notificar a ANPD se invadiram meu sistema?
Se o incidente envolver dados pessoais e puder gerar risco ou dano relevante aos titulares, sim. A Resolucao CD/ANPD no 15/2024 estabelece notificacao a ANPD em ate 3 dias uteis a partir da ciencia do incidente, com comunicacao tambem aos titulares afetados. Registre internamente o momento exato em que tomou conhecimento, pois e dele que o prazo passa a contar.
Houve transferencia fraudulenta via Pix junto com a invasao, da para reverter?
Aja imediatamente. Contate o banco para acionar o MED (Mecanismo Especial de Devolucao) do Pix, que tem janela curta, e registre boletim de ocorrencia. Em paralelo, trate o incidente de seguranca: a invasao que possibilitou a fraude precisa ser contida e investigada para impedir novas transacoes. Quanto antes o banco for acionado, maior a chance de bloqueio dos valores.
Minha empresa e pequena e nao tem equipe de seguranca, a Decripte atende?
Sim. A Decripte atende empresas de todos os tamanhos, de startups e e-commerces a fintechs e exchanges. Para um incidente ativo, o caminho e a Resposta a Incidentes 24/7 pelo /contato. Para monitoramento continuo sem custo e sem necessidade de equipe tecnica, ha o plano gratuito de Gestao de Ameacas em decripte.io/free, que avisa sobre credenciais vazadas e exposicao do seu dominio.
Quanto tempo a Decripte leva para conter uma invasao?
O SOC opera 24x7 e o compromisso de contencao e de ate 1 hora a partir do acionamento. A contencao inicial (isolamento, revogacao de sessoes e rotacao de segredos) ocorre nesse intervalo, enquanto a equipe preserva evidencias para a forense. A erradicacao completa e a forense de causa raiz seguem depois, conforme a complexidade do ambiente e a extensao da movimentacao lateral.
Incidente em andamento?
Comece agora pelo diagnóstico gratuito — e ative SOC 24/7 e resposta a incidentes nos planos pagos.
Veja em minutos o que já vazou da sua empresa. Quando precisar, a Decripte assume a contenção, a investigação forense e a recuperação do ambiente com SLA de contenção de 1 hora.