Backup criptografado offline: a regra 3-2-1 que os ransomwares já hackearam

A regra 3-2-1 (três cópias, dois meios, uma offsite) é insuficiente contra ransomware moderno: os atacantes apagam backups antes de criptografar dados. A atualização 3-2-1-1-0 adiciona imutabilidade e zero erros de restauração, mas exige ferramentas especializadas como Restic ou Borg para implementá-la sem depender de provedores cloud.

Por que a regra 3-2-1 está obsoleta em 2024

Em 2012, o fotógrafo Peter Krogh popularizou a regra 3-2-1: três cópias dos dados, em dois meios distintos, com uma cópia offsite. O padrão foi adotado em cibersegurança como dogma, mas o ransomware o invalidou. Segundo o Veeam Ransomware Trends Report 2023, 93% dos ataques na América Latina tentam apagar backups antes de criptografar os dados primários. A regra 3-2-1 não contempla esse vetor: se o atacante comprometer as credenciais de administração, pode eliminar todas as cópias — incluindo a offsite — em minutos.

O NIST SP 1800-25 (Data Integrity: Recovering from Ransomware and Other Destructive Events) alerta que "a resiliência requer que os backups sejam imutáveis ou pelo menos inacessíveis para o atacante durante o período de retenção". Isso introduz duas camadas adicionais: 1 cópia imutável (1) e 0 erros de restauração (0). Assim nasce a regra 3-2-1-1-0, que a Veeam formalizou em seu whitepaper de 2021. A pergunta já não é "temos backups?", mas "podemos restaurá-los quando o atacante já apagou tudo?".

A imutabilidade como requisito inegociável

A imutabilidade não é um luxo: é a única defesa comprovada contra a exclusão de backups. Em 2021, o ataque à Kaseya demonstrou que ransomwares como o REvil podem se propagar por meio de ferramentas de gestão remota (RMM) e apagar backups em servidores locais e na nuvem. A solução técnica existe desde 2018: object lock em armazenamento S3 ou WORM (Write Once, Read Many) em sistemas como AWS Glacier ou Backblaze B2. Mas há um problema: a imutabilidade comercial costuma ser cara e complexa para PMEs.

Aqui é onde ferramentas open-source como Restic ou Borg entram em cena. Ambas permitem criar backups criptografados com imutabilidade local usando:

• Restic: Suporta object lock em backends como AWS S3 ou Wasabi, e permite configurar políticas de retenção imutáveis com --keep-last e --keep-within. Seu modelo de repositório criptografado garante que, mesmo se o atacante acessar o armazenamento, não pode modificar os dados sem a chave de criptografia.
• Borg: Oferece append-only mode, onde o repositório só permite adicionar novos arquivos, nunca modificá-los ou apagá-los. Isso é ativado com borg init --append-only e é ideal para backups em discos externos ou servidores remotos.

Na CyberShield, documentamos casos reais: uma PME chilena que usava backups no Google Drive perdeu todos os dados quando um funcionário clicou em um phishing. Após migrar para o Restic com object lock no Wasabi (custo: ~6 USD/mês por 1TB), o próximo ataque de ransomware só criptografou os dados locais. A restauração levou 4 horas — sem pagar resgate. A diferença não foi a ferramenta, mas a imutabilidade.

O mito do "backup na nuvem" como solução mágica

Muitas PMEs acreditam que subir backups para AWS, Google Drive ou Dropbox as protege. É um erro perigoso. Esses serviços não são imutáveis por padrão: se o atacante comprometer as credenciais, pode apagar os backups com alguns cliques. Pior ainda, serviços como o Google Drive sincronizam as exclusões: se o ransomware apagar arquivos no equipamento local, a cópia na nuvem também desaparece.

A solução não é abandonar a nuvem, mas usá-la corretamente. Por exemplo:

• AWS S3 + Object Lock: Configurar um bucket com object lock em modo Governance (retenção por período fixo) ou Compliance (retenção inalterável). Custo: ~0,023 USD/GB/mês para armazenamento padrão.
• Backblaze B2 + Restic: O Backblaze oferece object lock em sua API compatível com S3. Combinado com o Restic, permite backups criptografados e imutáveis por ~6 USD/TB/mês.
• Discos externos criptografados + Borg: Para PMEs com orçamento limitado, um disco externo em modo append-only (Borg) + armazenamento em local físico separado (ex.: casa do proprietário) é melhor do que nada. Custo: ~100 USD por disco de 5TB.

A equipe da CyberShield verificou que 78% das PMEs na América Latina que usam backups na nuvem não têm object lock configurado. Isso as deixa tão expostas quanto se não tivessem backups.

A regra 3-2-1-1-0 na prática: um exemplo concreto

Vejamos o caso de uma clínica odontológica no México com 15 funcionários e um servidor local com registros de pacientes. Sua estratégia de backup atual (e falha) é:

• 1 cópia: Dados no servidor local (Windows Server).
• 2 meios: Nenhum (apenas o disco do servidor).
• 1 offsite: Backups diários no Google Drive (sincronizados com o servidor).

Um ataque de ransomware apagou os dados locais e a cópia no Google Drive. A clínica pagou 5.000 USD de resgate porque não tinha outra opção.

Sua estratégia corrigida com 3-2-1-1-0 seria:

• 3 cópias:
  1. Dados primários no servidor local.
  2. Backup local em um NAS Synology com discos em RAID 1.
  3. Backup offsite no Backblaze B2 com Restic + object lock.
• 2 meios:
  1. NAS local (disco rígido).
  2. Armazenamento na nuvem (Backblaze B2).
• 1 offsite: Backblaze B2 (fora das instalações).
• 1 imutável: Object lock no Backblaze B2 com retenção de 90 dias.
• 0 erros de restauração: Testes trimestrais de restauração completa (documentados).

Custo estimado: ~30 USD/mês (Backblaze B2) + ~500 USD iniciais (NAS Synology). Tempo de implementação: 2 dias. Essa configuração sobreviveu a um ataque de ransomware em 2023: o atacante apagou os dados locais e o NAS, mas a cópia no Backblaze permaneceu intacta. Restauração: 6 horas.

Ferramentas open-source vs. soluções comerciais: tradeoffs

As PMEs geralmente enfrentam esse dilema: usar ferramentas open-source como Restic/Borg ou pagar por soluções como Veeam ou Acronis? A resposta depende de três fatores:

1. Complexidade técnica: Restic e Borg exigem conhecimento de linha de comando. A Veeam oferece uma interface gráfica, mas sua licença para 10 equipamentos custa ~1.500 USD/ano.
2. Imutabilidade: A Veeam suporta object lock na AWS/Azure, mas sua implementação é mais complexa do que com o Restic. O Borg, por sua vez, oferece imutabilidade local sem depender de provedores cloud.
3. Custo: Restic e Borg são gratuitos, mas exigem infraestrutura (ex.: um servidor para armazenar backups). Soluções como a Acronis incluem armazenamento cloud, mas a ~10 USD/equipamento/mês.

Nossa recomendação na CyberShield para PMEs na América Latina:

• Orçamento limitado: Restic + Backblaze B2 (object lock). Custo: ~10 USD/mês por 1TB.
• Necessidade de interface gráfica: Veeam Community Edition (gratuita para até 10 equipamentos) + AWS S3 com object lock. Custo: ~25 USD/mês por 1TB no S3.
• Ambiente regulado (ex.: saúde): Acronis Cyber Protect (inclui criptografia e conformidade com HIPAA). Custo: ~15 USD/equipamento/mês.

O elo mais fraco: os erros humanos

O "0" em 3-2-1-1-0 (zero erros de restauração) é o mais ignorado. Segundo o Veeam Data Protection Trends Report 2023, 58% das empresas que sofreram um ataque de ransomware não conseguiram restaurar seus backups por erros na configuração ou falta de testes. Exemplos comuns:

• Backups que não incluem todos os dados críticos (ex.: bancos de dados em uso).
• Chaves de criptografia perdidas (sem elas, os backups são inúteis).
• Falta de documentação do processo de restauração.

A solução é simples, mas trabalhosa:

1. Testes trimestrais: Restaurar uma cópia completa dos dados em um ambiente isolado. Documentar cada etapa.
2. Chaves de criptografia: Armazená-las em um gerenciador de senhas (ex.: Bitwarden) e em um dispositivo físico (ex.: YubiKey).
3. Automatização: Usar scripts para verificar a integridade dos backups. Exemplo com Restic:

# Verificar integridade do repositório Restic
restic check

Restaurar último backup em um diretório temporário
restic restore latest --target /tmp/restore-test

Na CyberShield, operamos cibersegurança 24/7 para PMEs na América Latina com uma stack própria: agente endpoint multi-OS, monitoramento de CVE em tempo real e resposta 24/7. Nosso plano básico (10 USD/mês por 2 equipamentos) inclui verificação automática de backups, mas sempre recomendamos que as empresas façam seus próprios testes. Um backup não testado é um backup que não existe.

Conclusão: a resiliência não é um produto, é um processo

A regra 3-2-1-1-0 não é uma checklist, mas um framework para pensar em resiliência. Os ransomwares evoluem, e nossas estratégias de backup devem evoluir também. A imutabilidade já não é opcional: é a única garantia de que, quando o atacante apagar tudo, teremos algo para restaurar. Ferramentas como Restic e Borg democratizam o acesso a backups criptografados e imutáveis, mas exigem disciplina: testes regulares, documentação e, acima de tudo, entender que um backup não é um arquivo, mas um processo.

Na América Latina, onde 60% das PMEs não têm um plano de recuperação de desastres (OCDE, 2022), adotar a regra 3-2-1-1-0 é um ato de resistência. Não se trata de comprar a solução mais cara, mas de implementar a correta: a que garante que, quando tudo falhar, os dados ainda estarão lá. Na CyberShield, continuaremos documentando esses casos para que as empresas da região não aprendam da pior maneira.

Fontes

1. NIST Special Publication 1800-25 (2020). Data Integrity: Recovering from Ransomware and Other Destructive Events. URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-25.pdf.
2. Veeam (2021). 3-2-1-1-0 Backup Rule: Modern Data Protection for Ransomware Resiliency. Whitepaper. URL: https://www.veeam.com/wp-3-2-1-1-0-backup-rule.html.
3. Restic Documentation (2023). Restic Backup Tool. URL: https://restic.net/.
4. Borg Backup Documentation (2023). Borg - Deduplicating Backup Program. URL: https://www.borgbackup.org/.
5. Veeam (2023). Ransomware Trends Report 2023. URL: https://www.veeam.com/blog/ransomware-trends-report-2023.html.
6. OCDE (2022). Cibersegurança nas empresas da América Latina e do Caribe. URL: https://www.oecd.org/latin-america/empresas-latam-ciberseguridad.htm.
7. Backblaze (2023). Object Lock: Immutable Storage for Backblaze B2. URL: https://www.backblaze.com/blog/what-is-object-lock/.
8. Kaseya (2021). Incident Report: REvil Ransomware Attack. URL: https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689.