Você já parou pra pensar que existe um momento exato entre a invasão e o desastre?
Um instante em que o ransomware ainda não criptografou nada, mas já está dentro da rede, aguardando uma resposta. É nesse milissegundo de silêncio que a proteção na camada de DNS age; e é exatamente sobre esse momento que quero falar.
A maioria das pessoas imagina o ransomware como algo que "chega e criptografa".
Essa visão, embora compreensível, é perigosa. Ela omite a parte mais interessante do ataque: a conversa que o malware precisa ter com o invasor antes de fazer qualquer coisa. Ao compreender essa conversa, você entender por que bloquear na camada de DNS é a intervenção mais eficaz que existe no ciclo de vida de um ataque moderno.
É essa compreensão que lhe ofereço neste artigo.
O ransomware não age sozinho
Após a infecção inicial, o malware estabelece uma conexão com um servidor de comando e controle (C2). Essa conexão permite que os atacantes emitam comandos para exploração adicional, como escalonamento de privilégios e movimentação lateral dentro da rede. O vírus, sozinho, é apenas um programa esperando ordens. Sem essa comunicação, ele é inofensivo.
Esse modelo de operação segue o que a indústria chama de kill chain — uma cadeia sequencial de eventos que o atacante precisa completar para atingir seu objetivo.
As sete etapas desse processo são: reconhecimento, armamento, entrega, exploração, instalação, comando e controle (C2) e ações sobre os objetivos. Um atacante precisa completar todos os passos para ter sucesso. A boa notícia: os defensores precisam interrompê-lo apenas uma vez.
A kill chain do ransomware na prática
Vou detalhar cada fase com a precisão que esse tema merece.
Fase 1 — Entrega e instalação: o malware chega, normalmente via phishing ou exploit em sistemas desatualizados. Nesse momento, ele ainda não fez nada de irreversível. Está instalado, dormindo, esperando.
Fase 2 — Beaconing (sinalização): o primeiro sinal de vida. Uma vez que o atacante ganha acesso, ele instala um malware que inicia o primeiro "callback" para o servidor C2. Esse callback é feito via DNS: o malware resolve um domínio controlado pelo hacker, sinalizando que a máquina está comprometida e pronta para receber instruções. Para o firewall tradicional, isso parece uma consulta DNS perfeitamente normal.
Fase 3 — Comando e controle (C2): o canal de C2 é a linha de vida do atacante: ele provê persistência e controle remoto, permitindo roubo de dados, movimentação lateral, implantação de ransomware e atividade de botnet. É aqui que o hacker mapeia a rede, identifica os alvos de maior valor e prepara o terreno para o golpe final.
Fase 4 — O handshake da morte: este é o ponto crítico, e é onde a maioria das pessoas desconhece o que realmente acontece. Uma vez que o ransomware se infiltrou na rede e começa a executar, ele usa as comunicações C2 para baixar a chave de criptografia para o host comprometido e então criptografar os arquivos. Infoblox Muitos ransomwares modernos não carregam a chave embutida no código — justamente para dificultar a detecção por antivírus. A chave pública precisa ser buscada no servidor do atacante. Se o DNS estiver bloqueado, o malware não recebe a chave.
E sem a chave, a criptografia simplesmente não inicia.
Deixa eu repetir isso com a ênfase que merece: sem a consulta DNS respondida, o ransomware não criptografa nada.
Por que o firewall tradicional não vê isso acontecer?
Aqui está o problema central que leva tantas empresas a sofrerem ataques mesmo com firewalls ativos.
O DNS usa a porta 53, que está quase sempre aberta em sistemas, firewalls e clientes para transmitir consultas DNS. Em vez do protocolo TCP, essas consultas usam o UDP por causa de sua baixa latência, menor uso de banda e de recursos. Como a porta 53 precisa estar aberta para que a internet funcione normalmente, os firewalls perimetrais simplesmente a deixam passar.
É uma janela que ninguém fecha e o atacante sabe disso.
O vetor de exploração mais sofisticado nesse contexto é o DNS tunneling. Ataques baseados em DNS escondem atividade maliciosa dentro de consultas normais de domínio. Os atacantes codificam comandos ou fragmentos de dados dentro de subdomínios, tornando a detecção difícil, pois o tráfego DNS raramente passa por inspeção profunda, segundo a StealthTech365.
Na prática, o malware faz consultas para subdomínios como 7f3a9b.update.atacante.com. Para o firewall, é uma consulta DNS comum. Para o atacante, é um canal bidirecional de comunicação, completamente invisível para defesas perimetrais convencionais.
Como a inteligência ativa de DNS interrompe esse ciclo
A diferença entre um DNS comum e um DNS com inteligência de ameaças está na capacidade de analisar a intenção do tráfego antes que ele se torne um ataque.
A infraestrutura de C2 é projetada para ser resiliente e furtiva, frequentemente utilizando técnicas como algoritmos de geração de domínio (DGAs) ou DNS fast-flux para evadir a detecção e garantir comunicação contínua. Halcyon Os DGAs geram centenas ou milhares de domínios aleatórios por dia — o malware tenta resolver cada um deles sequencialmente, esperando que pelo menos um esteja ativo no servidor do atacante.
O Edge DNS da Starti opera com três camadas de proteção contra esse comportamento:
- Blacklists dinâmicas e inteligência de ameaças: domínios associados a infraestruturas de ataque são identificados e bloqueados antes mesmo de chegarem às redes dos clientes. Quando um usuário desavisado clica em um link de phishing que faz parte de um ataque de ransomware, ele é levado ao servidor DNS interno da empresa, que tentará resolver o domínio.
Se inteligência de ameaças proativa estiver sendo usada no servidor DNS, o usuário será bloqueado de acessar o domínio porque esse domínio já é conhecido por estar associado a ransomware.
- Análise comportamental e detecção de DGA: domínios legítimos têm padrões linguísticos reconhecíveis. Um domínio gerado algoritmicamente como k7f2mx9p.click tem características estatísticas que o diferenciam de atualizacao.microsoft.com. O sistema analisa entropia, comprimento, frequência de consultas e padrões temporais para identificar esse tráfego como suspeito; e cortá-lo em tempo real.
- Bloqueio da chave de criptografia: essa comunicação C2 também acontece via DNS, e o uso de inteligência de ameaças pode bloquear as comunicações C2, prevenindo o download da chave de criptografia e a eventual criptografia dos dados. É o ponto de interrupção mais valioso de toda a cadeia.
Clique no link abaixo e descubra como o Edge DNS pode elevar a proteção dos seus clientes contra ataques ransomware e outras ameaças:
O momento exato em que o DNS salva o servidor
Imagine agora a linha do tempo de um ataque.
O malware está instalado. A máquina comprometida faz a consulta DNS pedindo a chave de criptografia. Nesse exato momento; antes de qualquer arquivo ser tocado, antes de qualquer dado ser perdido; o Edge DNS reconhece o domínio como parte de uma infraestrutura maliciosa conhecida, recusa a resolução e registra o incidente.
O ransomware espera. Tenta novamente. É bloqueado novamente. A equipe de segurança recebe o alerta. A máquina é isolada. Nenhum arquivo foi criptografado.
Esse não é um cenário hipotético, é exatamente o que acontece quando a primeira linha de defesa opera na camada certa.
Por que isso importa para a realidade brasileira?
O Brasil figura consistentemente entre os países mais atacados por ransomware na América Latina.
Boa parte dessas vítimas opera com firewalls perimetrais robustos e antivírus atualizados — e ainda assim sofre os ataques. A razão é simples: essas ferramentas não foram projetadas para inspecionar o protocolo DNS com a profundidade necessária.
Proteger o DNS é realizar a intervenção certa no ponto em que o ataque ainda pode ser revertido sem custo. Depois que a chave de criptografia chega, o cenário muda completamente.
Na Starti, construímos o Edge DNS justamente para operar nesse intervalo crítico — o momento entre a invasão e o desastre. Porque é nesse milissegundo que a diferença é feita.
Conheça o ecossistema Starti e descubra todos os diferneciais do Edge DNS: