Em algum momento, a pergunta vai chegar na sua mesa: o que fazemos se a empresa for atacada por ransomware? Não é hipotética. Em 2021, a média era de 13 mil ataques mensais contra empresas brasileiras, dos quais 57% eram do tipo ransomware, segundo retrospectiva da ISH Tecnologia que recupera o levantamento do período. Desde então, o número só cresceu.
O caso da Lojas Renner, atacada em 19 de agosto de 2021, é um dos exemplos mais bem documentados de resposta corporativa a ransomware no Brasil. Não pelos detalhes técnicos divulgados (poucos, por sinal), mas pela qualidade das decisões tomadas sob pressão, com resultado rastreável.
Este artigo reconstrói o que aconteceu com base em fontes verificadas: fatos relevantes à CVM, cobertura jornalística e declarações oficiais. Onde há especulação, está identificado como tal. O objetivo é o mesmo do caso em si: aprender com a resposta.
19 de agosto de 2021, 18h45
Quinta-feira. O site lojasrenner.com.br fica indisponível. O aplicativo para de responder. As cerca de 600 lojas físicas da empresa continuam operando normalmente: clientes fazendo compras, caixas processando pagamentos, equipe de piso sem perceber nada fora do comum.
Por dentro, a equipe de TI já estava em protocolo de emergência.
Ainda naquele dia, a Lojas Renner divulgou fato relevante à CVM em cumprimento à Instrução CVM 358/2002 (artigo 157, parágrafo 4º, da Lei 6.404/76). O texto era curto e direto: a empresa “sofreu um ataque cibernético criminoso em seu ambiente de tecnologia da informação, que resultou em indisponibilidade em parte de seus sistemas”. Protocolos de controle foram acionados. Bancos de dados principais, preservados. Lojas físicas, em operação.
Nos dias seguintes, a recuperação ocorreu em etapas: e-commerce restaurado na manhã de 21 de agosto; aplicativo, em 22 de agosto; em 24 de agosto, a empresa declarou publicamente que não havia pago resgate e não havia tido contato com os autores do ataque.
O contexto importa. O ataque à Renner aconteceu oito dias após o ataque ao Tesouro Nacional (13/08/2021) e três meses após a JBS (30/05/2021), empresa que pagou US$ 11 milhões em bitcoin ao grupo REvil. Era a maior onda de ransomware que o Brasil havia enfrentado até então.
Este artigo cobre o que há de mais valioso sobre ransomware Brasil estudo de caso: o contexto operacional da empresa no momento do ataque; o que se sabe e o que permanece especulação sobre a invasão; a anatomia da resposta corporativa nas primeiras 72 horas; o cálculo de não pagar em contraste com a decisão da JBS; o custo total estimável; e as cinco lições que valem para qualquer empresa em 2026.
A empresa e o setor no momento do ataque
Em agosto de 2021, a Lojas Renner era a maior varejista de moda do Brasil. Listada na B3 (ticker LREN3) desde 2005, havia registrado receita de R$ 8,6 bilhões em 2020 (o último ano fiscal fechado antes do ataque, em plena pandemia). Operava cerca de 600 lojas físicas em todo o país e acelerava o canal digital, pressionada pelo fechamento temporário do varejo físico durante a pandemia.
Em abril de 2021, quatro meses antes do ataque, a empresa havia divulgado fato relevante sobre estudo de oferta primária de até R$ 4,5 bilhões. Momento de alta visibilidade de mercado, com olhos de investidores e imprensa sobre a companhia. A matriz e os principais servidores ficavam em Porto Alegre (RS). A TIVIT era fornecedora de data center em São Paulo.
O cenário macro da ameaça em 2021
O setor varejista era alvo recorrente de grupos de ransomware por razões estruturais: base ampla de dados de clientes, integração com múltiplos sistemas (ERP, logística, financeiro) e perímetro de rede extenso. No Brasil, 2021 reuniu casos que até então eram exceção: JBS (30/05/2021), Grupo Fleury (junho/2021), Tesouro Nacional (13/08/2021), Atento (outubro/2021), além de CVC, Light e Embraer em períodos próximos.
A ISH Tecnologia estimava, em levantamento de 2021, média de 13 mil ataques mensais contra empresas brasileiras, com 57% classificados como ransomware. O grupo REvil operava o modelo “ransomware-as-a-service”: infraestrutura de ataque alugada a afiliados em troca de participação no resgate. Famílias como Defray777 e RansomEXX tinham histórico de ataques a infraestrutura Linux, relevante para servidores de varejo.
Havia também uma camada regulatória nova: a LGPD (Lei 13.709/2018) havia entrado em vigor em setembro de 2020 e a ANPD começava sua operação. Empresa listada em bolsa acumulava duas obrigações paralelas: comunicar incidente à ANPD e a titulares afetados (art. 48 da LGPD), e divulgar fato relevante ao mercado (Instrução CVM 358/2002). Para entender o que o art. 48 da LGPD exige em comunicação de incidente à ANPD, veja o guia completo. Não havia mais como tratar um ataque desta magnitude em silêncio.
A invasão: o que se sabe e o que permanece especulação sobre este caso
Este é o ponto onde outros artigos sobre o caso Renner tendem a errar. Em 2021, especulação foi apresentada como fato por vários veículos. Separar o que foi confirmado do que não foi é parte essencial da análise.
O que a Lojas Renner confirmou oficialmente
A empresa confirmou: que o ataque ocorreu em 19 de agosto de 2021; que foi do tipo ransomware; que resultou em indisponibilidade parcial de sistemas; que os bancos de dados principais foram preservados; que as lojas físicas operaram normalmente; e que não houve pagamento de resgate nem contato com os atacantes.
A Renner nunca confirmou, em nenhum comunicado público até maio de 2026: a porta de entrada do ataque; o ransomware específico utilizado; o grupo responsável; o número de servidores afetados; nem o valor do resgate exigido.
O que terceiros declararam
A TIVIT declarou publicamente em 20/08/2021 que “não sofreu nenhum ataque em seus data centers, nem em suas redes corporativas e tampouco em seus servidores”. Essa declaração localiza o ataque na infraestrutura própria da Renner em Porto Alegre; é declaração de isolamento, porém, não atribuição técnica.
O Procon-SP notificou a empresa em 20/08/2021, exigindo resposta em até 5 dias úteis sobre: quais bancos de dados foram atingidos, nível de exposição de dados pessoais, tempo de indisponibilidade e se houve vazamento. A resposta da Renner foi entregue no prazo, mas seu conteúdo completo não é integralmente público.
O que fonte anônima reportou à imprensa
O TecMundo publicou em 19/08/2021 informações atribuídas a “fonte” anônima (não confirmadas pela empresa): cerca de 1,3 mil servidores teriam sido criptografados; o ransomware suspeito seria o Defray777 (família RansomEXX, baseada em código Linux); e o pedido de resgate seria de US$ 1 bilhão (R$ 5,4 bilhões na cotação da época). Esses dados foram amplamente repetidos sem confirmação independente.
A Renner, em 24/08/2021, negou explicitamente o rumor de US$ 20 milhões (valor diferente do US$ 1 bilhão citado pela fonte anônima) e reiterou que não houve contato com os atacantes. Nenhuma das informações atribuídas à fonte anônima (1,3 mil servidores, Defray777, US$ 1 bilhão) foi confirmada nem formalmente desmentida pela empresa.
O que se sabe × o que permanece especulação
| Confirmado oficialmente (fato relevante CVM) | Especulação (fonte anônima ao TecMundo, não confirmado pela empresa) |
|---|---|
| Ataque ransomware em 19/08/2021 | ~1,3 mil servidores criptografados |
| Indisponibilidade parcial de sistemas | Ransomware: Defray777 / RansomEXX |
| Bancos de dados principais preservados | Pedido de resgate de US$ 1 bilhão |
| Lojas físicas operaram normalmente | Grupo responsável pelo ataque |
| Não houve pagamento nem contato com atacantes | Porta de entrada (phishing? credencial comprometida?) |
Empresa privada brasileira que sofre ransomware quase sempre limita a divulgação técnica, por razões legítimas: investigação criminal em curso, proteção de vulnerabilidades que ainda existem, posição de mercado. O gestor que lê um artigo sobre ransomware precisa distinguir o que pode afirmar (com base em fato relevante CVM) do que é rumor não confirmado. Isso muda como você vai se comunicar com o seu conselho, com o seu jurídico e com os seus clientes.
A resposta corporativa nas primeiras 72 horas
A recuperação da Renner aconteceu em quatro movimentos públicos identificáveis. Cada um tem custo e consequência rastreáveis.
Movimento 1: Fato relevante à CVM no mesmo dia
A Renner comunicou o ataque à CVM ainda em 19/08/2021, em cumprimento à Instrução CVM 358/2002. O texto confirmou o ataque, declarou que protocolos foram acionados e informou que os bancos de dados principais foram preservados e que as lojas físicas operavam. Para empresa de capital aberto, divulgar fato relevante no mesmo dia é exigência legal; é também uma decisão de comunicação. Empresa que demora preenche o vazio com especulação externa.
Movimento 2: Comunicação contínua ao mercado
Nos quatro dias seguintes, a empresa atualizou o mercado em 20, 21, 22 e 24 de agosto. Cada comunicado adicionou informação concreta: e-commerce restaurado na manhã de 21/08; aplicativo restaurado em 22/08; confirmação de não pagamento e ausência de contato com os atacantes em 24/08. Sem esse ritmo de comunicação, a cobertura jornalística seria dominada pelos rumores do TecMundo, que circularam de qualquer forma, mas com espaço muito menor.
Movimento 3: Resposta à notificação do Procon-SP no prazo
O Procon-SP notificou a empresa em 20/08/2021. A Renner respondeu dentro do prazo de 5 dias úteis com informações sobre impacto, sistemas afetados e medidas adotadas. A resposta ao Procon tem nível de detalhe diferente da comunicação ao mercado e só foi parcialmente tornada pública depois. É um padrão que qualquer empresa com base de clientes no Brasil precisará seguir: reguladores perguntam com prazo, e respostas fora do prazo viram infrações autônomas.
Movimento 4: Recuperação via backup íntegro e segregado
O backup foi a peça que tornou tudo isso possível. A Renner restaurou os sistemas em sequência: bancos de dados primeiro, depois e-commerce, depois aplicativo. O ataque não conseguiu destruir ou criptografar os backups. Sem backup íntegro e segregado, os movimentos 1 a 3 seriam irrelevantes; sem eles, a empresa estaria negociando resgate em vez de comunicando recuperação.
O que ficou faltando
Dois pontos merecem registro como lacunas. Primeiro, não houve comunicação direta a titulares (clientes com dados no sistema). A empresa comunicou ao mercado, ao regulador e ao Procon, mas não enviou e-mail ou notificação push à base de clientes. Em ambiente pós-LGPD, comunicar titulares diretamente, mesmo que fosse para confirmar que não houve vazamento, seria prática mais robusta.
Segundo, até maio de 2026 a empresa não havia publicado nenhum relato retrospectivo detalhado do incidente. A ausência de post-mortem técnico público limita o aprendizado coletivo do mercado.
O que me chama atenção nesse caso, depois de acompanhar tantos ciclos de adoção de tecnologia em empresas brasileiras, é que a Renner não se saiu bem porque tinha a melhor infraestrutura de segurança do mercado. Saiu-se bem porque tinha preparação básica executada com disciplina: backup funcionando, processo de comunicação definido e governança capaz de decidir sob pressão.
Pagar ou não pagar: a decisão da Renner em contraste com a da JBS
Em 30 de maio de 2021, a JBS foi atacada pelo grupo REvil e pagou US$ 11 milhões em bitcoin em 1º de junho, um dia após o ataque. O CEO André Nogueira declarou ao Wall Street Journal: “Foi muito doloroso pagar criminosos, mas fizemos o que era correto pelos consumidores.” Três meses depois, a Renner optou pelo caminho oposto.
| Dimensão | JBS (30/05/2021) | Lojas Renner (19/08/2021) |
|---|---|---|
| Pagamento de resgate | US$ 11 mi em bitcoin em 1º/06/2021 | Não pagou; declarou publicamente em 24/08/2021 |
| Tempo de recuperação | Poucos dias; pagamento feito mesmo após restauração parcial | 48h (e-commerce), 72h (aplicativo) |
| Justificativa pública | CEO ao WSJ: “doloroso, mas correto pelos consumidores” | Declarou que não houve contato com os atacantes |
| Atribuição do ataque | FBI atribuiu publicamente ao grupo REvil | Sem atribuição; rumor de Defray777 não confirmado pela empresa |
| Impacto operacional | Plantas frigoríficas paralisadas nos EUA e Austrália | Zero impacto em lojas físicas durante todo o incidente |
Por que a Renner pôde não pagar
Quatro fatores explicam a viabilidade da decisão:
Backup íntegro e segregado. Sem backup funcional, a discussão não existe. A Renner tinha backup, o backup funcionou e os atacantes não conseguiram alcançá-lo.
Janela de impacto curta. O ataque afetou sistemas digitais. As lojas físicas operaram sem interrupção. Diferente da JBS, onde plantas frigoríficas nos EUA e Austrália foram paralisadas; o impacto foi imediato sobre contratos de fornecimento e clientes corporativos.
Sinal dos atacantes. Segundo imagens publicadas pela imprensa e não confirmadas como autênticas pela empresa, a mensagem de ransomware indicava interesse em pagamento sem ameaça explícita de vazamento de dados. Isso permitiu apostar que o vazamento não aconteceria sem pagamento; aposta que se mostrou correta.
Decisão de governança. Pagar tem custo reputacional próprio: financiar crime organizado, ter o pagamento descoberto em investigação futura, sinalizar ao mercado que a empresa cede. Não pagar e recuperar em 72 horas foi, na prática, a opção de menor custo total.
Duas leituras concorrentes, ambas defensáveis
Há quem leia o caso como vitória de prontidão: empresa preparada com backup, respondeu rápido, comunicou bem, não financiou crime organizado. Há quem leia como sorte parcial: se os atacantes tivessem usado double extortion (ameaçando vazar dados além de criptografar servidores), a aritmética seria outra. O caso JBS envolveu pagamento mesmo após restauração técnica, justamente para evitar vazamento.
Ambas têm fundamento. A conclusão que permanece em qualquer cenário: a opção de não pagar só existe quando a empresa está preparada. Backup íntegro, governança alinhada, comunicação ensaiada. Empresa que não estiver pronta não escolhe; só paga.
O custo total: técnico, jurídico e reputacional
Nenhum desses números é oficial. O que existe são estimativas de mercado e inferências a partir de dados públicos.
Custo técnico
Empresa do porte da Renner, com potencialmente 1,3 mil servidores afetados (reportado por fonte anônima ao TecMundo, não confirmado pela empresa), consumiria, em estimativas de mercado de 2021, entre R$ 5 e R$ 20 milhões em horas-pessoa de TI especializada, forense de incidente, hardware adicional e hardening pós-ataque. O valor real provavelmente se aproxima do limite inferior, dada a capacidade interna da empresa e a recuperação em 72 horas.
Receita não realizada em 48 a 72 horas de e-commerce e aplicativo fora do ar: a Renner não divulgou estimativa. Em 2021, o canal digital representava parcela ainda minoritária da receita total; impacto direto estimado em R$ 30 a R$ 60 milhões em receita não realizada (sem confirmação oficial).
Custo jurídico
Baixo, comparado ao potencial. A resposta ao Procon-SP foi entregue no prazo. O art. 48 da LGPD exige comunicação à ANPD e aos titulares quando o incidente “possa acarretar risco ou dano relevante” — não apenas quando há vazamento confirmado. A Renner concluiu, sem confirmação pública independente, que não houve transferência não autorizada de dados pessoais e não comunicou à ANPD. Vale o contexto: em agosto de 2021 a ANPD ainda não havia regulamentado o procedimento de comunicação de incidentes de segurança (isso só veio com a Resolução CD/ANPD nº 15/2024), então essa decisão da empresa não foi testada à luz de um protocolo formal. Para entender o que o art. 48 da LGPD exige em comunicação de incidente à ANPD, veja o guia completo.
Se o vazamento tivesse ocorrido e não tivesse sido comunicado: multa de até 2% do faturamento (limite de R$ 50 milhões por infração nos termos do art. 52 da LGPD), mais eventual ação civil por danos a titulares. A ANPD começou a aplicar sanções administrativas com regularidade a partir de 2023. Ações coletivas de titulares: não constatadas em fonte pública para o caso Renner.
Custo reputacional
A ação LREN3 fechou em queda no pregão de 20/08/2021, com recuperação parcial nos dias seguintes: um movimento de curto prazo, sem dano estrutural à precificação da empresa. A cobertura jornalística qualificou positivamente a velocidade do fato relevante, a recuperação em 72 horas e a decisão de não pagar. Nos anos seguintes, a Renner continuou expandindo a operação digital sem correlação identificável entre o incidente e perda de base de clientes.
As 5 lições do estudo de caso para qualquer empresa em 2026
- Backup íntegro e segregado é o que sustenta a opção de não pagar. Empresa sem backup não escolhe. Só paga. O backup precisa estar segregado da rede principal: offline, air-gapped ou em provedor separado com credencial distinta. Precisa ser testado periodicamente (backup não testado é arquivo, não contingência). E precisa ter escopo completo: bancos de dados, configurações de sistema, código de aplicação. A Renner pôde restaurar em 48 a 72 horas porque o backup estava lá, estava íntegro e os atacantes não conseguiram alcançá-lo. Esse é o pré-requisito de tudo o mais.
- Resposta corporativa pré-ensaiada vale mais que tecnologia adicional. Mais firewall sem plano ensaiado não resolve. A Renner divulgou fato relevante no mesmo dia, respondeu ao Procon-SP no prazo e comunicou ao mercado em quatro atualizações sucessivas. Isso não acontece improvisado. O plano de resposta precisa definir previamente: quem ativa o protocolo, quem comunica ao conselho, quem elabora o fato relevante, quem responde ao regulador. Quando o ataque ocorre, não há tempo para montar o processo.
- Comunicação imediata reduz custo reputacional. Vazio de comunicação é preenchido por especulação. A Renner comunicou no dia do ataque, no seguinte, no seguinte ao seguinte, e no quinto dia com a declaração de não pagamento. Mesmo sem detalhe técnico, o ritmo de comunicação comprimiu o espaço para boato. O padrão oposto, de empresa que demora 3 dias para confirmar o ataque, 7 dias para confirmar o escopo e 14 dias para dizer se houve vazamento, gera cobertura jornalística hostil que demora mais para dissipar do que o próprio incidente.
- Segmentação de operação digital e física protege continuidade. As 600 lojas físicas da Renner operaram normalmente durante todo o incidente porque a infraestrutura delas estava segregada da infraestrutura digital. O impacto financeiro do ataque foi limitado pela arquitetura. Empresa que opera tudo no mesmo perímetro (lojas, e-commerce, estoque, financeiro) sofre impacto total quando o perímetro cai.
- A decisão de pagar ou não pagar precisa ser tomada antes do incidente. Quando o ransomware chega, há uma janela de horas (às vezes minutos) para decidir. Quem decide? O CEO? O conselho? O CISO? Em qual valor o pagamento se torna aceitável? Sob qual condição de ameaça? Qual o custo de cada opção em receita, reputação e risco jurídico? A Renner decidiu não pagar porque tinha condições técnicas e governança alinhada. A JBS pagou porque calculou que o custo de continuidade excedia o custo do resgate; a JBS o fez em 24 horas. Cada empresa precisa ter feito esse cálculo antes. Quando o atacante manda a primeira mensagem, é tarde para começar a discutir.
Cinco anos depois: o que o caso ainda ensina
O caso Renner é um estudo de caso de resposta corporativa, não de invasão técnica detalhada. Os detalhes técnicos do ataque (porta de entrada, ransomware específico, grupo responsável) permanecem não confirmados em fonte pública. O que está documentado é a resposta: backup, fato relevante CVM no mesmo dia, comunicação ao Procon-SP no prazo, governança para decidir não pagar, recuperação em 72 horas.
Em 2026, com a ANPD aplicando sanções com regularidade desde 2023 e com ataques de ransomware contra empresas brasileiras em trajetória de crescimento desde 2021, a resposta corporativa a incidentes virou parte do produto de cibersegurança. O levantamento da Assespro registrou ao menos 25 ataques públicos apenas entre maio e agosto de 2024. Não é suficiente ter firewall. É necessário ter plano ensaiado de quem comunica o quê, em qual ordem, com qual base legal.
Depois de acompanhar tantos ciclos de crise tecnológica em empresas brasileiras, a principal lição que fica desse caso não é técnica. É de gestão: a resposta começa antes do ataque. Backup, governança, comunicação: tudo o que decide em 48 horas tem que estar pronto em 48 meses.
Este post faz parte do cluster de Cibersegurança da Mabex. Se a sua empresa ainda está mapeando os requisitos de segurança e conformidade, comece pelo panorama completo de cibersegurança corporativa: é o ponto de partida para entender o que é estrutural e o que é urgente.
