Brasileiros usavam ferramenta de maior grupo cibercriminoso do mundo

Investigação encontrou indícios de relação de hackers brasileiros com um dos maiores grupos de ataques a sistemas públicos e privados

Fabio Serapiao

07/03/2025 03:20, atualizado 07/03/2025 11:10

Compartilhar notícia

Google News - Metrópoles

Hugo Barreto/Metrópoles

1 de 1 Hacker ataque - Ataques na internet, hackers, rede de sistemas, violações de dados sigilosos, documentos expostos, ciberataque11 - Foto: Hugo Barreto/Metrópoles

A Polícia Federal (PF) investiga o uso por hackers brasileiros de uma ferramenta para invasão de sistemas de órgãos públicos e empresas vendida por um dos maiores grupos de cibercriminosos do mundo.

Na operação Databrokers, deflagrada na quarta-feira (26/2), os investigadores encontraram indícios de que os alvos usavam ransomware (um software malicioso) do LockBit.

O grupo, alvo de investigações no exterior, produz um ransomware que entra no sistema, bloqueia o o dos usuários usando criptografia, por exemplo, para depois cobrar pagamento e devolver o o aos dados.

Como mostrou a coluna, os hackers brasileiros usavam a ferramenta para criar o a sistemas depois comercializados em fóruns da darkweb.

A investigação já conseguiu informações sobre a comercialização dessas vulnerabilidades pelos hackers para entrada nos sistemas de empresas como a Heineken no Brasil e órgãos públicos como o Tribunal de Justiça da Bahia (TJ-BA), Polícia Rodoviária Federal (PRF) e Fundo Nacional de Desenvolvimento da Educação (FNDE).

Questionados pela coluna, a Heineken e o TJ-BA disseram que não houve registro de invasão ou ataque cibernético em seus sistemas. Já a PRF afirma que foram identificadas tentativas de os indevidos, mas que a vulnerabilidade foi resolvida e a PF foi acionada.

O ransomware da LockBit, segundo sites especializados, tem a capacidade de encontrar ativos de valor dentro dos sistemas invadidos e criptografá-los para evitar o dos usuários.

Depois disso, normalmente, os ataques interrompem a operação do sistema, cobram resgate ou roubam os dados para posterior publicação e venda ilegal.

Em fevereiro de 2024, o LockBit foi alvo de uma operação conjunta de agências de diversos países.

À época, autoridades afirmaram que somente nos Estados Unidos eram cerca de 1.700 vítimas do grupo e de suas ferramentas para os a sistemas.

De acordo com nota divulgada pela Europol, naquele momento autoridades policiais de 10 países “interromperam a operação criminosa do grupo de ransomware LockBit em todos os níveis, prejudicando gravemente sua capacidade e credibilidade”.

Ainda segundo a Europol, a operação batizada de Cronos derrubou servidores do grupo na Holanda, Alemanha, Finlândia, França, Suíça, Austrália, Estados Unidos e Reino Unido.

Também foram congeladas 200 contas de criptomoedas e a UK’s National Crime Agency (Agência do Reino Unido de Combate ao Crime) assumiu o controle da infraestrutura dos sistemas utilizados pelo grupo.

Entre elas, o site na darkweb onde ficavam os dados roubados de empresas e órgãos públicos.

Segundo as autoridades, mais de 14.000 contas responsáveis por ataques foram identificadas.

As autoridades também congelaram mais de 200 contas de criptomoedas vinculadas à organização criminosa, ressaltando o compromisso de interromper os incentivos econômicos que impulsionam os ataques de ransomware.

Na divulgação da operação, a Europol classificou o LockBit “uma operação de ‘ransomware como serviço’, o que significa que uma equipe central cria seu malware e executa seu site, enquanto licencia seu código para afiliados que lançam ataques.”

De acordo com a apuração, os afiliados estavam espalhados em todo mundo, o que faz do ransomware da LockBit a variante mais utilizada em todo mundo.

Defesa

Questionada pela coluna, a Heineken afirmou que não houve qualquer ataque recente ou vulnerabilidade identificada em seu sistema e “reitera que sua estrutura de segurança segue intacta e operando com total integridade”.

O TJ-BA também disse à coluna que não foi identificado nenhum o indevido ou ataque cibernéticos ao ambiente do Tribunal nos últimos dias.

“O TJBA reitera o compromisso com a segurança da informação e a proteção dos sistemas sob sua gestão, mantendo práticas contínuas de monitoramento e mitigação de ameaças cibernéticas e qualquer invasão detectada será comunicada imediatamente às autoridades competentes”, afirma a nota.

O FNDE, por sua vez, disse que por conta de sua política de segurança, não divulga informações sobre incidentes de Segurança da Informação e/ou sobre eventuais ações de investigação em andamento. “O FNDE, autarquia federal vinculada ao Ministério da Educação, adota boas práticas de monitoramento e tratamento de incidentes cibernéticos – reportando-os às autoridades competentes, quando necessário”, afirmou.

Já a PRF afirmou à coluna que foram identificadas, em 2024, tentativas de os indevidos aos sistemas da instituição. “A vulnerabilidade foi prontamente sanada, e a Polícia Federal (PF) foi acionada para conduzir as investigações sobre o ocorrido”, disse a corporação em nota.