Hackers divulgam 1,5 TB de dados atribuídos à FGV após ataque de ransomware
O grupo de ransomware DragonForce publicou na sua página de vazamentos na dark web um pacote de nove links que, de acordo com os criminosos, reúne aproximadamente 1,5 terabyte de informações pertencentes à Fundação Getulio Vargas (FGV). Cada link leva a diretórios com arquivos de diversos formatos, incluindo planilhas, documentos de texto, apresentações, PDFs e outros tipos de conteúdo corporativo e acadêmico.
Entre esses diretórios, um deles, identificado como “Users”, chama a atenção por listar 108 nomes de pessoas. Cada nome está associado a pastas e arquivos próprios, o que sugere que perfis individuais – possivelmente de colaboradores, docentes ou alunos – tenham sido segmentados na extração dos dados. Esse tipo de organização indica um acesso relativamente aprofundado ao ambiente comprometido, e não apenas a um repositório isolado.
Boa parte do material exposto parece ter relação direta com a atividade didática da instituição. A nomenclatura de muitos arquivos sugere conteúdos sensíveis para o ambiente acadêmico, como possíveis soluções de provas, bancos de questões, enunciados e materiais internos de avaliação. Caso essas informações sejam autênticas, o vazamento pode afetar a integridade de processos de ensino, avaliações e concursos, além de comprometer a confiança em exames futuros.
O volume anunciado pelos criminosos – cerca de 1,5 TB – é hoje compatível até com máquinas pessoais, o que reforça a hipótese de que o comprometimento possa ter começado a partir de apenas um computador entre os milhares presentes na infraestrutura da FGV. Em servidores corporativos, capacidades muito superiores são comuns, o que indica que o incidente, ao menos nessa fase de divulgação, não necessariamente exigiu o sequestro massivo de todos os sistemas da instituição. Ainda assim, é possível que a máquina comprometida estivesse conectada a repositórios ou compartilhamentos internos críticos.
Questionada sobre o caso, a Assessoria de Imprensa da FGV informou não ter, até o momento, dados oficiais para compartilhar e que o tema ainda está em apuração interna. A posição contrasta com a visibilidade crescente do episódio, que já havia sido noticiado por veículos de grande circulação. Em nota, a instituição afirmou: “Não temos informação sobre esse assunto até o momento. Estamos verificando internamente”.
O episódio descrito pelo grupo DragonForce se conecta a um incidente anterior atribuído à FGV entre 19 e 20 de fevereiro, relatado na coluna de Lauro Jardim, em um jornal de grande circulação nacional. Na ocasião, foi informado que a fundação teria sido alvo de um ataque hacker que derrubou todos os sistemas da instituição entre uma quinta e uma sexta-feira. A nota dizia que alguns serviços haviam sido restabelecidos, mas sem previsão para a recuperação total do ambiente de TI.
Especialistas em segurança apontam que essa interrupção ampla de serviços é compatível com uma resposta emergencial a um ataque de ransomware. Em muitos casos, a organização prefere desligar redes e sistemas para conter a propagação do malware, isolar ambientes, revisar backups e aplicar correções. Diante do curto espaço de tempo mencionado, é pouco provável que uma suposta “contaminação total” da rede tenha sido completamente sanada em poucos dias; mais plausível é que a equipe tenha focado na retomada mínima das operações enquanto avaliava o alcance real da invasão.
O post do DragonForce com a ameaça à FGV foi publicado em 2 de março, acompanhado de um contador regressivo de dez dias, prazo definido pelos criminosos para negociações de pagamento de resgate. Como o despejo dos dados ocorreu apenas ao final desse período, a interpretação usual no meio de segurança é que a instituição não atendeu às exigências financeiras do grupo – ou, ao menos, não chegou a um acordo aceitável para os atacantes. A divulgação pública do conteúdo roubado é uma etapa típica da chamada estratégia de “dupla extorsão”: além de criptografar dados para paralisar operações, o grupo ameaça expor informações sigilosas para pressionar o pagamento.
Mais do que uma gangue isolada, o DragonForce opera como um serviço estruturado de ransomware (RaaS, ransomware-as-a-service). Nesse modelo, o grupo mantém a infraestrutura principal – painéis de controle, servidores de comando e controle, sites de vazamento e ferramentas de criptografia – e a disponibiliza para afiliados, que executam os ataques na ponta. Esses afiliados podem ser hackers experientes ou agentes especializados em acessar redes corporativas, conhecidos como “Agentes de Acesso Inicial” (IABs). Em geral, o DragonForce fica com cerca de 20% do valor do resgate, deixando 80% para o afiliado responsável pela invasão bem-sucedida.
Os vetores de ataque mais usados por grupos como o DragonForce seguem um padrão já conhecido no mercado de cibersegurança. Entre eles, destacam-se:
– Uso de credenciais vazadas ou fracas em serviços expostos à internet, como VPNs e painéis administrativos.
– Exploração de vulnerabilidades não corrigidas em aplicações web, firewalls, roteadores e sistemas operacionais.
– Ataques de força bruta ou exploração de Remote Desktop Protocol (RDP) mal configurado e acessível pela internet.
– Campanhas de phishing e spear phishing direcionadas, capazes de convencer usuários a fornecerem senhas ou executarem arquivos maliciosos.
A combinação desses vetores com a atuação de afiliados altamente especializados torna o DragonForce uma ameaça ágil e adaptável. O grupo surgiu em 2023, mas ganhou destaque a partir de 2025, quando emplacou uma sequência de ataques contra organizações de grande porte, consolidando sua reputação no submundo digital. Mesmo sem informações claras sobre sua origem geográfica ou estrutura interna completa, a velocidade de evolução e o modelo agressivo de filiação o colocam hoje entre os atores de ransomware que mais preocupam equipes de segurança.
No caso específico da FGV, o potencial impacto ultrapassa o dano reputacional imediato. Se os dados divulgados incluírem informações pessoais de alunos, ex-alunos, funcionários, professores ou parceiros, pode haver implicações diretas à luz da legislação de proteção de dados, bem como riscos de fraudes, golpes direcionados e engenharia social em larga escala. Informações como CPF, e-mail institucional, histórico acadêmico e dados de contato são valiosas para campanhas criminosas subsequentes.
Também há efeitos diretos sobre a confiabilidade acadêmica. Vazamentos de bancos de questões, gabaritos e materiais internos podem comprometer concursos, seleções, avaliações e processos de certificação. Instituições de ensino que enfrentam episódios dessa natureza muitas vezes precisam revisar e substituir extensivamente seus instrumentos de avaliação, o que gera custos, retrabalho e atrasos em calendários acadêmicos e de pesquisa.
Outro ponto sensível é o impacto em projetos de pesquisa e acordos com empresas e órgãos públicos. A FGV atua em estudos estratégicos nas áreas de economia, administração, políticas públicas e direito, frequentemente lidando com dados confidenciais e análises sensíveis para o mercado e para governos. Caso relatórios internos, bases de dados ou documentos de projetos tenham sido expostos, participantes e patrocinadores podem exigir esclarecimentos e medidas adicionais de mitigação.
Do ponto de vista técnico, incidentes como esse evidenciam fragilidades recorrentes na governança de TI de muitas organizações, inclusive de grande porte. Falhas em controles de acesso, ausência de segmentação adequada de rede, falta de monitoramento contínuo, políticas de senha fracas e atraso na aplicação de atualizações de segurança são fatores que, combinados, abrem caminho para grupos de ransomware. Mesmo instituições com investimento relevante em tecnologia podem subestimar riscos ligados ao fator humano, como cliques em e-mails maliciosos ou uso indevido de credenciais corporativas em serviços externos.
Há ainda um equívoco comum em ambientes corporativos e acadêmicos sobre o uso de serviços em nuvem e aplicações SaaS: muitos gestores partem do princípio de que, por estarem em plataformas de grandes fornecedores, os dados estão automaticamente protegidos e com backup garantido. Na prática, o modelo de responsabilidade compartilhada impõe ao cliente a obrigação de definir políticas de backup, retenção e recuperação de dados, assim como controles de acesso. Sem um plano claro de cópia e restauração, a instituição pode descobrir, tarde demais, que arquivos críticos não podem ser recuperados após um ataque.
Para reduzir o impacto de incidentes semelhantes, especialistas recomendam uma combinação de medidas técnicas, organizacionais e de cultura interna. Entre elas:
– Implementar backups frequentes, isolados do ambiente principal e periodicamente testados.
– Adotar autenticação multifator em todos os acessos críticos e desativar serviços expostos desnecessariamente.
– Manter um programa contínuo de gestão de vulnerabilidades, com correções rápidas para sistemas e aplicativos.
– Investir em soluções de detecção e resposta a incidentes (EDR/XDR) e em monitoramento em tempo real de atividades suspeitas.
– Promover treinamentos recorrentes de conscientização em segurança para todos os perfis de usuários.
No âmbito de resposta a incidentes, a recomendação é que organizações mantenham planos formais, com fluxos definidos de comunicação interna e externa, critérios para acionar equipes especializadas, procedimentos de isolamento e recuperação de sistemas e rotinas de análise pós-incidente. Quando dados sensíveis são expostos, a transparência controlada, acompanhada de orientações claras às pessoas afetadas, costuma ser melhor do que o silêncio prolongado, que alimenta especulações e mina a confiança.
O caso atribuído à FGV mostra como instituições de ensino e pesquisa, antes vistas como alvos secundários, tornaram-se prioridade para grupos de ransomware. Elas concentram grande volume de dados pessoais, acadêmicos e estratégicos, além de operarem em ambientes heterogêneos, com múltiplas unidades, sistemas legados e grande rotatividade de usuários. Sem uma estratégia de cibersegurança robusta e atualizada, esse cenário acaba se transformando em terreno fértil para ataques cada vez mais sofisticados.
Enquanto não há uma posição oficial detalhada da FGV sobre o episódio específico e a extensão efetiva do vazamento, o caso serve de alerta para todo o setor educacional e para organizações que lidam com dados em larga escala. A tendência é que grupos como o DragonForce continuem a explorar vulnerabilidades, especialmente em instituições que ainda tratam cibersegurança como um tema secundário, e não como um pilar essencial da continuidade de negócios e da proteção de dados.