Hackers despejam 1,5 TB em dados atribuídos à FGV após ataque de ransomware
O grupo de ransomware DragonForce publicou, em sua página de vazamentos na dark web, um pacote com nove conjuntos de arquivos que, segundo os próprios criminosos, somam aproximadamente 1,5 terabyte de informações vinculadas à Fundação Getulio Vargas (FGV). Cada um desses conjuntos é apresentado como um link de pasta contendo uma grande variedade de documentos.
Entre os materiais expostos há planilhas, documentos de texto, apresentações, PDFs e outros tipos de arquivo. Um dos diretórios, identificado como “Users”, traz a lista de 108 usuários. Para cada nome há mais pastas e arquivos associados, sugerindo que estas contas podem estar relacionadas a perfis de funcionários, professores ou outros colaboradores da instituição.
Grande parte do conteúdo parece pertencer à esfera acadêmica e administrativa da FGV. Os nomes dos arquivos indicam, em vários casos, ligação com atividades didáticas: há menções a enunciados de questões, soluções de provas e materiais que, em tese, não deveriam circular fora dos ambientes internos da instituição. Isso levanta preocupações não apenas sobre a confidencialidade, mas também sobre a integridade de processos avaliativos e de gestão acadêmica.
O volume de 1,5 TB, embora impressione à primeira vista, hoje pode caber facilmente em um único computador pessoal. Um desktop comum já alcança essa capacidade de armazenamento, enquanto servidores corporativos geralmente dispõem de muito mais espaço. Esse dado abre a possibilidade de que apenas uma máquina – entre milhares presentes na infraestrutura da FGV – tenha sido comprometida inicialmente, servindo como ponto de partida para a exfiltração de dados.
A reportagem entrou em contato com a Assessoria de Imprensa da FGV para saber se a instituição reconhece o incidente e o vazamento. Em resposta, a assessoria afirmou que “não há informação sobre esse assunto até o momento” e que o caso estaria sendo verificado internamente. A postura cautelosa é comum em situações desse tipo, sobretudo enquanto as equipes técnicas ainda tentam dimensionar o impacto real ou confirmar a extensão da invasão.
Apesar da ausência de confirmação oficial, já havia sinais públicos de problemas. Entre os dias 19 e 20 de fevereiro, a FGV teria sofrido um incidente cibernético, de acordo com nota publicada na coluna de Lauro Jardim, em O Globo. O texto informava que a fundação foi alvo de um ataque de hackers em uma quinta e sexta-feira e que todos os sistemas teriam saído do ar. Alguns ambientes teriam retomado o funcionamento em seguida, mas não havia previsão para a normalização completa.
É plausível que esse episódio de indisponibilidade dos sistemas esteja ligado ao ataque atribuído ao DragonForce. Em muitos casos de ransomware, a primeira fase do ataque envolve justamente o comprometimento da rede, seguido por movimentação lateral, exfiltração de dados e, por fim, criptografia de sistemas críticos. A interrupção total ou parcial das operações costuma ser uma tentativa da própria instituição de conter o avanço da contaminação, isolar máquinas, aplicar correções e restaurar serviços a partir de backups.
Corroborando esse cenário, o comunicado de vazamento na página do DragonForce foi publicado em 2 de março e trazia um contador regressivo com prazo de dez dias para negociações. Esse tipo de contagem é uma prática padrão em campanhas de ransomware: o grupo anuncia que dispõe de dados roubados e concede determinado período para que a vítima pague o resgate, sob ameaça de divulgação pública. O despejo dos arquivos atribuídos à FGV ocorreu exatamente ao fim desse prazo, o que normalmente indica que não houve acordo ou pagamento.
Quando os dados são liberados na íntegra, a mensagem implícita dos criminosos é dupla. De um lado, eles buscam pressionar a instituição atingida por meio de dano reputacional, exposição de informações sensíveis e eventual responsabilização legal. De outro, tentam consolidar sua imagem perante outras vítimas em potencial, mostrando que “cumprem” a ameaça de publicar tudo quando o resgate não é pago, o que visa aumentar o poder de chantagem em ataques futuros.
O DragonForce não atua apenas como um grupo isolado, mas como um serviço de ransomware estruturado no modelo RaaS (ransomware as a service). Nesse formato, a organização criminosa desenvolve e mantém a infraestrutura técnica – painéis de controle, sistemas de criptografia, mecanismos de comunicação e hospedagem de dados roubados – e a disponibiliza para afiliados, que são responsáveis pela invasão efetiva das redes das vítimas.
Esses afiliados podem incluir hackers especializados em exploração de vulnerabilidades e também os chamados “Agentes de Acesso Inicial” (IABs, na sigla em inglês). Esses agentes se dedicam exclusivamente a obter pontos de entrada em empresas – por exemplo, credenciais vazadas, acessos VPN, RDP exposto ou falhas não corrigidas em aplicações – e depois vendem esse acesso ao grupo ou a outros cibercriminosos. O DragonForce, segundo relatos, costuma ficar com cerca de 20% do valor pago em resgates, enquanto o afiliado responsável pelo ataque recebe cerca de 80%.
O grupo surgiu em 2023 e, em poucos anos, ganhou visibilidade no submundo do cibercrime, especialmente a partir de 2025, depois de uma sequência de ataques que chamou a atenção de especialistas em segurança. Embora haja poucas informações confirmadas sobre sua origem, a velocidade de expansão e o modelo agressivo de afiliação colocam o DragonForce no radar das principais equipes de resposta a incidentes ao redor do mundo.
As principais rotas de entrada utilizadas por grupos como o DragonForce costumam incluir exploração de vulnerabilidades em sistemas não atualizados, credenciais fracas ou reutilizadas, serviços expostos na internet sem as devidas camadas de proteção e ataques de phishing bem elaborados. Em ambientes acadêmicos e institutos de pesquisa, em que há alta rotatividade de usuários, uso de múltiplas plataformas e, muitas vezes, menor padronização de dispositivos, a superfície de ataque tende a ser ainda maior.
No contexto de instituições de ensino e pesquisa, o impacto de um vazamento desse porte vai muito além do dano imediato à imagem. Questões como exposição de dados pessoais de alunos, professores e funcionários, eventuais informações financeiras e documentos estratégicos podem desencadear investigações, ações judiciais e sanções regulatórias, especialmente à luz da Lei Geral de Proteção de Dados (LGPD). Além disso, a publicação de provas, gabaritos e materiais internos ameaça diretamente a credibilidade de processos seletivos, concursos e avaliações.
Outro ponto sensível é a percepção de segurança por parte da comunidade acadêmica e do público em geral. Quando uma instituição de referência é alvo de um ataque que resulta em grande vazamento, cresce a pressão por transparência na comunicação e por adoção de medidas concretas de reforço à segurança, como revisões de políticas de acesso, segmentação de redes, autenticação multifator e auditorias periódicas de sistemas críticos.
A menção, no debate mais amplo, à falsa sensação de segurança em ambientes de nuvem e aplicações SaaS também se torna relevante. Muitas organizações acreditam que, por utilizarem serviços em nuvem, seus dados estão automaticamente protegidos e com backup garantido. Na prática, o modelo de responsabilidade compartilhada determina que o provedor cuida da infraestrutura, mas a proteção, classificação e o ciclo de vida dos dados continuam sendo responsabilidade do cliente. Sem políticas claras de backup, retenção, criptografia e controle de acesso, mesmo dados em SaaS podem ser facilmente extraídos ou apagados por invasores.
Casos como o ataque atribuído ao DragonForce reforçam algumas lições essenciais para qualquer organização que queira mitigar riscos:
1. Manter inventário atualizado de sistemas e serviços expostos, com aplicação rápida de correções de segurança.
2. Adotar autenticação multifator em acessos remotos e em painéis administrativos críticos.
3. Implementar segmentação de rede para impedir que o comprometimento de uma máquina leve, rapidamente, à contaminação de toda a infraestrutura.
4. Ter políticas robustas de backup, com cópias offline e testes periódicos de restauração.
5. Investir em monitoramento contínuo, com detecção de comportamentos anômalos e resposta rápida a incidentes.
No caso específico da FGV, ainda não está claro se os dados divulgados são a totalidade do que foi extraído ou apenas uma parcela selecionada para aumentar a pressão. Também não se sabe ainda se há informações particularmente sensíveis, como bases completas de cadastros, dados financeiros ou contratos estratégicos, embora a presença de materiais didáticos e pastas associadas a usuários já seja, por si só, preocupante.
A tendência, nos próximos dias, é que análises independentes de especialistas em segurança tentem avaliar a natureza dos arquivos expostos, enquanto a instituição avança na sua própria investigação interna. Dependendo do conteúdo, podem surgir desdobramentos regulatórios, notificações a titulares de dados possivelmente afetados e necessidade de revisão de processos acadêmicos eventualmente comprometidos pelo vazamento.
Independentemente da extensão do dano, o episódio reforça a realidade de que o setor educacional e de pesquisa se tornou um alvo prioritário para grupos de ransomware, por combinar grandes volumes de dados valiosos, forte dependência de sistemas digitais e, muitas vezes, estruturas de segurança desatualizadas. Para instituições brasileiras, o caso serve como alerta para a urgência de encarar a cibersegurança como parte estratégica da gestão e não apenas como um custo tecnológico acessório.