São Paulo — InkDesign News — Um homem iraniano, Sina Gholinejad, admitiu seu papel em uma operação internacional de ransomware que causou danos de dezenas de milhões de dólares e impactou severamente serviços públicos em várias cidades dos Estados Unidos. Ele se declarou culpado em 27 de maio de 2025, em um tribunal americano, em relação ao uso do ransomware Robbinhood.
Incidente e vulnerabilidade
O ataque iniciados por Gholinejad e seus co-conspiradores no início de 2019 explorou vulnerabilidades em redes de instituições e empresas, utilizando ferramentas como o ransomware Robbinhood para criptografar arquivos essenciais. Os atacantes se utilizaram de técnicas de “chain-hopping” para ocultar suas atividades e frequentemente demandavam resgates em Bitcoin. Uma das vulnerabilidades conhecidas utilizada nessas operações foi o exploit EternalBlue, que ficou famoso após a divulgação pelo grupo Shadow Brokers em 2017. Este exploit tem sido um vetor chave em ataques cibernéticos, incluindo o NotPetya e o WannaCry.
Impacto e resposta
As consequências desses ataques foram devastadoras para várias cidades, como Baltimore, que enfrentou uma perda de mais de 19 milhões de dólares e a interrupção de serviços essenciais, incluindo a incapacidade de processar pagamentos de impostos e contas de serviço público. Gholinejad e seus parceiros também usaram táticas de extorsão, capitalizando a notoriedade adquirida com seus ataques para coagir outras vítimas a pagarem resgates. O Departamento de Justiça dos EUA destacou que esses ataques representavam uma séria ameaça à segurança das comunidades.
Esses ataques foram um ataque direto às comunidades, interrompendo vidas e administrações locais.
(“These attacks were a direct assault on communities, disrupting lives and local governments.”)— Porta-voz do Departamento de Justiça dos EUA
Mitigações recomendadas
Para mitigar riscos similares, recomenda-se que instituições adotem patches rigorosos para vulnerabilidades conhecidas, como a CVE-2017-0144, associada ao EternalBlue. Boas práticas incluem a implementação de políticas de backup robustas, o uso de autenticação multifatorial e a capacitação contínua da equipe em segurança da informação. Além disso, é essencial o monitoramento contínuo de tráfego digital para detectar atividades suspeitas em tempo real.
A identificação e responsabilização de exploradores da infraestrutura online são cruciais para a segurança.
(“Law enforcement agencies are determined to identify and hold accountable those who exploit online infrastructure.”)— Autoridade de Segurança da Informação
Diante dos ataques de ransomware, riscos residuais permanecem, e ações proativas são necessárias para garantir a integridade das redes e sistemas. A colaboração internacional entre agências de segurança é vital para prevenir futuras ocorrências de cibercrime.
Fonte: (Hack Read – Segurança Cibernética)
