Grupo Black Suit infecta divisão do governo e ameaça Presidência da República

O grupo de cibercriminosos conhecido como Black Suit, que opera o ransomware Royal, anunciou na tarde de quinta-feira (19) que conseguiu infectar "uma divisão do governo", especificamente a "Presidência da República", como detalhado em sua publicação. No site do grupo, foi informado que os dados obtidos eram "administrativos", mas até o momento, não há informações adicionais sobre o incidente.

Grupo Black Suit infecta divisão do governo

Tudo começou em maio deste ano, quando o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) recebeu alertas sobre uma nova onda de ataques de ransomware utilizando uma variante chamada "Royal Ransomware". De acordo com o Instituto Federal de São Paulo, essa variante, ativa desde pelo menos setembro de 2022, estava empregando táticas de phishing, usando arquivos PDF infectados para infiltrar-se nas redes, além de explorar vulnerabilidades em protocolos inseguros, como o RDP.

As credenciais de VPN também são usadas como ponto inicial de ataque. O Royal Ransomware, além de direcionar as redes tradicionais baseadas no sistema Windows, tem como alvo sistemas Linux e servidores ESXi, podendo impactar até mesmo datacenters corporativos. A operação desse ransomware envolve o uso de várias técnicas de tunelamento para se comunicar com servidores de comando e controle.

Dessa forma, os criminosos conseguem baixar e instalar várias ferramentas que permitem a movimentação lateral e a persistência, permitindo que o invasor execute operações avançadas na rede. Além da criptografia dos arquivos, o ransomware adota uma abordagem de dupla extorsão, exfiltrando dados corporativos e ameaçando divulgá-los publicamente, caso a vítima não pague o resgate exigido.

Sobre quais arquivos foram obtidos, o nível do ataque e o que tem sido feito pela equipe do governo, ainda não foi revelada nenhuma informação.