Armênia detém turista russo por mandado dos EUA ligado ao hacker REvil, mas advogados dizem que ele é a pessoa errada
17 de Julho de 2026

A Armênia mantém desde 28 de junho, em um centro de detenção, um turista russo chamado Aleksandr Ermakov, atendendo a um pedido de extradição dos Estados Unidos que mira um suspeito ligado ao ransomware REvil.

A esposa dele, Maria Yurova, afirmou à REN TV que agentes da fronteira o retiraram da sala de embarque no aeroporto Zvartnots, em Erevan, mostraram um telefone com uma foto dele retirada de sua página no VKontakte e o levaram para uma sala lateral.

Os advogados dizem que Washington prendeu a pessoa errada.

O Ermakov que os Estados Unidos querem é Aleksandr Gennadievich Ermakov, alvo de sanções da Austrália, dos EUA e do Reino Unido em janeiro de 2024 por roubar 9,7 milhões de registros da Medibank Private, uma das maiores seguradoras privadas de saúde da Austrália, e divulgar parte desses dados na dark web.

Segundo a TASS e documentos do caso que dois veículos russos dizem ter consultado, ele também cumpre uma pena de dois anos na Rússia, que o impede de deixar o país.

Já o homem preso na Armênia, dizem os advogados, é Aleksandr Yuryevich Ermakov, de Omsk, ex-advogado do sistema prisional que não fala inglês.

Ermakov é acusado de participar de ataques do Sodinokibi/REvil entre abril de 2019 e 12 de julho de 2021, com mais de 1.000 vítimas entre empresas privadas, forças de segurança, órgãos públicos, escolas e hospitais, inclusive no Distrito Norte do Texas.

Essa informação consta do documento de acusação dos EUA, que a RIA Novosti afirma ter em mãos.

O aviso da Interpol, baseado nesse material e que a Izvestia diz possuir, vai além: aponta um dos administradores da plataforma, com lucro superior a US$ 13,7 milhões.

O Channel Five data o mandado do tribunal federal desse distrito em 26 de junho, dois dias antes da prisão.

A Medibank foi invadida em outubro de 2022, 15 meses depois do período citado, e os EUA nunca anunciaram uma acusação contra Ermakov por esse episódio.

A designação do Departamento do Tesouro o colocava na periferia do REvil, como um ator “acreditado estar ligado” ao grupo.

Já o aviso o coloca no centro da operação.

Esse tribunal já tratou de casos do REvil antes: em 2021, o Departamento de Justiça acusou Yevgeniy Polyanin ali por ataques Sodinokibi/REvil a empresas e entidades governamentais do Texas em ou por volta de 16 de agosto de 2019.

Passaportes russos trazem um patronímico, e é esse elemento que distingue um Aleksandr Ermakov de outro.

A lista consolidada da Austrália inclui isso: Aleksandr Gennadievich Ermakov, nascido em 16 de maio de 1990.

O registro do Reino Unido também traz essa informação.

O da OFAC, não.

O registro SDN o descreve assim: ERMAKOV, Aleksandr, Moscou, data de nascimento 16 de maio de 1990, masculino, um endereço no Yandex, quatro identificadores, blade_runner, GistaveDore, GustaveDore e JimJones.

Nome e sobrenome, sem nada entre eles.

O conteúdo exato do aviso da Interpol não é público.

Dylan Rajavi, um dos advogados do detido, disse à Izvestia que a tese da defesa é de que a documentação dos EUA trazia apenas nome e sobrenome, e que uma checagem automatizada fez o resto.

Ele também afirmou que há formas padronizadas de confirmar a identidade de uma pessoa, como impressões digitais ou dados completos do passaporte, e que nenhum desses elementos foi apresentado.

“Só existe um mandado de prisão”, disse ele.

Essa é a versão da defesa, não uma conclusão.

As autoridades armênias não se pronunciaram, o Departamento de Justiça dos EUA não anunciou acusações e nenhum dos veículos russos que afirma ter os documentos explica como os obteve.

Também não são tantos veículos quanto parecem: Izvestia, REN TV e Channel Five pertencem ao National Media Group, e a redação da Izvestia tem abastecido os outros dois com notícias desde 2017.

O homem segue detido por uma ordem de retenção de 30 dias da Interpol, enquanto Moscou pede a Yerevan acesso consular.

### De onde veio o nome

A diretoria de sinais e a polícia federal da Austrália passaram 18 meses na Operação Aquila antes de identificá-lo.

E a ligação entre o Ermakov sancionado e o SugarLocker não passa pela mídia estatal russa.

Depois que a Austrália divulgou os apelidos, a Intel 471 revisitou anos de dados de fóruns coletados.

SHTAZI e shtaziIT estavam entre os nomes usados por Ermakov, segundo o relatório, e seu alias JimJones havia passado 2019 e 2020 no fórum Exploit oferecendo desenvolvimento de malware e um estúdio de desenvolvimento chamado Shtazi-IT.

Um mês depois, a polícia russa informou ter desarticulado a equipe de ransomware SugarLocker que operava por trás da Shtazi-IT, com @GustaveDore no campo de contato de seus anúncios de emprego para desenvolvedor.

Um fornecedor dos EUA e o Ministério do Interior da Rússia chegaram ao mesmo endereço comercial por caminhos opostos.

Em outubro de 2024, um tribunal de Moscou condenou Ermakov a dois anos de restrição de liberdade com base no artigo 273, parágrafo 2, da lei russa sobre malware, por coescrever o SugarLocker e vendê-lo a um comprador com um painel de controle via Tor.

Documentos do caso vistos pela Izvestia dizem que ele confessou e que o processo tramitou pelo procedimento sumário da Rússia.

“Ermakov foi condenado a dois anos de restrição de liberdade”, disse à TASS, na quinta-feira, uma fonte das forças de segurança.

O prazo ainda não terminou.

Agora, o tribunal da Armênia ainda precisa decidir se envia o outro Ermakov para Dallas.

O irmão dele disse à RIA na sexta-feira que a família espera que isso aconteça.

Entre sanções de 2,5 anos, uma operação de inteligência de 18 meses e um novo mandado dos EUA, apenas um Aleksandr Ermakov acabou preso, e os advogados dizem que é a pessoa errada.

O nome do Ermakov citado no mandado está em casa, apresentando-se uma vez por mês ao serviço penitenciário onde o homem da cela passou a carreira trabalhando.

Publicidade

Um novo caminho a ser seguido

Vibecoding cria 10x mais sistemas, 20x mais vulneráveis. E quem ganha com isso é a galera do hacking ético e pentest. Quer ser pago para invadir sistemas? Então você tem que aprender com a Solyd que são os melhores do Brasil. Saiba mais...