Um incidente de segurança envolvendo um infostealer comprometeu as credenciais de um servidor do governo central paraguaio, viabilizando o acesso de cibercriminosos a sistemas altamente sensíveis que armazenavam dados pessoais da quase totalidade da população do país.
Os cibercriminosos demandaram ao governo do Paraguai um resgate de US$ 7 milhões pelos dados.
Diante da recusa do governo em pagar, grande parte desses dados começou a ser divulgada na dark web.
Notícias relacionadas destacam que o Paraguai foi alvo de ciberataques subsequentes ao hackeamento da operadora Tigo e registraram um crescimento de 15% em ataques por ransomware na América Latina.
O vazamento foi inicialmente reportado pela Resecurity em 12 de Junho através de um alerta, apontando que: "cibercriminosos colocaram à venda na internet informações sobre a população paraguaia, pedindo US$ 7,4 milhões de resgate, o que equivale a aproximadamente US$ 1 por cidadão.
Um grupo operando com ransomware está chantageando o país todo no que parece ser um dos mais significativos incidentes de cibersegurança já registrados na nação, com um prazo simbólico estabelecido para sexta-feira, 13 de junho de 2025." A Resecurity também apontou que os primeiros sinais de problemas de segurança cibernética no país foram identificados quase dois anos antes, quando um dos sistemas governamentais afetados foi invadido, sem que informações tivessem sido divulgadas ao público até então.
A investigação conduzida pela Resecurity sugere que os dados foram exfiltrados de ao menos três sistemas governamentais.
Amostras desses dados indicam a implicação de entidades como o Tribunal Superior de Justiça Eleitoral do Paraguai (TSJE).
A magnitude dessa violação é sem paralelos – afetando uma população que gira em torno de 6,8 a 7 milhões de habitantes, alcançando não só cidadãos atuais mas também pessoas falecidas e imigrantes.
Pesquisadores da companhia Hudson Rock, especialistas em infostealers, profundaram na investigação sobre a origem da violação.
De acordo com o relatório, "nossas análises sugerem uma infecção por infostealer no dispositivo de um funcionário público que tinha acesso corporativo ao domínio rve.mspbs.gov.py, um sistema associado ao Ministério da Saúde Pública e Bem-Estar Social do Paraguai.
As credenciais comprometidas foram capturadas pelo Redline Infostealer em abril de 2023.
Utilizando essas credenciais, a Brigada Cyber PMC conseguiu acesso não autorizado a sistemas críticos, possibilitando o desvio do vasto banco de dados".
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...