Grupo ligado ao Irã destrói sistemas e backups

Uma campanha de intrusão ligada ao Ministério de Inteligência e Segurança do Irã atingiu organizações nos Estados Unidos, Israel, Arábia Saudita e Turquia, com exfiltração de dados em todos os casos e operações destrutivas em um subconjunto das vítimas. A atividade veio a público no final de março e início de abril de 2026, após uma persona pró-iraniana chamada Ababil of Minab reivindicar o comprometimento da autoridade de transporte metropolitano do condado de Los Angeles, destruindo sistemas e exfiltrando dados.

De acordo com a equipe de inteligência de ameaças da Gambit Security, a persona provavelmente não é um novo grupo hacktivista independente como alega. Evidências forenses conectam a operação atual a infraestrutura e atividades associadas a uma campanha anterior ligada ao Irã, incluindo atividade atribuída pelo Diretório Nacional Cibernético de Israel ao Ministério de Inteligência e Segurança iraniano. Os pesquisadores recuperaram ferramentas personalizadas de exfiltração usadas pelos atacantes e identificaram vítimas adicionais em Israel e na Turquia.

A investigação revelou que os invasores deletaram máquinas virtuais, bancos de dados e volumes de armazenamento, tanto automaticamente por meio de scripts quanto por atividade manual no teclado. Cada técnica introduz um desafio diferente de recuperação, exigindo processos separados de remediação e restauração. Os atacantes também miraram especificamente a infraestrutura de backup para comprometer a capacidade das organizações de se recuperarem.

Estratégia de negação de recuperação

Os especialistas explicam que combinar múltiplas técnicas destrutivas é uma estratégia de negação de recuperação. Máquinas virtuais deletadas precisam ser reconstruídas a partir de imagens, volumes de armazenamento deletados restaurados de cópias externas, e infraestrutura de backup comprometida reconstruída do zero. Isso força processos separados de remediação a operarem em paralelo, prolonga o tempo de inatividade e aumenta a chance de que pelo menos um caminho falhe.

O relatório ressalta que a habilidade necessária para executar ataques destrutivos nessa escala está diminuindo. À medida que capacidades de IA para operações ofensivas se tornam mais amplamente disponíveis, o mesmo manual se torna acessível a atores menos qualificados. A empresa afirma que a questão que cada operador precisa fazer não é apenas se consegue manter os invasores do lado de fora, mas, quando eles entrarem, se conseguirá trazer os sistemas de volta.