Vazamento de dados do Governo Federal: grupo Killsec ameaça divulgar informações e autoridades negam falha

Vazamento de dados do Governo Federal tornou-se o centro de um impasse entre o grupo de ransomware Killsec, que afirma ter obtido documentos sigilosos, e autoridades brasileiras que negam qualquer comprometimento de sistemas públicos. A divulgação da suposta invasão foi feita no blog do coletivo na Dark Web, onde uma amostra reduzida de arquivos pessoais foi publicada e acompanhada por uma contagem regressiva para a liberação completa do material.

Primeiras informações sobre o vazamento de dados do Governo Federal

O anúncio do Killsec surgiu originalmente na segunda-feira, 15 de dezembro, em uma página mantida pelo grupo em ambiente oculto na internet. De acordo com essa publicação, os criminosos estariam na posse de registros pertencentes ao Governo Federal e planejavam disponibilizar todo o pacote vinte e quatro horas depois, exatamente às 19h25 do dia 16. Até o horário limite, o site continuava exibindo o status “em espera”, indicando que nenhum conteúdo adicional fora liberado além da amostragem inicial.

Na mensagem, o coletivo não especificou o volume total nem a procedência exata dos dados. A falta de detalhes técnicos foi compensada pela inclusão de poucos arquivos que, segundo eles, comprovariam a invasão. Esses elementos preliminares foram o ponto de partida para a tentativa de checar se havia, de fato, qualquer brecha em sistemas administrados pela União.

Quais documentos apareceram na divulgação do grupo Killsec

Entre os arquivos anexados estão duas Carteiras Nacionais de Habilitação (CNH) — uma em formato físico digitalizado e outra no formato PDF —, um Registro Nacional de Transportadores Rodoviários de Cargas (RNTRC) e a cópia de uma fatura de serviços de água e esgoto. A lista heterogênea chamou atenção porque não apresenta forte correlação entre si, nem esclarece a origem única dos dados. Além disso, o número reduzido de itens impede que se confirme qualquer linha de temporalidade ou padrão de extração.

Especialistas consultados pela reportagem original observaram ainda que a junção de um documento rodoviário com comprovantes de residência faz supor que parte das informações possa ter sido obtida em bases diferentes ou até mesmo em fontes externas ao poder público. Entretanto, essa avaliação permanece inconclusiva, pois o próprio Killsec não forneceu metadados, hashes ou qualquer evidência técnica que auxiliem na validação das amostras.

Resposta oficial: autoridades rejeitam vazamento de dados do Governo Federal

Diante da suspeita levantada, o Ministério dos Transportes foi questionado porque duas CNHs aparecem como prova da alegada invasão. Por meio de sua assessoria de comunicação, a pasta informou que a Secretaria Nacional de Trânsito (Senatran) revisou seus ambientes internos e não encontrou indicativos de extração não autorizada. Segundo a nota enviada, as imagens apresentadas pelo Killsec não se encontram nos repositórios administrados pela secretaria.

O posicionamento oficial detalhou ainda que a CNH em PDF é gerada diretamente pelo titular por meio do portal gov.br, reforçando a afirmação de que o arquivo poderia ter sido produzido externamente aos sistemas sob responsabilidade direta do Governo Federal. Já o documento físico digitalizado não passaria, segundo a Senatran, de uma cópia de carteiras que circulam fora do ambiente digital da autarquia.

Quem é o grupo Killsec e como ele opera

O Killsec se apresenta como um coletivo especializado em ataques de sequestro de dados, mais conhecidos como ransomware. Em seu site na Dark Web, os operadores deixam claro que não possuem alinhamento político, estabelecendo a busca por lucro como única motivação. Essa orientação fica evidente em frases que exaltam riqueza e estilo de vida luxuoso, espalhadas pelas páginas internas do domínio ilegítimo.

O grupo mantém ainda um Programa de Afiliados, esquema que recruta pessoas de diferentes países para participação em operações. O texto de apresentação descreve o interesse em formar um quadro de profissionais experientes em pentest — atividade legítima de teste de segurança —, mas também admite colaboração com indivíduos capazes de fornecer acesso privilegiado a redes alvo. Em situações em que parceiros internos abrem portas para a invasão, o Killsec afirma repartir 20% do resgate arrecadado.

Estratégias de ransomware e modelo de afiliados do Killsec

Segundo o manual informal publicado pelo próprio coletivo, os afiliados precisam de convite direto de um integrante e devem dedicar exclusividade ao projeto. Essa exigência, aponta o Killsec, seria necessária para assegurar “profissionalismo” em cada etapa de um ataque, da infiltração à negociação. Há também a distinção entre dois procedimentos: a criptografia completa de sistemas e o furto simples de dados.

A seleção da técnica depende, conforme o grupo, do perfil da vítima. Organizações consideradas críticas, como usinas hidrelétricas ou nucleares, não teriam seus arquivos encriptados, mas ainda poderiam ter informações exfiltradas. A mesma lógica se aplica a hospitais, onde a interrupção total de serviços poderia causar fatalidades. Nessas situações, o coletivo declara optar pelo roubo de dados sem paralisar as operações.

Critérios de seleção de alvos e exceções declaradas pelo grupo

Embora se declare “apolítico”, o Killsec demonstra postura ativa em relação a delegacias de polícia e outras autoridades legais. Esses órgãos são descritos como alvos preferenciais porque, na avaliação dos criminosos, não reconhecem o valor de auditorias de segurança pós-pagas e classificam tais ações como ilícitas. A intenção declarada é demonstrar falhas de rede e pressionar gestores a investir em defesas, ainda que mediante pagamento de multas ou resgates.

Outro critério divulgado é a exclusão de governos de Estados que fizeram parte da antiga União Soviética. Segundo o texto, a abstenção serviria para preservar as raízes dos fundadores e parceiros do grupo. Fora essa exceção, qualquer entidade governamental — inclusive o Brasil — torna-se alvo legítimo se houver perspectiva de ganho financeiro.

Próximos passos: prazo anunciado e status da ameaça de vazamento de dados do Governo Federal

O cronograma divulgado pelo Killsec marcou as 19h25 de 16 de dezembro como momento em que os arquivos completos seriam tornados públicos. Até a última verificação, a página permanecia sem atualização, listando a liberação como “pendente”. A continuidade dessa situação deixa em aberto se o grupo pretende prosseguir com a divulgação, se recuou diante da negativa oficial ou ainda tenta negociar algum tipo de resgate fora dos holofotes.

Assim, a próxima referência temporal é o próprio relógio do site, que segue em contagem estacionada. Qualquer mudança no status deve sinalizar se haverá liberação integral dos supostos dados ou se o anúncio não passará de uma tentativa de extorsão sem provas adicionais.