O grupo de ransomware DragonForce publicou hoje em sua página de vazamentos na dark web um conjunto de nove links que, segundo os cibercriminosos, contém cerca de 1,5TB de dados que pertencem à Fundação Getúlio Vargas. Os links conduzem a pastas que armazenam arquivos de variados tipos, como planilhas, documentos de texto, apresentações, PDFs e outros. Um dos links, chamado “ Users”, contém o nome de 108 pessoas, e cada um deles conduz também a pastas e arquivos. Muito desse material está relacionado à área didática da FGV e tem nomenclatura que pode indicar conteúdo sensível para essa área. São nomes que remetem a soluções de provas e enunciados de questões.

em seu site de vazamentos na dark web
Como atualmente qualquer PC pode ter uma capacidade de armazenamento de 1,5 TB – enquanto a de um servidor pode ser muito maior – é possível que apenas um dos milhares de PCs da organização tenha sido comprometido. O CISO Advisor solicitou à Assessoria de Imprensa da FGV informações sobre o assunto. Embora até a Folha de S. Paulo já tenha publicado essa notícia, a Assessoria respondeu “Não temos informação sobre esse assunto até o momento. Estamos verificando internamente”.
No entanto, entre os dias 19 e 20 de Fevereiro, a FGV teria sido vítima de um incidente cibernético segundo a coluna do jornalista Lauro Jardim, de O Globo. A nota dizia apenas: “A Fundação Getúlio Vargas foi alvo de um ataque de hackers na quinta-feira e sexta-feira passada. Todos os sistemas foram derrubados. Alguns já voltaram a funcionar. Não há ainda previsão para o restabelecimento total dos sistemas”. É possível que esse incidente tenha sido causado pelo ataque inicial do DragonForce, prejudicando toda a rede da organização. É possível que a interrupção da rede tenha sido feita para correções – uma contaminação total da rede da FGV dificilmente seria corrigida num intervalo tão curto.
O post do ransomware foi publicado no dia 2 de Março, contendo um contador regressivo que indicava o prazo de dez dias apresentado pelos ocibercriminosos para as negociações. O material da FGV foi despejado hoje, ao final desse prazo. Quando isso acontece, significa normalmente que os cibercriminosos não receberam o resgate que exigiram da organização.
Mais do que um grupo, o DragonForce é um verdadeiro serviço de ransomware – ele opera como serviço (RaaS), ou seja, sua plataforma é utilizada para cibercriminosos. O grupo recruta hackers experientes e Agentes de Acesso Inicial (IABs) para realizar ataques usando a infraestrutura do DragonForce, que geralmente fica com 20% do resgate, deixando 80% para o afiliado.
Seus prinicipais meios de entrada nas redes são os seguintes:
- Phishing e Engenharia Social (Vetor Principal): os afiliados frequentemente usam e-mails de spearphishing com links ou anexos maliciosos (por exemplo, documentos do Office comprometidos).
- Alvo em Helpdesks de TI: os atacantes se fazem passar por funcionários para entrar em contato com os helpdesks de TI, solicitando redefinições de senha ou burlando a autenticação multifator (MFA) para obter credenciais válidas.
- Exploração de Vulnerabilidades: são exploradas vulnerabilidades conhecidas em aplicativos expostos à internet, especificamente:
- Ivanti Connect Secure/Policy Secure: Exploração de falhas de bypass de autenticação e injeção de comandos (CVE-2023-46805, CVE-2024-21887, CVE-2024-21893).
- Apache Log4j2 (Log4Shell): (CVE-2021-44228).
- SimpleHelp RMM: Utilização de software de suporte remoto sem patches para execução remota de código (RCE).
- Ataques de preenchimento de credenciais em RDP e VPN: Ataques de força bruta ou uso de credenciais comprometidas para fazer login em serviços de Protocolo de Área de Trabalho Remota (RDP) e VPN.
O DragonForce apareceu em 2023 e ganhou destaque em 2025, após uma série de ataques notáveis . Apesar de suas origens incertas, o que é evidente é sua rápida evolução e seu modelo agressivo, baseado em afiliados, o que o caracteriza como uma ameaça crescente a ser monitorada.






