Imagina se o Metro SP ou o MetrôRio fossem hackeados e tivessem mais de 10 milhões de documentos simples apagados – foi isso que aconteceu em Los Angeles. Um grupo vinculado ao governo iraniano invadiu os sistemas do metrô de Los Angeles em março de 2026, destruiu centenas de servidores e roubou mais de 1 TB de dados internos. A conclusão é da empresa de cibersegurança Gambit Security.

O ataque foi reivindicado pelo Ababil of Minab, uma persona que se apresenta como um coletivo hacktivista pró-Irã. A Gambit concluiu que o grupo não é um time novo e independente, como alega. Evidências forenses ligam a operação ao Black Shadow, grupo iraniano atribuído pelo governo israelense ao Ministério de Inteligência e Segurança do Irã, o MOIS.

O Black Shadow é um grupo de hackers iraniano com histórico de ataques destrutivos contra alvos em Israel e em outros países. Diferente de grupos que buscam apenas roubar dados, o Black Shadow tem como marca registrada destruir sistemas depois de extrair as informações, e 0 Ababil of Minab seguiu exatamente esse padrão.

Como o ataque funcionou

Os invasores usaram dois métodos para destruir dados. No primeiro, rodavam scripts automatizados, basicamente programas que percorrem uma lista de sistemas e deletam tudo de forma sequencial. No segundo, o operador acessava os painéis de administração manualmente e ia apagando arquivos um por um, como um administrador de TI legítimo faria.

No caso do metrô de Los Angeles, os atacantes acessaram o vCenter, que é a plataforma usada para gerenciar máquinas virtuais em servidores corporativos. A partir daí, desligaram e deletaram as VMs diretamente do disco. Horas depois do ataque, o LA Metro publicou no Twitter que os passageiros estavam sem conseguir recarregar o cartão de transporte pelo aplicativo.

A autoridade de transporte confirmou o ataque em abril de 2026 e disse que centenas de servidores precisaram ser verificados antes de voltar a funcionar.

Outras empresas viraram alvo

O grupo não parou no metrô de Los Angeles. A Gambit identificou ataques contra a South Florida Regional Transportation Authority, outra autoridade de transporte público americana, e contra a empresa saudita UNIMAC. Nesse caso, os invasores apagaram volumes inteiros de disco e deletaram toda a cadeia de backups usando o Veeam Backup and Replication, um software corporativo de backup muito comum.

A americana Vyncs, que fornece rastreamento de veículos por GPS para consumidores, também foi atingida. Os atacantes rodaram um script em Python que deletou 58 bancos de dados SQL Server em sequência. 

A Gambit ainda identificou vítimas que o grupo não divulgou publicamente, entre elas uma empresa de mídia israelense, uma universidade em Israel e uma corretora de seguros na Turquia.

Como os dados foram roubados

Para exfiltrar dados antes de destruí-los, os atacantes usaram dois métodos. No primeiro, comprimiam os arquivos e faziam o upload direto dentro do site da própria vítima para baixar de fora depois. No segundo, usavam uma ferramenta personalizada chamada FileFiend, um programa em C++ capaz de varrer discos locais e pastas de rede e enviar tudo para um servidor controlado pelo grupo.

A Gambit também detectou que os invasores consultaram o ChatGPT para ajustar o script de destruição dos bancos de dados da Vyncs. Em uma sessão de navegador capturada nos vídeos publicados pelo próprio grupo, era possível ver o operador usando a IA para refinar o código.

A ligação com o governo iraniano foi estabelecida por infraestrutura compartilhada com uma operação anterior do Black Shadow, que criou um site falso de suporte psicológico para enganar soldados israelenses e instalar malware nos dispositivos deles.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.