Quando uma cidade americana inteira foi paralisada por ransomware - A realidade do ciberataque de Saint Paul

Segurança
https://pt.andytips.com/posts/2025/saint-paul-ataque-ransomware-interlock-estudo-caso-2025/
Conteúdo da página

Em julho passado, um ataque de ransomware absolutamente devastador atingiu Saint Paul, Minnesota, causando um dos piores incidentes de cibersegurança na história municipal americana.
Todo o sistema de computadores da cidade foi paralisado, as comunicações de rede falharam, os cidadãos não conseguiam pagar suas contas de água, as bibliotecas perderam o acesso Wi-Fi e até os funcionários municipais não podiam trabalhar.

Descobriu-se que foi um ataque de ransomware orquestrado por um grupo de hackers chamado “Interlock.”
O mais revoltante é que quando a cidade se recusou a pagar suas exigências, esses criminosos publicaram 43GB de dados dos cidadãos na Internet.

Vamos examinar exatamente o que aconteceu e o que podemos aprender com isso.

Como tudo começou

Eu me deparei com essa história enquanto navegava por notícias de segurança.
Temos enfrentado ataques de ransomware na Coreia ultimamente, então estou de olho no que acontece em outros lugares. Mas isso? Isso foi outro nível.
Uma cidade americana inteira posta de joelhos. Eu não conseguia acreditar.

Você consegue imaginar como é ter uma cidade inteira paralisada?
Quando pensei nisso, foi realmente aterrorizante.
Todos os serviços digitais que consideramos naturais na vida diária se tornam inúteis de repente em um instante.
(Quer dizer, conseguimos ainda funcionar sem Internet hoje em dia?)

Cronologia do ataque

Veja como tudo se desenrolou, dia a dia.

  • 22 de julho de 2025: A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emite alerta sobre o grupo ransomware Interlock
  • 25 de julho de 2025: Os sistemas de segurança automatizados de Saint Paul detectam pela primeira vez “atividade suspeita” e o ataque começa
  • 25-27 de julho de 2025: O ataque continua durante todo o fim de semana, os danos ao sistema se intensificam
  • 27 de julho de 2025: As autoridades municipais desligam completamente todos os sistemas de informação para evitar mais danos
  • 28 de julho de 2025: Wi-Fi da Prefeitura e bibliotecas públicas desligado, ferramentas de pagamento online desativadas, acesso à rede interna suspenso (serviços de emergência 911 (número de emergência americano) permanecem operacionais)
  • 29 de julho de 2025: Prefeito Melvin Carter declara oficialmente estado de emergência local / Governador Tim Walz ativa equipe de proteção cibernética da Guarda Nacional de Minnesota / FBI lança investigação e implanta duas empresas de cibersegurança nacionais
  • 30 de julho de 2025: A cidade anuncia que os salários dos funcionários serão pagos normalmente apesar do fechamento do sistema de folha de pagamento
  • 1º de agosto de 2025: Conselho Municipal de Saint Paul decide unanimemente estender o estado de emergência por 90 dias
  • 8 de agosto de 2025: Processamento manual da folha de pagamento concluído, todos os funcionários pagos normalmente
  • 10 de agosto de 2025: Atacante identificado como grupo ransomware ‘Interlock’ oficialmente confirmado / Operação de recuperação “Operation Secure St. Paul” começa (redefinições de senha e verificações de equipamento para aproximadamente 3.500 pessoas)
  • 11 de agosto de 2025: Cidade anuncia oficialmente rejeição das demandas de resgate / Interlock se vinga publicando 43GB de dados roubados na dark web (principalmente documentos do Departamento de Parques e Recreação) / Anuncia serviço gratuito de monitoramento de crédito de 12 meses para todos os funcionários
  • 12 de agosto de 2025: Operação Secure St. Paul Fase 1 concluída (mais de 2.000 pessoas processadas)
  • Final de agosto de 2025: Serviços telefônicos, pagamentos de contas de água online, sistemas de pagamento de parques e recreação começam recuperação gradual

Julho 2025: Falha do sistema de Saint Paul

Os primeiros sinais suspeitos em Saint Paul foram detectados na manhã de sexta-feira, 25 de julho de 2025.
Os sistemas de segurança automatizados da cidade detectaram “atividade suspeita.” Mas já era tarde demais.

O ataque dos hackers continuou durante todo o fim de semana. De 25 a 27 de julho, toda a cidade estava essencialmente sob cerco digital.
Para prevenir mais danos, as autoridades municipais tomaram a drástica decisão de desligar todos os sistemas de informação no domingo, 27 de julho.

Quais foram as consequências?
O Wi-Fi da Prefeitura e das bibliotecas públicas foi completamente desligado, e os sistemas de pagamento online ficaram totalmente paralisados.
Os cidadãos não tinham como pagar suas contas de água.

Eles conseguiram manter o 911 (número de emergência americano) funcionando - o que, você sabe, é meio que crítico.
Mas todos aqueles outros serviços dos quais as pessoas dependem? Pagamentos de contas de água,
registros municipais, sistemas internos… tudo offline.

Estado de emergência

Em 29 de julho, o prefeito de Saint Paul, Melvin Carter, decidiu que não podiam aguentar mais.
Ele anunciou oficialmente que isso não era apenas um simples erro de sistema, mas sim “um ataque digital intencional e coordenado por atores externos sofisticados.”

Ele imediatamente declarou um estado de emergência local.
Isso mostra o quão grave a situação havia se tornado.

O governador de Minnesota, Tim Walz, também emitiu uma ordem executiva naquela noite, mobilizando a equipe de proteção cibernética da Guarda Nacional de Minnesota.
A razão oficial foi que “a escala e complexidade do ataque excederam as capacidades de resposta da cidade.”
Pense nisso - mobilizar a Guarda Nacional para um ataque cibernético em uma cidade… isso é absolutamente sem precedentes.

O FBI se envolveu. Duas grandes empresas de cibersegurança também. Todo mundo estava correndo desesperado.

A identidade do Interlock

Só em 10 de agosto a identidade dos atacantes foi revelada.
Em uma coletiva de imprensa, o prefeito Carter revelou que foi obra de um grupo de ransomware chamado “Interlock.” (O que, honestamente, levou muito mais tempo do que você pensaria.)

Interlock não é qualquer grupo de hackers.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) havia emitido um alerta sobre eles apenas três dias antes do ataque.
O prefeito Carter os descreveu como “uma organização sofisticada, motivada financeiramente, que tem como alvo corporações, hospitais e agências governamentais, roubando e vendendo terabytes de informações sensíveis.”

A demanda deles era simples:
Nos paguem dinheiro.

O valor exato? Ninguém está dizendo. Mas St. Paul não cedeu.
E foi aí que as coisas ficaram feias.

Represália e vazamento de dados dos cidadãos

Quando a cidade se recusou a pagar o resgate, a represália do Interlock começou.
Em 11 de agosto, eles publicaram 43GB de dados roubados de Saint Paul na Internet.

Felizmente, a maioria dos dados vazados eram de unidades compartilhadas do Departamento de Parques e Recreação.
Incluíam documentos de trabalho, cópias de identidades que os funcionários haviam enviado ao RH e até receitas de culinária pessoais - descritos como materiais “diversos e não sistemáticos.”

Mas sem saber o que mais poderia vazar, a cidade teve que tranquilizar seus cidadãos.
A cidade anunciou que forneceria a todos os funcionários 12 meses de monitoramento de crédito gratuito e serviços de proteção contra roubo de identidade.
Esta foi uma medida de precaução caso informações mais sensíveis tivessem sido comprometidas.

Lançamento da operação de recuperação

Para restaurar seus sistemas, Saint Paul lançou uma operação massiva.
Chamada “Operation Secure St. Paul,” este esforço exigiu que todos os aproximadamente 3.500 funcionários municipais se reunissem no porão do Roy Wilkins Auditorium e fizessem fila na frente de cerca de 80 computadores instalados lá.

Os funcionários tinham que apresentar suas identidades e números de funcionário, passar aproximadamente 30 minutos redefinindo senhas e passar por verificações de segurança em seus laptops de trabalho.
Este processo continuou por três dias, de 10 a 12 de agosto, das 6h às 22h.
Foi uma redefinição completa. Eles devem ter tido um momento incrivelmente difícil.

Somente após redefinir todas as informações de conta
eles puderam começar a reiniciar os sistemas um por um.

O que é ransomware?

Revisão rápida sobre ransomware, caso você não esteja familiarizado.

É basicamente sequestro digital.
O software se infiltra no seu sistema, bloqueia todos os seus arquivos importantes com criptografia e então - aqui está o truque - exige pagamento para desbloqueá-los.
Do tipo “pague ou perca tudo”.

Os atacantes de ransomware de hoje se tornaram mais astutos.
Eles não apenas criptografam arquivos - eles roubam dados importantes antecipadamente.
Então, quando as vítimas se recusam a pagar, eles adicionam outra ameaça: “Então vamos publicar as informações pessoais de seus clientes ou cidadãos na Internet.”

Isso se chama “Extorsão Dupla.”

Os motivos dos criminosos

Então, por que esses criminosos investem tanto tempo e esforço nessas infecções?

Dinheiro, obviamente.
Esses ataques geram muito dinheiro - estamos falando de centenas de milhares, às vezes milhões por ataque. Quando você tem como alvo hospitais ou governos municipais, o retorno pode ser massivo.
É por isso que todo mundo está entrando nessa onda.

Depois tem toda essa questão do RaaS - Ransomware as a Service.
Pense em modelo de franquia: grandes grupos como Interlock constroem as ferramentas, hackers menores
executam os ataques reais, todos dividem os lucros.
Um arranjo tipo “eu cuido da tecnologia, você faz o trabalho sujo”.

A criptomoeda também facilitou as coisas.
Pagamentos em Bitcoin são quase impossíveis de rastrear, então os criminosos se sentem muito mais seguros exigindo resgates dessa forma.

E honestamente? Ainda há toneladas de alvos fáceis por aí.
Governos locais, pequenas empresas - muitos não investem o suficiente em segurança.
Eles pensam “não vai acontecer conosco” até que acontece.
Então é tarde demais.

E ainda há muitos alvos com cibersegurança fraca.
Especialmente governos locais e pequenas empresas frequentemente têm investimentos de segurança insuficientes, facilitando a penetração dos hackers.
Eles pensam “nada grave vai nos acontecer…” e ficam complacentes, depois são completamente devastados quando são atacados uma vez.

Aqui está a questão sobre cibersegurança: Se um hacker realmente quer entrar,
eventualmente ele vai conseguir. Todo sistema tem vulnerabilidades.
A questão não é “eles podem invadir?” mas “quanto tempo vai levar?” Uma segurança forte te dá tempo - às vezes o suficiente para que eles desistam e sigam em frente.

O que podemos fazer

Então, como podemos nos proteger de tais ataques?

Backups são sua rede de segurança.
Armazene cópias de arquivos importantes em discos externos ou armazenamento na nuvem - em algum lugar separado do seu sistema principal.
Dessa forma, se o ransomware atingir, você não está completamente ferrado.
Só uma coisa: não deixe discos de backup permanentemente conectados ao seu computador.
Eles também podem ser criptografados se o malware se espalhar.
Sim, é um pouco chato desconectá-los toda vez, mas vale a pena.

Mantenha tudo atualizado.
Eu sei, eu sei - notificações de atualização são irritantes.
Mas esses patches de segurança existem por uma razão.
Quando seu sistema operacional ou software solicita atualização, não adie.
Hackers procuram especificamente por sistemas rodando software desatualizado com vulnerabilidades conhecidas.
Adquira o hábito de instalar atualizações assim que estiverem disponíveis.

Trate e-mails suspeitos como veneno.
Aqui está a questão - a maioria dos ransomwares não aparece magicamente no seu computador.
Ele precisa que você o deixe entrar, geralmente através de um e-mail de phishing.
Aquele anexo de alguém que você não conhece? Delete.
Aquele link em uma mensagem estranha? Não clique.
Se algo parecer estranho em um e-mail, provavelmente é.
Confie nos seus instintos.

Use senhas fortes e habilite autenticação de dois fatores.
Senha diferente para cada conta - sim, é chato lembrar de todas, mas é para isso que existem gerenciadores de senhas.
E ative a autenticação de dois fatores onde for possível.
Ela adiciona uma camada extra que torna a vida muito mais difícil para os atacantes tentando invadir suas contas.

Torne-se um alvo difícil.
Aqui está algo que especialistas em segurança sabem: se um hacker determinado realmente quer entrar em um sistema específico, eventualmente ele encontrará um jeito.
Mas aqui está a boa notícia - a maioria dos hackers não é tão paciente.
Eles procuram vitórias fáceis, não desafios.
Então empilhe as medidas de segurança.
Senhas fortes, autenticação de dois fatores, software atualizado, configurações de firewall - tudo.
Torne seu sistema chato o suficiente para invadir, e os hackers geralmente passarão para alvos mais fáceis.
Eles estão administrando um negócio, afinal.
Tempo é dinheiro, até para criminosos.

Consciência de segurança diária

Na verdade, me peguei refletindo muito enquanto pesquisava este incidente de Saint Paul.
Acho que tenho sido muito complacente sobre cibersegurança na minha vida diária.

Nossas vidas diárias são inseparáveis da tecnologia digital, certo?
De banco online a compras, redes sociais e trabalho…
Quase tudo é feito online, mas nosso interesse em segurança tem sido deficiente.

Especialmente o pensamento “quem hackearia uma pessoa comum como eu?” parece realmente perigoso.
O ransomware frequentemente se espalha indiscriminadamente em vez de ter como alvo indivíduos específicos.
É como lançar uma rede ampla para pegar qualquer peixe que caia.

Também percebi que se eu for atacado, não devo esconder ou tentar resolver sozinho.
Como Saint Paul fez, devo pedir ajuda abertamente e trabalhar com especialistas para resolver.

Através deste incidente de ransomware de Saint Paul, ganhei uma nova apreciação por quão importante é a cibersegurança.
Foi chocante que uma cidade inteira pudesse ser paralisada, e assustador que tais ataques estejam se tornando cada vez mais sofisticados.

Então sim, essa é a história de St. Paul. Assustador, né?

Como está sua configuração de segurança? Tem histórias de terror ou dicas para compartilhar?
Deixe nos comentários - adoraria ouvir o que vocês todos pensam sobre tudo isso.