O Conselho da Europa tornou-se a vítima mais recente de uma ofensiva cibernética em larga escala conduzida pelo grupo ShinyHunters. Segundo reportagem do The Register, o ataque resultou no vazamento de cerca de 297 GB de dados, que incluem registros de recursos humanos, folhas de pagamento, contracheques e informações bancárias, médicas e fiscais de funcionários.

A invasão foi viabilizada pela exploração de uma vulnerabilidade zero-day no software Oracle PeopleSoft, catalogada como CVE-2026-35273. Em resposta ao incidente, um porta-voz do Conselho da Europa afirmou que a organização está avaliando a situação, embora não tenha fornecido detalhes adicionais sobre o impacto ou medidas de contenção adotadas até o momento.

A mecânica da exploração em massa

O modus operandi do ShinyHunters revela uma estratégia focada na escala. Ao identificar uma falha crítica no Oracle PeopleSoft, o grupo conseguiu comprometer mais de 100 organizações distintas através de 300 instâncias vulneráveis do software. A eficácia dessa abordagem reside na exploração automatizada de endpoints que permanecem expostos na rede sem a aplicação dos patches de segurança necessários.

Relatórios recentes do Google sobre ameaças cibernéticas corroboram a gravidade da situação. Entre o final de maio e o início de junho, foram detectadas atividades maliciosas consistentes com o uso do CVE-2026-35273. A gigante de tecnologia notificou mais de 100 organizações globais cujos endereços IP apresentavam sinais de vulnerabilidade, destacando que 68% dessas entidades operam no setor de ensino superior, um alvo recorrente nas investidas do grupo.

O rastro de ataques no setor educacional

O ataque ao Conselho da Europa não é um evento isolado, mas parte de uma sequência de intrusões que miram dados sensíveis de instituições de ensino. A Universidade de Nottingham, por exemplo, teve dados de mais de 454 mil estudantes expostos após uma invasão similar. O padrão de atuação do ShinyHunters tem demonstrado uma preferência por alvos que detêm grandes volumes de registros pessoais, desde currículos até históricos acadêmicos.

Além das universidades, o setor de tecnologia educacional (ed-tech) tem sido pressionado. A empresa Instructure, responsável pela plataforma Canvas, admitiu ter chegado a um acordo com o grupo após o comprometimento de dados de 275 milhões de usuários. O termo "acordo" é frequentemente utilizado no meio corporativo para descrever o pagamento de resgates, evidenciando a eficácia financeira das táticas de extorsão do grupo.

Implicações para a segurança de dados institucionais

A recorrência de ataques contra fornecedores de software de gestão, como o Oracle PeopleSoft, impõe desafios significativos para a governança de TI. A dependência de sistemas centralizados cria pontos únicos de falha que, quando explorados, comprometem não apenas uma empresa, mas todo um ecossistema de clientes. Reguladores e departamentos de segurança agora enfrentam a necessidade de auditorias mais rigorosas sobre a integridade de softwares de terceiros.

Para as organizações, o episódio reforça a importância da gestão de patches e da visibilidade sobre endpoints expostos. A falha em atualizar sistemas críticos permite que grupos como o ShinyHunters operem com eficiência, transformando vulnerabilidades técnicas em crises de reputação e responsabilidade legal. O cenário exige uma postura mais proativa na detecção de anomalias em instâncias que processam dados sensíveis de RH e finanças.

O futuro da extorsão digital

Permanece incerto se a Oracle disponibilizou correções definitivas para a vulnerabilidade citada, ou se a extensão do dano ainda será ampliada. O mercado observa atentamente como as instituições afetadas responderão às demandas de extorsão e quais serão as consequências jurídicas para os responsáveis pela custódia desses dados.

A capacidade do grupo de sustentar uma campanha de longo prazo contra múltiplos setores sugere que a infraestrutura de segurança atual ainda é insuficiente para conter ataques baseados em zero-days. A questão que se coloca para o ecossistema de tecnologia é se o modelo de resposta a incidentes atual é sustentável diante da crescente sofisticação dos grupos de extorsão.

Com reportagem do The Register

Source · The Register