O Grupo Everest, conhecido por ataques de ransomware, publicou na Dark Web que teria comprometido sistemas da SA Exploration, prestadora de serviços da Petrobras. O aviso foi divulgado em 14 de novembro, junto de dois pacotes de dados que somariam mais de 260 GB. Nesta segunda-feira (17), o grupo adicionou um contador exigindo que um representante da companhia entrasse em contato antes do prazo final. A Petrobras, porém, afirma que seus sistemas não foram violados.
Segundo os cibercriminosos, o primeiro pacote contém 90 GB de dados ligados à Petrobras. O segundo, com 176 GB, envolve informações da SA Exploration. As descrições incluem imagens e detalhes técnicos sobre pesquisa sísmica na Bacia de Campos, região onde a Petrobras anunciou recentemente uma nova descoberta de petróleo.
O TecMundo Security entrou em contato com a Petrobras, que negou qualquer invasão direta em sua infraestrutura. A empresa confirmou apenas uma “exposição pontual e não autorizada” de informações da SA Exploration, reforçando que seus sistemas internos permanecem íntegros. Também foi feito contato com o próprio Grupo Everest via qTox, que forneceu algumas respostas sobre o ataque.
Nas publicações, o grupo afirma ter obtido dados brutos de navegação sísmica, como coordenadas de navios, metadados de equipamentos, relatórios de controle de qualidade e movimentação durante levantamentos 3D e 4D. Eles alegam que a divulgação prematura desses materiais pode gerar perdas financeiras e enfraquecer vantagens estratégicas da Petrobras, permitindo que concorrentes repliquem modelos operacionais.
Questionado sobre a falha explorada, o grupo diz ter acessado os sistemas usando credenciais comprometidas da SA Exploration. A descrição sugere algo próximo de um ataque de credential stuffing, técnica em que criminosos reutilizam combinações de login vazadas previamente. Eles também destacaram que não criptografaram informações, mantendo apenas os dados em seu poder. Como ninguém fez contato, o valor do resgate não foi divulgado.
A Petrobras reforçou seu posicionamento oficial afirmando que não houve acesso indevido aos seus sistemas e que monitora a situação junto à prestadora. A companhia garante que dados estratégicos permanecem protegidos.
Quanto à possível relação entre o ataque e o anúncio da nova descoberta de petróleo na Bacia de Campos, os indícios apontam mais para coincidência do que para conexão direta. O vazamento foi divulgado no dia 14, enquanto o contador surgiu apenas no dia 17. Além disso, a Bacia de Campos é uma das áreas mais exploradas do país, com grande volume de pesquisas constantes. O título usado pelo grupo na Dark Web pode ter sido escolhido apenas para amplificar o impacto da ameaça.
A investigação segue em andamento, enquanto especialistas analisam a extensão da exposição e os riscos para as operações envolvidas.
