O grupo Black Shadow, vinculado ao Ministério de Inteligência do Irã, conduz uma campanha de ataques cibernéticos destrutivos contra organizações nos Estados Unidos, Arábia Saudita, Turquia e Israel. Os operadores eliminam sistemas de produção, backups e infraestrutura de recuperação, impossibilitando a restauração dos ambientes comprometidos, segundo relatório da Gambit Security divulgado em maio de 2026.
Como o ataque funciona
A operação combina dois métodos destrutivos. No modo automatizado, o operador executa scripts que iteram por inventários de servidores, emitindo comandos de exclusão contra cada entrada — como o script Python que deletou bancos de dados em 58 instâncias SQL Server simultaneamente. No modo interativo, o atacante acessa consoles administrativas legítimas — VMware vCenter, SQL Server Management Studio, Veeam Backup & Replication — e deleta recursos manualmente usando ferramentas nativas do sistema operacional.
A abordagem living-off-the-land dificulta a detecção, pois as ações se confundem com operações rotineiras de administração de TI. Os atacantes usam Windows Disk Management para formatar partições, WipeFile para apagar arquivos de forma segura e o console do Veeam para eliminar cadeias inteiras de backup no nível do repositório.
Destruição em múltiplas camadas
O que distingue esta campanha de ransomwares convencionais é o alvo deliberado em cada camada de recuperação. A tabela abaixo resume os vetores de destruição identificados:
| Vetor | Ferramenta utilizada | Impacto |
|---|---|---|
| Máquinas virtuais | VMware vCenter (delete from disk) | Eliminação de VMs e discos associados |
| Partições de disco | Windows Disk Management | Formatação e recriação de volume “Minab” |
| Bancos de dados | SQL Server Management Studio + Python | 58 instâncias SQL zeradas simultaneamente |
| Backups | Veeam Backup & Replication | Cadeia de backup eliminada no repositório |
| Arquivos do sistema | WipeFile + Windows Explorer | Pastas Windows, Program Files e IIS apagadas |
A campanha Handala, documentada no início de 2026, já havia revelado a evolução de grupos iranianos para operações combinadas de espionagem e destruição. A operação Black Shadow representa uma escalada ao direcionar o foco para eliminação completa da capacidade de recuperação das vítimas.
ChatGPT otimiza scripts destrutivos
Uma descoberta notável da investigação foi o uso de ChatGPT pelos operadores para refinar scripts destrutivos. Na operação contra a Vyncs, os atacantes usaram a ferramenta de IA para ajustar a lógica de um script Python, garantindo que ele ignorasse bancos de dados do sistema (como master e msdb) e atingisse apenas databases de aplicação — maximizando o impacto operacional sem interromper o funcionamento do SQL Server durante o ataque. O uso de IA por grupos APT vem crescendo em outros contextos, com atores da Rússia e da China adotando técnicas semelhantes.
Indicadores de comprometimento
A Gambit publicou indicadores técnicos (IOCs) da campanha. Os endereços IP conhecidos incluem 91.193.19.198 (nó de saída do proxy RDP), 31.172.87.20 (servidor de staging) e 66.85.26.183 (C2 do malware FileFiend). O domínio nefeshhope[.]com funcionou como infraestrutura de apoio à operação. Hashes de amostras do FileFiend (Exchangedb.exe) foram publicados no relatório técnico.
Como proteger a infraestrutura
Organizações devem adotar procedimentos de resposta a incidentes que antecipem cenários de destruição em múltiplas camadas. Algumas medidas específicas:
- Backups imutáveis: mantenha cópias offline ou com retenção imutável — o Veeam oferece bloqueio de repositório que impede exclusão mesmo com credenciais administrativas.
- Controle de acesso ao vCenter: restrinja sessões de administrador ao vCenter e monitore tarefas de exclusão em massa. Ative o MFA obrigatório para todos os acessos.
- Segmentação de redes de backup: isole a infraestrutura de backup da rede de produção para impedir que um atacante com acesso ao domínio alcance os repositórios.
- Monitoramento de Disk Management: alertas sobre formatação de volumes e exclusão de partições em servidores de produção podem detectar a fase destrutiva antes da conclusão.