A Mount Royal University, instituição pública de Alberta, no Canadá, confirmou em julho de 2026 que invasores roubaram e apagaram dados de funcionários e estudantes em um ataque de ransomware descoberto em 17 de junho. O grupo CMD Organization reivindicou o ataque, exigindo US$ 1,9 milhão de resgate por supostos 10 terabytes de dados extraídos da rede.

Como ocorreu a invasão

A universidade detectou o incidente em 17 de junho, quando atacantes apagaram dois sistemas de armazenamento de arquivos internos. O primeiro, conhecido como H drive, é usado individualmente por funcionários e estudantes e foi exfiltrado antes de ser destruído. O segundo, chamado J drive, armazena dados corporativos e também foi apagado — embora a instituição afirme não ter encontrado evidências de que seu conteúdo tenha sido copiado antes da exclusão.

Segundo a atualização divulgada pela MRU, a análise indica que pastas específicas foram comprometidas, e não toda a unidade H. A instituição começará a notificar diretamente, na semana seguinte ao anúncio, as pessoas cujos arquivos foram afetados. O caso foi reportado ao Comissário de Informação e Privacidade de Alberta e às autoridades policiais, que mantêm investigação em curso. Padrão semelhante de acesso seguido de destruição já foi observado em incidentes como o da Universidade de Nottingham, que também confirmou vazamento.

Data Evento
17 de junho de 2026 Descoberta do ataque e apagamento das unidades H e J
18 de junho MRU confirma interrupção de sistemas, serviços online e internet no campus
Julho (início) Grupo CMD Organization adiciona a MRU ao site de vazamento em Tor
8 de julho Universidade confirma exfiltração do H drive e oferece 24 meses de monitoramento

O que o grupo reivindicou

No mesmo dia em que a MRU divulgou seu comunicado, o ransomware CMD Organization publicou capturas de tela como prova de posse e afirmou ter roubado mais de 10 terabytes de dados. O grupo exige US$ 1,9 milhão em criptomoedas e é conhecido por leiloar informações supostamente roubadas. Até o momento, a gangue reivindicou 32 ataques, dos quais apenas quatro foram confirmados de forma independente, segundo o banco de dados da Comparitech.

A universidade não comentou as conversas com os atacantes nem se pretende pagar resgate. Esse tipo de negociação silenciosa é comum, mas autoridades de segurança recomendam não ceder à extorsão, pois o pagamento financia novas operações e não garante a destruição dos dados. Em casos recentes, grupos apagaram arquivos mesmo após receber o pagamento.

Serviços afetados e resposta

O ataque interrompeu o site da universidade, o portal MyMRU, o acesso à internet no campus e os serviços telefônicos. A instituição não divulgou prazo para a restauração completa, mas habilitou uma rede sem fio pública temporária. A MRU oferece 24 meses gratuitos de monitoramento de roubo de identidade e proteção de crédito a todos os funcionários atuais e a quem trabalhou na instituição nos últimos cinco anos. Estudantes não receberam o mesmo benefício, sob o argumento de que seus dados apresentam perfil de risco diferente.

A análise completa do vazamento pode levar semanas ou meses. Especialistas ouvidos pela imprensa canadense apontam o phishing como vetor provável e destacam que instituições de ensino são alvos recorrentes por concentrarem dados pessoais sensíveis e sistemas heterogêneos, frequentemente subfinanciados em segurança.

Como universidades se defendem

  • Segmentação de redes: separe unidades de arquivo corporativo (J drive) das pessoais (H drive) para conter movimento lateral.
  • Backups imutáveis: mantenha cópias offline e testadas para restaurar sem depender de negociação.
  • Campanhas de phishing: treine funcionários para reconhecer tentativas e ofereça canal rápido de denúncia interna.
  • Detecção de exfiltração: monitore transferências volumosas de arquivos antes da destrução.
  • Plano de comunicação: tenha roteiro pronto para notificação de afetados e autoridades dentro dos prazos legais.

Fontes