A Mount Royal University, instituição pública de Alberta, no Canadá, confirmou em julho de 2026 que invasores roubaram e apagaram dados de funcionários e estudantes em um ataque de ransomware descoberto em 17 de junho. O grupo CMD Organization reivindicou o ataque, exigindo US$ 1,9 milhão de resgate por supostos 10 terabytes de dados extraídos da rede.
Como ocorreu a invasão
A universidade detectou o incidente em 17 de junho, quando atacantes apagaram dois sistemas de armazenamento de arquivos internos. O primeiro, conhecido como H drive, é usado individualmente por funcionários e estudantes e foi exfiltrado antes de ser destruído. O segundo, chamado J drive, armazena dados corporativos e também foi apagado — embora a instituição afirme não ter encontrado evidências de que seu conteúdo tenha sido copiado antes da exclusão.
Segundo a atualização divulgada pela MRU, a análise indica que pastas específicas foram comprometidas, e não toda a unidade H. A instituição começará a notificar diretamente, na semana seguinte ao anúncio, as pessoas cujos arquivos foram afetados. O caso foi reportado ao Comissário de Informação e Privacidade de Alberta e às autoridades policiais, que mantêm investigação em curso. Padrão semelhante de acesso seguido de destruição já foi observado em incidentes como o da Universidade de Nottingham, que também confirmou vazamento.
| Data | Evento |
|---|---|
| 17 de junho de 2026 | Descoberta do ataque e apagamento das unidades H e J |
| 18 de junho | MRU confirma interrupção de sistemas, serviços online e internet no campus |
| Julho (início) | Grupo CMD Organization adiciona a MRU ao site de vazamento em Tor |
| 8 de julho | Universidade confirma exfiltração do H drive e oferece 24 meses de monitoramento |
O que o grupo reivindicou
No mesmo dia em que a MRU divulgou seu comunicado, o ransomware CMD Organization publicou capturas de tela como prova de posse e afirmou ter roubado mais de 10 terabytes de dados. O grupo exige US$ 1,9 milhão em criptomoedas e é conhecido por leiloar informações supostamente roubadas. Até o momento, a gangue reivindicou 32 ataques, dos quais apenas quatro foram confirmados de forma independente, segundo o banco de dados da Comparitech.
A universidade não comentou as conversas com os atacantes nem se pretende pagar resgate. Esse tipo de negociação silenciosa é comum, mas autoridades de segurança recomendam não ceder à extorsão, pois o pagamento financia novas operações e não garante a destruição dos dados. Em casos recentes, grupos apagaram arquivos mesmo após receber o pagamento.
Serviços afetados e resposta
O ataque interrompeu o site da universidade, o portal MyMRU, o acesso à internet no campus e os serviços telefônicos. A instituição não divulgou prazo para a restauração completa, mas habilitou uma rede sem fio pública temporária. A MRU oferece 24 meses gratuitos de monitoramento de roubo de identidade e proteção de crédito a todos os funcionários atuais e a quem trabalhou na instituição nos últimos cinco anos. Estudantes não receberam o mesmo benefício, sob o argumento de que seus dados apresentam perfil de risco diferente.
A análise completa do vazamento pode levar semanas ou meses. Especialistas ouvidos pela imprensa canadense apontam o phishing como vetor provável e destacam que instituições de ensino são alvos recorrentes por concentrarem dados pessoais sensíveis e sistemas heterogêneos, frequentemente subfinanciados em segurança.
Como universidades se defendem
- Segmentação de redes: separe unidades de arquivo corporativo (J drive) das pessoais (H drive) para conter movimento lateral.
- Backups imutáveis: mantenha cópias offline e testadas para restaurar sem depender de negociação.
- Campanhas de phishing: treine funcionários para reconhecer tentativas e ofereça canal rápido de denúncia interna.
- Detecção de exfiltração: monitore transferências volumosas de arquivos antes da destrução.
- Plano de comunicação: tenha roteiro pronto para notificação de afetados e autoridades dentro dos prazos legais.