- O grupo Ababil of Minab reivindicou o ataque ao metrô de Los Angeles em março de 2026, que destruiu centenas de servidores e roubou mais de 1 TB de dados internos.
- A Gambit Security liga o Ababil of Minab ao Black Shadow, grupo iraniano associado ao Ministério de Inteligência e Segurança do Irã.
- Além de Los Angeles, houve ataques contra a South Florida Regional Transportation Authority, a UNIMAC na Arábia Saudita e a Vyncs; outras vítimas incluíram uma empresa de mídia israelense, uma universidade em Israel e uma corretora de seguros na Turquia.
- Os invasores usaram dois métodos para destruir dados: scripts automatizados e acesso manual aos painéis de administração, incluindo o vCenter para desligar e apagar máquinas virtuais, e backups foram removidos na UNIMAC.
- Para exfiltrar dados, eles comprimiam arquivos ou utilizavam a ferramenta FileFiend; houve uso do ChatGPT para ajustar scripts de destruição, com infraestrutura ligada a operações anteriores do Black Shadow.
O grupo iraniano Ababil of Minab invadiu o metrô de Los Angeles em março de 2026 e causou destruição de centenas de servidores, com mais de 1 terabyte de dados internos roubados. A constatação foi feita pela empresa de cibersegurança Gambit Security. A invasão afetou principalmente o sistema de transporte público da cidade, interrompendo serviços e operações.
A Gambit ligou a atuação do Ababil of Minab a uma peça de atribuição maior: o Black Shadow, grupo iraniano vinculado ao MOIS, o Ministério de Inteligência e Segurança do Irã. Segundo a firma, o Ababil não seria um grupo novo, mas sim uma operação integrada ao histórico do Black Shadow, com padrão destrutivo já observado em ataques anteriores.
A invasão ficou evidenciada após a violação do ambiente vCenter, que gerencia máquinas virtuais em servidores. Os atacantes apagaram VMs, desligaram sistemas e derrubaram serviços de recarga de cartões de transporte dos passageiros pelo aplicativo móvel. A confirmação oficial veio em abril de 2026 pelas autoridades de transporte.
Desdobramentos do ataque
Os invasores usaram dois métodos para destruir dados: scripts automatizados que percorreram sistemas inteiros e ações manuais para apagar arquivos individualmente. Na rede do LA Metro, o alvo principal foi o vCenter, levando à limpeza de discos das máquinas virtuais.
Horas após o ataque, o LA Metro informou pela imprensa local que passageiros ficaram sem recarregar o cartão TAP pelo aplicativo. Em seguida, centenas de servidores precisaram passar por verificação para restabelecer o funcionamento.
Outras vítimas identificadas
A Gambit detectou ataques contra a South Florida Regional Transportation Authority, outra autoridade de transporte público dos EUA, e contra a empresa saudita UNIMAC. Nesses casos, houve a deleção de volumes de disco e a eliminação total de backups com o uso do software de backup Veeam.
A Vyncs, provedora de rastreamento de veículos por GPS, também foi atingida. Um script em Python deletou 58 bancos de dados SQL Server em sequência, segundo os relatos da empresa de cibersegurança.
Vítimas adicionais e evidências
Entre as vítimas não anunciadas publicamente estão uma empresa de mídia israelense, uma universidade em Israel e uma corretora de seguros na Turquia. Impressões de tela mostram o uso de ferramentas como FileFiend para varrer discos locais e enviar dados a servidores controlados pelos atacantes.
A Gambit também indicou que os invasores utilizaram uma ferramenta personalizada chamada FileFiend e consultaram o ChatGPT para aprimorar scripts de destruição de bancos de dados da Vyncs. Uma sessão de navegador capturada em vídeos publicados pelo grupo evidencia o uso da IA para ajuste de código.
Entre na conversa da comunidade