Neste artigo do blog Dolutech, trazemos um alerta urgente identificado pela nossa equipe de pesquisadores de segurança durante monitoramento responsável na dark web. Na data de 18 de março de 2026, nossos especialistas identificaram que o grupo de ransomware LockBit 5.0 adicionou ao seu portal de vazamentos três entidades do Sistema FIEPE: a Federação das Indústrias do Estado de Pernambuco (fiepe.org.br), o Serviço Social da Indústria (sesi.org.br) e o Serviço Nacional de Aprendizagem Industrial (senai.br). A informação foi posteriormente confirmada por fontes independentes como a plataforma BreachSense e o perfil de inteligência de ameaças FalconFeeds.io, que registrou a FIEPE entre cinco novas vítimas adicionadas pelo LockBit 5.0 ao seu portal na dark web em 17 de março de 2026.
Após pesquisas detalhadas conduzidas pelos nossos especialistas, que incluíram verificação cruzada em múltiplas plataformas de monitoramento de ransomware e análise dos registros publicados pelo próprio grupo criminoso, confirmamos de forma inequívoca que as três instituições aparecem listadas no site oficial do LockBit na dark web. A Federação das Indústrias do Estado de Pernambuco, o Serviço Social da Indústria e o Serviço Nacional de Aprendizagem Industrial constam com data de descoberta em 18 de março de 2026, o que indica que o grupo está em posse de dados dessas instituições e possivelmente aguarda o vencimento de um prazo de pagamento para iniciar a publicação dos arquivos exfiltrados.
Diante da gravidade desta descoberta, a equipe da Dolutech tomou a iniciativa de realizar denúncia formal junto ao CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) e à ANPD (Autoridade Nacional de Proteção de Dados). Acreditamos que a comunicação proativa aos órgãos competentes é um dever ético de qualquer profissional ou empresa que atua na área de cibersegurança, e fizemos isso com a máxima urgência para que as providências cabíveis possam ser tomadas o mais rápido possível em defesa dos titulares de dados potencialmente afetados. Este é um dos ataques de ransomware mais significativos contra o setor institucional brasileiro em 2026 e merece a atenção de toda a comunidade de cibersegurança lusófona.
O que é o Sistema FIEPE
O Sistema FIEPE é o conjunto institucional que representa e apoia a indústria no estado de Pernambuco, com atuação desde 1939. Fundada pelo industrial Joseph Turton, a Federação das Indústrias do Estado de Pernambuco construiu ao longo de mais de 85 anos uma base sindical composta por 34 sindicatos de diversos segmentos industriais. O Sistema é composto por cinco instituições: a própria FIEPE, o Serviço Social da Indústria de Pernambuco (SESI), o Serviço Nacional de Aprendizagem Industrial de Pernambuco (SENAI), o Instituto Euvaldo Lodi (IEL-PE) e o Centro das Indústrias do Estado de Pernambuco (CIEPE).
A FIEPE oferece serviços que incluem pesquisas técnicas, apoio jurídico, suporte para exportações, intermediação de convênios internacionais e cursos de capacitação. O SESI atua com programas de bem-estar social, educação básica, cultura, lazer, saúde e segurança do trabalho para trabalhadores da indústria e seus dependentes, gerenciando dados extremamente sensíveis. O SENAI é uma das maiores instituições de educação profissional e tecnológica da América Latina, formando mão de obra qualificada para a indústria brasileira e mantendo registros acadêmicos, dados de matrícula, informações financeiras e documentação pessoal de milhares de estudantes anualmente. Juntas, essas entidades lidam com um volume extraordinário de dados pessoais, incluindo informações de trabalhadores, alunos, empresas associadas e sindicatos, o que torna o comprometimento simultâneo das três instituições um risco sistêmico para todo o ecossistema industrial pernambucano, um estado com mais de 9 milhões de habitantes e milhares de empresas cadastradas.
O que é o LockBit 5.0
O LockBit é um dos grupos de ransomware mais prolíficos da história recente do cibercrime. Surgido em 2019, o grupo opera sob o modelo Ransomware-as-a-Service (RaaS), no qual desenvolvedores criam o malware e recrutam afiliados para executar os ataques, dividindo os lucros dos resgates. Ao longo dos anos, o LockBit evoluiu por diversas versões, consolidando-se como responsável por até 44% dos ataques globais de ransomware em determinados períodos, segundo estimativas da Acronis Threat Research Unit.
Em fevereiro de 2024, a Operação Cronos, liderada pela National Crime Agency do Reino Unido em parceria com o FBI e outras 10 agências internacionais, conseguiu derrubar parte significativa da infraestrutura do grupo, apreender servidores e identificar afiliados. Muitos acreditaram que o LockBit havia sido desmantelado definitivamente. No entanto, o grupo demonstrou uma resiliência extraordinária. Em setembro de 2025, a Trend Micro identificou o surgimento do LockBit 5.0, uma versão completamente reformulada e ainda mais perigosa.
Segundo análises da Acronis Threat Research Unit, da LevelBlue (antiga SpiderLabs) e da S2W TALON, o LockBit 5.0 apresenta capacidades multiplataforma nativas, podendo atacar simultaneamente ambientes Windows, Linux e VMware ESXi, incluindo Proxmox. A versão utiliza criptografia XChaCha20 (simétrica) combinada com Curve25519 (assimétrica), atribui extensões aleatórias de 16 caracteres aos arquivos cifrados e emprega técnicas avançadas de evasão como DLL unhooking, process hollowing, patching de ETW (Event Tracing for Windows) e ofuscação de memória em tempo de execução. Adicionalmente, inclui uma função de wiper de espaço livre que dificulta a recuperação forense de dados.
O grupo também firmou o que analistas chamam de “cartel de ransomware”, uma aliança estratégica com os grupos Qilin e DragonForce, conforme reportado pelo Dark Reading e pela ReliaQuest no terceiro trimestre de 2025. Essa colaboração permite o compartilhamento de técnicas, infraestrutura e recursos entre os três grupos, amplificando significativamente o potencial de dano e ecoando a parceria anterior entre LockBit e Maze em 2020, que introduziu as táticas de dupla extorsão no ecossistema de ransomware.
De acordo com a plataforma Ransomware.live, o LockBit 5.0 já acumula pelo menos 157 vítimas conhecidas desde o seu lançamento. No mês de dezembro de 2025, a Halcyon reportou que o LockBit contribuiu com 96 ataques em um único mês, e o relatório Ransom-DB registrou 1.745 vítimas globais de ransomware apenas nos primeiros meses de 2026, com o LockBit figurando consistentemente entre os grupos mais ativos.
A nova estratégia: destruição de backups
Um dos alertas mais críticos publicados recentemente pela Digital Recovery, empresa brasileira especializada em recuperação de dados, revela que o LockBit 5.0 adotou uma estratégia deliberada de comprometimento de backups. Diferentemente de versões anteriores, onde a criptografia era executada de forma relativamente rápida, a versão 5.0 opera com persistência prolongada no ambiente da vítima. Antes de iniciar a fase de criptografia, os operadores do ransomware mapeiam credenciais privilegiadas, identificam sistemas de backup, incluindo soluções em nuvem, NAS, fitas e máquinas virtuais dedicadas, e os atacam simultaneamente ao ambiente de produção.
Essa abordagem torna a recuperação praticamente impossível para organizações que não possuem backups verdadeiramente isolados (air-gapped). O ataque não se limita a criptografar os dados do servidor principal; ele compromete todo o ecossistema de recuperação, forçando a vítima a considerar o pagamento do resgate como única alternativa aparente. Nós da Dolutech enfatizamos que esta evolução tática torna a preparação prévia absolutamente indispensável.
Detalhes do incidente com o Sistema FIEPE
Conforme verificado e confirmado pela equipe de pesquisa da Dolutech e corroborado pelas plataformas BreachSense e FalconFeeds.io, o LockBit 5.0 listou as três entidades no seu portal de vazamentos na dark web com data de descoberta em 18 de março de 2026. A Federação das Indústrias do Estado de Pernambuco, com o domínio fiepe.org.br, é identificada como uma federação industrial brasileira especializada em apoio e promoção do desenvolvimento industrial, advocacy empresarial e networking para empresas do estado. O Serviço Nacional de Aprendizagem Industrial, com o domínio senai.br, é descrito como instituição educacional brasileira. O Serviço Social da Indústria, com o domínio sesi.org.br, é identificado como organização sem fins lucrativos especializada em bem-estar social, educação, saúde e programas de segurança ocupacional para trabalhadores do setor industrial.
O tamanho exato dos dados exfiltrados ainda não foi divulgado pelo grupo criminoso, constando como desconhecido nas plataformas de monitoramento. No entanto, considerando a natureza das três organizações, que juntas gerenciam dados de milhares de trabalhadores, estudantes, empresas e sindicatos, o potencial impacto deste vazamento é enorme. Dados pessoais protegidos pela LGPD, informações empresariais confidenciais, registros acadêmicos, dados financeiros, informações de saúde ocupacional e documentos estratégicos do setor industrial pernambucano podem estar entre o material comprometido.
Nossos especialistas da Dolutech destacam que o fato de as três instituições terem sido listadas simultaneamente sugere fortemente que compartilham infraestrutura tecnológica, o que teria permitido ao LockBit comprometer todo o Sistema FIEPE a partir de um único ponto de entrada. Esta hipótese é consistente com o modus operandi do LockBit 5.0, que privilegia a movimentação lateral e a permanência prolongada no ambiente antes da fase de criptografia e exfiltração.
O Brasil na mira do LockBit 5.0
O ataque ao Sistema FIEPE não é um caso isolado. O Brasil tem sido um alvo recorrente do LockBit 5.0 nos últimos meses. Outras empresas brasileiras já foram listadas no portal do grupo, incluindo a Brassuco Alimentos (setor alimentício), o Grupo Ferrosider (setor automotivo), a Kenta Informática, a Guarnera Advogados, o Grupo Selpe (consultoria de RH), a Limpebras, a Audicon Contadores e a Technicare Instrumental Cirúrgico. Esse padrão indica que afiliados do LockBit estão ativamente direcionando campanhas contra organizações brasileiras de diversos setores e portes, e o Brasil figura consistentemente entre os 10 países mais atingidos por ransomware no mundo.
O que o Sistema FIEPE deve fazer
Nós da Dolutech recomendamos que o Sistema FIEPE, caso ainda não tenha tomado essas medidas, adote imediatamente uma série de procedimentos críticos. Em relação à contenção e investigação, é fundamental isolar imediatamente todos os sistemas comprometidos da rede, impedindo a movimentação lateral do ransomware. É necessário acionar uma equipe de resposta a incidentes especializada em ransomware, seja interna ou por meio de consultorias com expertise comprovada. Todos os logs de acesso, logs de firewall, registros de VPN e logs de Active Directory dos últimos 90 dias devem ser preservados para análise forense. Credenciais de todos os usuários privilegiados devem ser redefinidas com urgência, incluindo contas de administradores de domínio, contas de serviço e contas de acesso remoto. Os backups existentes precisam ser verificados em ambiente isolado para confirmar se estão íntegros e livres de comprometimento.
Em relação à conformidade legal, o Sistema FIEPE tem a obrigação, nos termos do artigo 48 da Lei Geral de Proteção de Dados (Lei 13.709/2018), de comunicar à ANPD e aos titulares dos dados afetados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. A recomendação da ANPD é que essa comunicação seja feita em até dois dias úteis a partir do conhecimento do incidente, por meio do formulário específico disponível no portal gov.br/anpd. O descumprimento pode acarretar multas de até 2% do faturamento da organização, limitadas a R$ 50 milhões por infração.
Órgãos competentes para denúncia e apoio
Nós da Dolutech reforçamos a importância de que qualquer organização vítima de ransomware, independentemente do país onde opera, deve comunicar o incidente aos órgãos competentes. O pagamento de resgate nunca deve ser considerado como solução, pois financia a atividade criminosa, não garante a recuperação dos dados e pode expor a organização a sanções legais, especialmente considerando que o LockBit possui afiliados sancionados pelo Departamento do Tesouro dos Estados Unidos desde fevereiro de 2024.
No Brasil, as organizações vítimas devem procurar a Autoridade Nacional de Proteção de Dados (ANPD), acessível pelo endereço gov.br/anpd, responsável por receber as comunicações de incidentes de segurança envolvendo dados pessoais conforme a LGPD. O CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), acessível pelo endereço cert.br, é o ponto focal nacional para notificação de incidentes de segurança cibernética. A Polícia Federal, por meio da Diretoria de Crimes Cibernéticos, deve ser acionada para registro de ocorrência e investigação criminal, uma vez que o ransomware configura crime de extorsão, invasão de dispositivo informático e outros delitos previstos no Código Penal e na Lei 12.737/2012. As Delegacias Estaduais de Crimes Cibernéticos também podem ser acionadas para registro de boletim de ocorrência, e o Procon estadual pode ser notificado caso consumidores tenham sido afetados.
Em Portugal, as organizações devem procurar a Comissão Nacional de Proteção de Dados (CNPD), acessível pelo endereço cnpd.pt, que é a autoridade de controlo nacional responsável pela fiscalização do RGPD, sendo obrigatória a notificação de violações de dados pessoais em até 72 horas. O Centro Nacional de Cibersegurança (CNCS), acessível pelo endereço cncs.gov.pt, oferece apoio técnico e orientação a organizações afetadas. A Polícia Judiciária, por meio da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T), é responsável pela investigação criminal de cibercrimes em território português.
Recomendações de proteção para todas as organizações
A Dolutech aproveita este alerta para reforçar as recomendações de proteção que toda organização deve adotar para mitigar o risco de ataques de ransomware como o LockBit 5.0. A política de backups deve seguir a regra 3-2-1-1, ou seja, três cópias dos dados, em dois tipos de mídia diferentes, com uma cópia offsite e uma cópia completamente offline (air-gapped), com testes de restauração realizados pelo menos uma vez por mês. A segmentação de rede é essencial para separar os ambientes de produção, gestão e backup. A autenticação multifator forte, preferencialmente utilizando padrões FIDO2/WebAuthn, deve ser implementada para todas as contas privilegiadas e acessos remotos. O gerenciamento de patches deve ser priorizado com foco nas vulnerabilidades do catálogo CISA KEV. Soluções de EDR/XDR devem ser implantadas em todos os endpoints e servidores. Consoles de VPN e portais administrativos expostos à internet devem ter sua superfície de ataque reduzida ao mínimo. O monitoramento de tráfego de saída para identificar exfiltração em estágio inicial é fundamental. E os planos de resposta a incidentes devem ser documentados, testados e ensaiados periodicamente.
A importância da divulgação responsável
A Dolutech reforça que a publicação deste artigo segue os princípios de divulgação responsável adotados pela comunidade internacional de cibersegurança. Não reproduzimos nenhum dado vazado, não fornecemos links para portais da dark web e não expomos informações pessoais de indivíduos. As informações publicadas já são de domínio público, tendo sido registradas por plataformas como Ransomware.live, BreachSense e FalconFeeds.io. Nosso objetivo é exclusivamente alertar a comunidade, os parceiros do Sistema FIEPE, os trabalhadores, os estudantes do SESI e SENAI e o público em geral sobre este incidente, para que possam tomar medidas de proteção pessoal, como monitoramento de dados, alteração de senhas e atenção a tentativas de phishing que frequentemente surgem após vazamentos dessa natureza.
Considerações finais
O ataque do LockBit 5.0 ao Sistema FIEPE, atingindo simultaneamente a Federação das Indústrias de Pernambuco, o SESI e o SENAI, é um dos incidentes de ransomware mais relevantes contra o setor institucional brasileiro em 2026. Nós da Dolutech, após verificação exaustiva conduzida pelos nossos especialistas, confirmamos a listagem das três instituições no portal do LockBit e já realizamos as denúncias formais junto ao CERT.br e à ANPD, cumprindo nosso compromisso com a segurança da comunidade. A Dolutech permanece em monitoramento contínuo e atualizará este artigo caso novas informações sejam identificadas. O ransomware não é uma ameaça abstrata. É uma realidade que afeta organizações de todos os portes e setores, em todos os países. A prevenção, a preparação e a resposta rápida são as melhores defesas. E nunca, em hipótese alguma, pague o resgate.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
