A prisão do hacker que vendia acesso a sistemas do Governo de São Paulo, da Polícia Civil e de tribunais por 18 meses não é um caso isolado do setor público. É o retrato do mercado de Initial Access Brokers que já tem o seu negócio mapeado.
Em 7 de maio de 2026, a Corregedoria da Polícia Civil de São Paulo e a Controladoria Geral do Estado deflagraram a Operação Intruder e cumpriram medidas cautelares contra Leonardo do Carmo da Silveira Costa, 46 anos, apontado como responsável por invasões sistemáticas a sistemas do Governo paulista, da Polícia Civil, da Controladoria Geral do Estado, da Prefeitura de São Paulo, dos Tribunais de Justiça de Goiás e Tocantins e da Polícia Militar goiana. As investigações indicam que o suspeito operava há pelo menos 18 meses, mantinha um data center em Belo Horizonte e vendia, em fóruns da deep e da dark web, pacotes de credenciais, dados pessoais de servidores e informações funcionais. O esquema, pago em criptomoedas, é estimado em milhões de reais. Para o leitor que trabalha com TI corporativa, a tentação é tratar o caso como mais uma manchete sobre o setor público brasileiro. É um erro caro: o modus operandi descrito pela investigação é o mesmo que assombra empresas privadas hoje.
O termo técnico para o que Leonardo fazia é Initial Access Broker, ou IAB. Não se trata de um atacante que executa o ataque do início ao fim. É um intermediário que mapeia o ambiente, instala persistência, captura credenciais e empacota tudo isso como produto à venda no submundo. O comprador, que pode ser um operador de ransomware, um grupo de espionagem ou outro criminoso, paga pelo acesso pronto e segue para a fase seguinte da cadeia de monetização. A descrição da operação reforça esse padrão: o suspeito identificava falhas em servidores de TI, usava infraestrutura própria e VPSs alugadas em terceiros, desenvolvia malwares com mecanismos de comando e controle, mantinha o acesso ao longo do tempo e oferecia, nas palavras da própria investigação, um portfólio de produtos como um supermercado.
A diferença é que a empresa privada raramente conta com uma Corregedoria da Polícia Civil chegando para encerrar a festa. O Brasil registrou quase 754 bilhões de tentativas de ataque em 2025, segundo a Fortinet, e o ecossistema PIX acumulou 12 incidentes nos primeiros quatro meses de 2026, vários deles entrando justamente por prestadores de serviços terceirizados, outro elo do mesmo mercado de acessos. O atacante moderno não precisa quebrar a porta do banco quando consegue comprar a chave de uma empresa integradora. E não precisa montar uma operação grande quando consegue se conectar com credenciais legítimas, mover-se lateralmente sem disparar alertas e exfiltrar dados aos poucos. O que o Brasil viu na Operação Intruder é, em escala menor, exatamente o que acontece todos os dias em redes corporativas, só que sem inquérito, sem mandado e sem foto de tornozeleira no noticiário.
Já abordei aqui no Café com Bytes que PAM moderno não é cofre de senhas, e este caso é a ilustração perfeita do porquê. Dezoito meses de acesso persistente, com credenciais de servidores e autoridades sendo extraídas e revendidas, descrevem uma falha clássica de governança de identidade combinada com baixa visibilidade de eventos. A defesa começa por reduzir a superfície que o IAB explora. Vulnerability Assessment contínuo, com priorização baseada em exploitability real, fecha as portas de servidores desatualizados antes que apareçam no anúncio. PAM com privilégios concedidos sob demanda no modelo just-in-time, gravação de sessões e rotação automática de credenciais transforma cada acesso em ativo de curto prazo, não em produto de prateleira. SIEM com detecção de comando e controle, somado a XDR com hunting retroativo, encurta o tempo médio de permanência do atacante de meses para horas. Deception Technology, ainda subutilizada no Brasil, cria iscas que denunciam o atacante já no movimento lateral, antes que ele empacote o seu ambiente. E Backup imutável com segmentação de rede completam a base de resiliência, garantindo que mesmo um acesso bem-sucedido não se converta em colapso operacional.
Se o seu ambiente entrasse no portfólio de um Initial Access Broker amanhã, quanto tempo o atacante teria precisado gastar dentro da sua rede para chegar nesse ponto? Agradeço por acompanhar mais um artigo do Café com Bytes. Se esse tema fizer sentido para alguém da sua rede, compartilhe e deixe seu comentário.
Rodrigo Rocha
Co-fundador e Head de Soluções de Cibersegurança da Gruppen it Security
Fontes
- Polícia faz operação contra ataque cibernético a órgãos do Governo de SP — CNN Brasil
- Operação Intruder: ação investiga invasão hacker de sistemas públicos de SP — Tecmundo
- Como hacker “fantasma” obtinha dados de governos e vendia a criminosos — Metrópoles
- Portfólio de hacker oferecia acesso a sistemas de governos a tribunais — Metrópoles
- Polícia Civil apreende dispositivos de suposto hacker que invadiu o sistema do Governo de São Paulo — Security Leaders
- Pix: 12 ataques em quatro meses acendem alerta em bancos e fintechs — Finsiders Brasil
