Perun Swaroga: Grupo Ligado à Rússia Vaza Base da Câmara Municipal de Bila Tserkva e Reacende o Front Cibernético Contra a Ucrânia

Mais Um Capítulo de Uma Ciberguerra Quase Invisível

Enquanto a atenção do mundo se concentra em manchetes militares convencionais, uma outra guerra segue sendo travada em paralelo — menos visível, mas não menos estratégica. Em 14 de abril de 2026, a VECERT Analyzer detectou e reportou mais um capítulo desse conflito paralelo: um vazamento de dados da Câmara Municipal de Bila Tserkva (Белая Церковь, em russo, ou Bila Tserkva, em ucraniano) — cidade de aproximadamente 200.000 habitantes na região metropolitana de Kyiv.

A atribuição aponta para o grupo Perun Swaroga, que publicou o vazamento via canais ligados ao ecossistema de hacktivistas e operadores pró-Rússia. O caso, individualmente modesto, ilustra um padrão maior: a erosão sistemática de infraestrutura digital ucraniana de baixo e médio escalão por atores alinhados ao Kremlin.

O Alvo: Por Que Bila Tserkva

Bila Tserkva não é um alvo óbvio em termos militares ou estratégicos — é exatamente essa a questão. Cidades médias são atacadas justamente porque:

• Suas defesas cibernéticas são significativamente menores que as de ministérios nacionais ou Kyiv
• Processam dados sensíveis de centenas de milhares de cidadãos (registros, impostos, serviços municipais)
• Vazamentos causam dano difuso mas real à moral e capacidade administrativa local
• Exposição de dados pessoais gera alvos secundários — cidadãos passam a receber phishing, extorsão, tentativas de SIM swap

O padrão de ataques a Bila Tserkva, Mykolaiv, Odessa, Sumy e outras cidades ucranianas documentados ao longo de 2024-2026 mostra uma campanha sistemática de degradação, não ataques oportunistas.

Perun Swaroga: O Que Se Sabe

O Nome

"Perun" é o deus do raio e da guerra na mitologia eslava pré-cristã — figura central em panteões ucraniano, russo, polonês e belarusso. "Swaroga" (ou Svarog) é outra divindade eslava, associada ao fogo celeste e à forja. O nome do grupo é uma apropriação retórica de elementos culturais pan-eslavos — estratégia comum entre grupos nacionalistas que buscam legitimidade histórica.

Modus Operandi

Análises preliminares cruzando dados da VECERT e reports públicos de outras firmas (Mandiant, Check Point) sugerem:

• Foco em targets ucranianos de médio e baixo porte (câmaras municipais, universidades, empresas regionais)
• Vetores de entrada típicos: spear phishing, exploits em software desatualizado, credenciais comprometidas
• Publicação de bases vazadas em canais Telegram de ecossistema pró-Rússia
• Narrativa pública enquadrando ações como "reação à guerra" — verniz hacktivista
• Indicadores técnicos compartilhados com outros grupos conhecidos (Killnet, NoName057, XakNet)

Atribuição Estatal

Grupos como Perun Swaroga operam em uma zona propositalmente ambígua. Não são formalmente parte dos serviços de inteligência russos (FSB, GRU, SVR), mas:

• Operam com conhecimento e tolerância do Estado russo
• Frequentemente coordenam com operações estatais para maximizar impacto
• Recebem infraestrutura (servidores, VPNs, anonimato bancário)
• Agem como negação plausível — o Estado russo nega envolvimento, mas ações avançam agenda estatal

Esse modelo é uma evolução do que analistas chamam de "patriotic hacking" — hacktivismo com verniz patriótico e suporte tácito estatal — usado pela Rússia desde pelo menos 2014.

O Que Foi Vazado

A VECERT confirmou publicação da base, mas não detalhou exaustivamente o conteúdo. Padrões de vazamentos municipais similares sugerem:

• Dados de funcionários públicos da câmara (nomes, cargos, contatos, histórico)
• Registros de cidadãos que interagiram com serviços municipais
• Comunicações internas (emails, atas, documentos)
• Configurações de sistemas que podem facilitar ataques secundários
• Potencialmente informações de infraestrutura sensíveis (contratos de TI, fornecedores)

O dano real é duplo: imediato para cidadãos cujos dados são expostos, e estrutural para a administração municipal que precisa gastar meses em contenção, comunicação e reconstrução de confiança.

A Conexão Com Cripto

Para um público focado em criptoativos, a pergunta natural é: onde o cripto entra nessa história? Existem múltiplas camadas:

1. Lavagem de Recursos Ligados à Guerra

Grupos como Perun Swaroga e congêneres (Killnet, NoName057, Conti historicamente) frequentemente usam cripto para:

• Receber doações de apoiadores em jurisdições com limites bancários
• Monetizar ransomware (quando presente no repertório)
• Mover fundos para operadores em jurisdições difíceis (Rússia, Belarus, Transnistria)

Chainalysis e TRM Labs rastreiam endereços associados — muitos já estão sancionados pelo OFAC americano.

2. Ransomware Direcionado

Alguns dos dados expostos em "vazamentos" como o de Bila Tserkva servem como matéria-prima para ataques de ransomware subsequentes: credenciais vazadas permitem infiltração, e a negociação de resgate ocorre quase invariavelmente em Monero, Bitcoin ou Ethereum. Há casos documentados de cidades ucranianas pagando em cripto para recuperar sistemas críticos.

3. Infraestrutura Sancionada

Carteiras ligadas a grupos como Perun Swaroga frequentemente acabam em listas SDN do OFAC. Usuários cripto de boa-fé que interagem (via mixers, via DEXs, via P2P) com fundos originados dessas atividades podem ter ativos congelados. Ferramentas como Chainalysis KYT, TRM Labs Wallet Screening e Elliptic Navigator tornam-se essenciais em OTC e exchanges.

4. O Uso Cripto Pela Ucrânia

Do outro lado, a Ucrânia foi pioneira em aceitar doações em cripto para a resistência — com mais de US$ 200 milhões arrecadados desde 2022 em BTC, ETH, USDT e outros. O cripto virou ferramenta legítima de resistência, usada para comprar suprimentos, pagar voluntários, financiar equipamento.

A ironia é evidente: o mesmo trilho tecnológico (blockchain pública) serve à resistência ucraniana e aos grupos que a atacam. Neutralidade técnica é apenas uma face da realidade; quem usa a ferramenta define o propósito.

O Padrão Mais Amplo: Ciberguerra Como Política de Estado

O Manual Russo

A Rússia desenvolveu, ao longo de 15 anos, um manual bem estabelecido de ciberoperações:

• Ataques a infraestrutura civil (energia, telecoms, saúde, administração)
• Desinformação via redes sociais
• Vazamentos estratégicos de dados para erodir confiança em instituições
• "Patriotic hacking" como camada plausível deniable
• Ransomware como arma econômica contra alvos estratégicos

A Resposta Ocidental

OFAC sancionou dezenas de grupos e endereços cripto ligados. CISA (Cybersecurity and Infrastructure Security Agency) americana compartilha IOCs com aliados. NATO expandiu mandato cyber. Mas o ritmo ainda é reativo, não preventivo.

Ucrânia Como Laboratório

Em termos práticos, a Ucrânia virou o laboratório mais avançado do mundo para ciberdefesa em tempo real. Lições aprendidas ali informam práticas defensivas globais: segmentação de rede, zero-trust, resiliência via distribuição, air-gapping estratégico.

O Papel das Plataformas de Threat Intel

Casos como Bila Tserkva reforçam a importância de plataformas como a VECERT Analyzer. Sem monitoramento contínuo de canais privados de Telegram, BreachForums e ecossistemas afins, esses vazamentos passariam completamente despercebidos até que o dano secundário (phishing, ransomware, scams) materializasse.

Para governos locais em países sob pressão cibernética, assinatura de serviços de threat intel está se tornando baseline operacional — equivalente ao que antivírus corporativo era 20 anos atrás.

Implicações Para Usuários Comuns

Se Você Tem Vínculo Com Ucrânia / Rússia

• Assuma que seus dados pessoais podem aparecer em bases vazadas
• Monitore serviços como HaveIBeenPwned e equivalentes
• Reforce 2FA com hardware keys em serviços críticos
• Evite reutilização de senhas entre serviços

Se Você Opera Em Cripto

• Se usar OTC, exija KYT reports sobre origem de fundos
• Monitore sanções OFAC atualizadas antes de grandes operações P2P
• Use exchanges com compliance robusto para reduzir risco de receber fundos rastreados
• Atenção a "deals bons demais" em fóruns de leste europeu — frequente origem são fundos de ransomware

Se Você Observa Cripto Globalmente

• Entenda que cripto é neutra tecnicamente mas político-operacionalmente complexa
• Siga análises de Chainalysis, TRM Labs, Elliptic para entender fluxos
• Acompanhe SDN lists para ver quais endereços estão sancionados
• Não romantize nem demonize — o cripto é ferramenta, usada por todos os lados

Conclusão: O Front Invisível É Também Decisivo

A guerra Rússia-Ucrânia é o conflito mais complexo do século XXI — militar, econômico, informacional, cibernético. Casos como o vazamento de Bila Tserkva, aparentemente pequenos, somam-se em uma campanha de desgaste que afeta a capacidade do Estado ucraniano de funcionar em níveis locais. É baixa-intensidade, mas é sistemática.

Para o ecossistema cripto, existe um papel a desempenhar — e uma responsabilidade. As ferramentas de rastreamento, compliance e análise on-chain fornecem transparência que canais tradicionais não conseguem. Quanto mais robusto o monitoramento, mais difícil fica monetizar ciberataques via cripto. Quanto mais alinhados exchanges e bancos estiverem com threat intel atualizado, menor o lucro operacional dos agressores.

O trabalho da VECERT e congêneres é apenas parte desse ecossistema. Mas é parte essencial. E cada alerta — por menor que pareça no radar público — contribui para desenhar o mapa completo de um conflito que, por muito tempo ainda, continuará sendo travado simultaneamente em terra, ar, mar, espaço e, cada vez mais, em blockchains.

Fonte principal: alerta da VECERT Analyzer publicado em 14 de abril de 2026. Dados contextualizados com reports públicos de Chainalysis, TRM Labs, Elliptic, Mandiant e Check Point.

Aviso: Este conteúdo é informativo e tem finalidade educacional. Não constitui recomendação de investimento nem posicionamento político. A ON3X acompanha eventos geopolíticos por sua relevância ao ecossistema cripto e threat intelligence globalmente.