O mundo da segurança digital foi recentemente surpreendido pelo surgimento de um novo RaaS (Ransomware as a Service) que foge do padrão tradicional dos operadores russos: o Sicarii. O grupo se destaca por adotar símbolos da Haganah, usar o idioma hebraico em suas mensagens e reivindicações, mas também por exibir contradições que chamaram a atenção da Check Point Research, que em seu relatório observa inconsistências linguísticas e comportamentais sugerindo que o grupo provavelmente não é israelense. Ao contrário de ataques convencionais, o Sicarii não apenas busca lucro financeiro, mas também parece interessado em manipular narrativas e criar uma identidade geopolítica — ou pelo menos tentar fazê-lo.
O que torna o Sicarii intrigante é essa mistura de técnica e teatralidade. Diferente de operadores russos ou chineses, que geralmente mantêm um perfil operacional discreto, o Sicarii combina ferramentas sofisticadas de ataque com uma presença online marcada por inconsistências culturais e linguísticas, levantando suspeitas de que sua identidade israelense possa ser apenas uma cortina de fumaça.
Anatomia técnica do Sicarii: como o malware ataca
O Sicarii inicia suas operações com mecanismos sofisticados de detecção e evasão. Entre os primeiros sinais, destaca-se a verificação anti-VM e anti-sandbox, incluindo checagens falhas de DirectX que indicam se o malware está sendo executado em ambientes de análise. Essa etapa inicial ajuda a evitar que pesquisadores de segurança capturem amostras funcionais em laboratórios virtuais.
Após a fase de reconhecimento, o malware explora vulnerabilidades conhecidas para ganhar acesso privilegiado. Um dos vetores mais documentados é a CVE-2025-64446, explorada em dispositivos Fortinet, que permite execução remota de código e facilita a propagação lateral dentro de redes corporativas. A Check Point Research ressalta que essa exploração torna o Sicarii particularmente perigoso em ambientes corporativos que ainda não aplicaram as atualizações de segurança recomendadas. A combinação dessas técnicas torna o Sicarii um agente altamente destrutivo, mesmo quando comparado a ransomwares tradicionais.
Criptografia e persistência
O Sicarii utiliza criptografia robusta baseada em AES-GCM de 256 bits, aplicando a extensão .sicarii aos arquivos criptografados. Esse método garante não apenas confidencialidade, mas também resistência a tentativas de recuperação sem a chave correta.
Além da criptografia, o malware implementa mecanismos de persistência avançados. Entre eles, destaca-se a criação de um serviço falso denominado WinDefender service e a criação de usuários em ambientes AWS para manter acesso mesmo após reinicializações ou remoção parcial do software malicioso. Esses detalhes indicam que, tecnicamente, o Sicarii é altamente profissional, independentemente de sua identidade duvidosa.
A farsa da identidade: por que o Sicarii provavelmente não é israelense
Apesar de adotar símbolos israelenses, várias evidências apontam para uma origem diferente. A Check Point Research observa que o hebraico usado pelo grupo contém erros crassos, enquanto a fluência em russo e inglês se mostra muito mais natural, sugerindo que o branding “israelense” é artificial.
O comportamento no Telegram, especialmente no perfil @Skibcum, reforça essa tese. Mensagens inconsistentes, horários de postagem incompatíveis com o fuso de Israel e uma falta geral de disciplina operacional indicam que o grupo não possui uma base no país, diferentemente de grupos estabelecidos em operações russas ou europeias.
A conexão com a subcultura de fóruns
O Sicarii também se conecta com uma subcultura de fóruns digitais marcada pelo uso de memes e referências extremistas. Há indícios de alinhamento com grupos banidos, como o Kach, mostrando que além de ransomware, o grupo busca criar uma narrativa ideológica que atrai seguidores online. Essa mistura de humor, extremismo e ransomware é rara, mas serve para reforçar a confusão sobre a verdadeira identidade dos operadores.
Geopolítica e falsa bandeira: o que está por trás do grupo?
Um ponto intrigante do Sicarii é a geopolítica por trás de seus ataques. O malware evita deliberadamente alvos em Israel, concentrando esforços em países árabes e outros territórios estratégicos. Essa escolha sugere uma operação de falsa bandeira tecnológica, possivelmente inspirada em precedentes históricos onde ataques cibernéticos foram usados como ferramentas de desinformação.
Pesquisadores comparam o Sicarii com grupos como Qilin e Cl0p, que também misturam ação criminosa com objetivos de propaganda. Esse padrão mostra como a linha entre crime cibernético e operações de influência pode ser tênue, e como atores maliciosos usam identidade e narrativa para confundir analistas e autoridades.
Conclusão e lições de segurança
O Ransomware Sicarii é uma ameaça funcional e perigosa, combinando técnicas de criptografia robustas e persistência avançada com uma camada de propaganda imatura e inconsistências linguísticas. Para profissionais de segurança digital, isso reforça a importância de uma defesa em camadas, atualização constante de sistemas e monitoramento de redes corporativas, especialmente em dispositivos vulneráveis como os Fortinet.
Embora a origem real do grupo permaneça incerta, sua presença evidencia como ataques modernos não se limitam a extorsão financeira, mas também podem incluir manipulação de narrativa e tentativas de falsa bandeira tecnológica. O debate permanece aberto: seria o Sicarii um grupo amador tentando parecer internacional, ou há uma operação de influência mais sofisticada por trás dessa fachada?