Vazamento na IMA Diligence Services expõe dados de 525 mil pessoas; Genesis ransomware reivindica 700 GB

A IMA Diligence Services, subsidiária do IMA Financial Group voltada a due diligence em fusões e aquisições, está notificando 525.306 pessoas de que tiveram dados pessoais, financeiros, médicos e até passaportes roubados em um vazamento descoberto em meados de dezembro de 2025. O incidente foi reivindicado pelo grupo de ransomware Genesis, que diz ter exfiltrado 700 GB.

O que aconteceu

Em comunicado publicado no site da empresa e em notificação ao Procurador-Geral de Indiana, a IMA Diligence Services informa que dados pessoais armazenados em um servidor legado mantido por um terceiro foram comprometidos. O incidente foi detectado em meados de dezembro de 2025 quando esse servidor ficou inacessível — sinal típico de criptografia ou bloqueio por ransomware.

“Ao identificar o problema, notificamos as autoridades competentes e iniciamos imediatamente uma investigação para confirmar a natureza e o escopo do incidente”, diz o aviso publicado pela companhia. A IMA contratou consultoria externa de cibersegurança e revisou os dados expostos para emitir as cartas individuais.

O grupo Genesis adicionou a IMA Diligence Services em seu site de leak na rede Tor ao final de janeiro de 2026, reivindicando o ataque e afirmando ter exfiltrado 700 GB de dados — incluindo informações pessoais, documentos corporativos e arquivos confidenciais relacionados a transações de M&A.

Detalhes do vazamento

Segundo a empresa, o conjunto de dados afetado inclui nomes, endereços, números de Social Security, números de carteira de motorista, números de conta bancária, números de cartão de crédito, informações médicas e de seguro saúde e, em alguns casos, números de passaporte e identificações de contribuinte. Trata-se de uma combinação especialmente perigosa para fraudes financeiras, fraude de identidade sintética e abertura de contas em nome das vítimas.

“As informações pessoais dos indivíduos afetados foram extraídas de um servidor legado gerenciado por um terceiro”, afirma a IMA Diligence Services em sua notificação oficial.

A IMA Diligence Services — antiga RedRidge Diligence Services, fundada em 2009 — atua justamente em consultoria financeira para aquisições e fusões. O perfil das pessoas físicas potencialmente impactadas tende a ser sensível: executivos, sócios e funcionários de empresas envolvidas em transações corporativas, cujos dados de carteira de motorista, conta bancária e passaporte costumam constar em due diligence detalhada.

Quem é afetado

• 525.306 pessoas físicas notificadas oficialmente pela IMA Diligence Services ao Procurador-Geral de Indiana;
• Indivíduos com dados de identificação federal (SSN, taxpayer ID, passaporte) sob alto risco de fraude de identidade prolongada;
• Vítimas cujos dados de cartão de crédito e conta bancária foram exfiltrados — sujeitos a tentativas de fraude financeira em janelas curtas;
• Pacientes ou contratantes cujos dados de seguro saúde apareceram nos arquivos vazados, com risco adicional de fraude médica;
• Clientes corporativos do IMA Financial Group que mantinham diligências em andamento no período do incidente.

A companhia está oferecendo 12 meses gratuitos de monitoramento de crédito e serviços de restauração de identidade aos afetados.

Análise

O caso ilustra dois padrões persistentes em 2026. Primeiro, servidores “legados” administrados por terceiros continuam sendo um dos principais pontos cegos das operações de cibersegurança. Sistemas antigos, fora dos ciclos de patching automatizado, costumam acumular credenciais antigas, exposições não monitoradas e falta de segmentação — exatamente o tipo de alvo que grupos de ransomware buscam para entradas iniciais silenciosas. A combinação “legacy server + terceiro” volta a aparecer em comunicados de breach com frequência preocupante.

Segundo, a janela entre detecção (meados de dezembro/2025), aparição no leak site (final de janeiro/2026) e notificação pública (junho/2026) — quase seis meses — alinha-se à média observada em incidentes de ransomware com forensics complexa e exigências regulatórias estaduais nos EUA. Para o público afetado, contudo, esses meses representam tempo de exposição com dados em circulação em fóruns clandestinos.

O Genesis ransomware tem aparecido com mais frequência em listas de monitoramento de grupos como Recorded Future, Coveware e Chainalysis ao longo do último ano, com perfil de extorsão dupla — criptografia somada à publicação progressiva no leak site para pressionar pagamentos. O segmento de M&A advisory, com seu acervo de dados pessoais e corporativos altamente sensíveis, é um alvo natural para esse modelo.

Recomendações práticas

• Para pessoas notificadas: ativar imediatamente alertas de fraude e considerar congelamento de crédito (security freeze) junto às bureaus, além de aceitar o monitoramento oferecido pela IMA;
• Trocar qualquer credencial reutilizada associada a contas financeiras e ativar MFA não-SMS (TOTP ou hardware key) onde possível;
• Para equipes de M&A e advisory: inventariar urgentemente servidores legados sob gestão de terceiros, exigir SOC 2 atualizado e impor segmentação de rede entre o ambiente legado e a produção;
• Estabelecer retenção mínima de dados pessoais em due diligence concluída — repositórios “esquecidos” são dívida técnica que vira manchete;
• Implementar EDR e logging centralizado em servidores administrados por terceiros, exigindo via contrato visibilidade em tempo real;
• Adotar threat intelligence específica de leak sites para identificar precocemente menções à organização e a clientes de M&A.

Fonte: SecurityWeek