Brasil Exporta Crimes Digitais: o que a sofisticação do malware nacional significa para a segurança da sua empresa

O Brasil deixou de ser apenas alvo de crimes digitais. Hoje é um dos principais centros mundiais de desenvolvimento e exportação de tecnologia para fraudes financeiras, com ferramentas comercializadas em mais de 90 países. Para as empresas brasileiras, isso significa que as ameaças que chegam de fora foram, em muitos casos, desenvolvidas aqui dentro.

Como o Brasil se tornou um dos maiores exportadores de tecnologia para crimes digitais?

O que começou como atividade concentrada no mercado doméstico virou movimento organizado de exportação de infraestrutura criminosa. “O Brasil é um dos países que mais sofre e também um dos que mais produz ataques cibernéticos no mundo”, afirma Fabio Assolini, pesquisador líder de segurança da Kaspersky.

À medida que os bancos brasileiros fortaleceram suas defesas, os grupos criminosos locais precisaram se sofisticar para continuar operando, e essa sofisticação virou produto de exportação. O professor Albar Santin, do curso de Cibersegurança da PUC-PR, descreve esse movimento como uma corrida tecnológica em que os sistemas de defesa e os de ataque se desenvolvem em paralelo, formando grupos de elite especializados em cada lado.

O resultado é uma indústria criminosa com divisão de trabalho clara, cadeia de fornecimento estruturada e mercado internacional consolidado.

O que é o Grandoreiro e por que ele representa uma ameaça direta para empresas?

O principal produto desse movimento é a família Grandoreiro. O malware infecta computadores por campanhas de phishing e spam, permitindo que grupos criminosos roubem credenciais de acesso, monitorem atividades e realizem transferências fraudulentas diretamente das contas das vítimas.

A escala é expressiva: o Grandoreiro ataca em mais de 80 países e a lista de bancos cujas contas podem ser atacadas já supera 900 instituições, segundo Fabio Assolini. Para empresas com operações financeiras relevantes, isso significa que o risco não é hipotético. É estatisticamente provável para qualquer organização que não tenha camadas de proteção adequadas.

O vetor de entrada mais comum é o colaborador que clica em um link de phishing direcionado. Campanhas são construídas para parecerem comunicações legítimas de fornecedores, parceiros ou da própria instituição financeira da empresa. A sofisticação da engenharia social é parte central do produto, não um detalhe operacional.

Como o modelo Malware as a Service mudou o perfil do atacante?

Até pouco tempo, executar um ataque sofisticado exigia conhecimento técnico avançado. O modelo MaaS mudou essa equação de forma estrutural.

Você pode comprar serviços como Malware as a Service, mensal, anual. E o desenvolvedor recebe sempre uma fatia daquele golpe”,

Explica João Netto, diretor de tecnologia da ACTAR Peers Group, em análise publicada pelo Valor Econômico.

Modelo Quem executa Nível técnico exigido Escala de ataque
Crime digital tradicional Desenvolvedor com conhecimento técnico avançado Alto Limitada ao grupo
MaaS (Malware as a Service) Qualquer criminoso com acesso ao serviço Baixo Global por assinatura

Fonte: ACTAR Peers Group, com base em análise do mercado de crimes digitais.

O impacto para as empresas é direto: o número potencial de atacantes cresceu exponencialmente porque a barreira de entrada técnica foi eliminada. Qualquer criminoso com acesso à internet e capacidade de pagamento pode hoje executar campanhas sofisticadas contra alvos corporativos. Entender como sistemas integrados funcionam como camada de proteção operacional é o primeiro passo para reduzir essa superfície de ataque.

Por que campanhas de engenharia social brasileiras são tão eficazes fora do Brasil?

A eficácia internacional dos grupos brasileiros não vem apenas da tecnologia. Vem do modelo de operação distribuída que combina infraestrutura centralizada com adaptação local.

As quadrilhas daqui que oferecem essa estrutura tecnológica dão o approach para alguém montar uma campanha de phishing direcionada para uma determinada instituição, dando a cara, a nappagem e a forma de abordagem comunicacional, explica João Netto Grupos brasileiros fornecem a tecnologia. Parceiros locais, em cada país, adaptam a narrativa e executam o ataque.

Esse modelo permite que campanhas sejam ao mesmo tempo sofisticadas tecnicamente e culturalmente precisas no país-alvo, aumentando significativamente a taxa de sucesso.

O que as operações da Polícia Federal revelam sobre a maturidade dessas organizações?

Em 2024, duas operações da Polícia Federal deflagraram ações contra grupos brasileiros com atuação transnacional. A Operação Redescobimento, realizada em parceria com a polícia portuguesa, identificou uma organização que montou estrutura no Brasil para aplicar golpes em vítimas de Portugal.

A Operação Grandoreiro, voltada ao desmantelamento de grupo que usava versão adaptada do malware na Espanha, chegou a recrutar portugueses localmente para fazer as ligações telefônicas.

Os portugueses não tinham conhecimento do que estava acontecendo, segundo Valdemar Latance, coordenador-geral de combate a crimes cibernéticos da PF, o que sinaliza o grau de sofisticação na compartimentação das operações.

O que essas operações revelam é que contenção policial, mesmo bem-sucedida, não elimina a infraestrutura. A estruturação de camadas de defesa ativa é o que permite que as empresas reduzam a superfície de ataque independentemente de quem está do outro lado.

Entender como essas ameaças funcionam é o primeiro passo. O segundo é avaliar se a sua empresa tem as camadas de proteção adequadas para o nível de sofisticação que esses grupos já atingiram. A Peers apoia nesse diagnóstico, do mapeamento de vulnerabilidades à estruturação de defesa ativa.