Brasil Exporta Crimes Digitais: o que a sofisticação do malware nacional significa para a segurança da sua empresa
O Brasil deixou de ser apenas alvo de crimes digitais. Hoje é um dos principais centros mundiais de desenvolvimento e exportação de tecnologia para fraudes financeiras, com ferramentas comercializadas em mais de 90 países. Para as empresas brasileiras, isso significa que as ameaças que chegam de fora foram, em muitos casos, desenvolvidas aqui dentro.
O que começou como atividade concentrada no mercado doméstico virou movimento organizado de exportação de infraestrutura criminosa. "O Brasil é um dos países que mais sofre e também um dos que mais produz ataques cibernéticos no mundo", afirma Fabio Assolini, pesquisador líder de segurança da Kaspersky.
À medida que os bancos brasileiros fortaleceram suas defesas, os grupos criminosos locais precisaram se sofisticar para continuar operando, e essa sofisticação virou produto de exportação. O professor Albar Santin, do curso de Cibersegurança da PUC-PR, descreve esse movimento como uma corrida tecnológica em que os sistemas de defesa e os de ataque se desenvolvem em paralelo, formando grupos de elite especializados em cada lado.
O resultado é uma indústria criminosa com divisão de trabalho clara, cadeia de fornecimento estruturada e mercado internacional consolidado.
O principal produto desse movimento é a família Grandoreiro. O malware infecta computadores por campanhas de phishing e spam, permitindo que grupos criminosos roubem credenciais de acesso, monitorem atividades e realizem transferências fraudulentas diretamente das contas das vítimas.
A escala é expressiva: o Grandoreiro ataca em mais de 80 países e a lista de bancos cujas contas podem ser atacadas já supera 900 instituições, segundo Fabio Assolini. Para empresas com operações financeiras relevantes, isso significa que o risco não é hipotético. É estatisticamente provável para qualquer organização que não tenha camadas de proteção adequadas.
O vetor de entrada mais comum é o colaborador que clica em um link de phishing direcionado. Campanhas são construídas para parecerem comunicações legítimas de fornecedores, parceiros ou da própria instituição financeira da empresa. A sofisticação da engenharia social é parte central do produto, não um detalhe operacional.
Até pouco tempo, executar um ataque sofisticado exigia conhecimento técnico avançado. O modelo MaaS mudou essa equação de forma estrutural.
Explica João Netto, diretor de tecnologia da ACTAR Peers Group, em análise publicada pelo Valor Econômico.
| Modelo | Quem executa | Nível técnico exigido | Escala de ataque |
|---|---|---|---|
| Crime digital tradicional | Desenvolvedor com conhecimento técnico avançado | Alto | Limitada ao grupo |
| MaaS (Malware as a Service) | Qualquer criminoso com acesso ao serviço | Baixo | Global por assinatura |
Fonte: ACTAR Peers Group, com base em análise do mercado de crimes digitais.
O impacto para as empresas é direto: o número potencial de atacantes cresceu exponencialmente porque a barreira de entrada técnica foi eliminada. Qualquer criminoso com acesso à internet e capacidade de pagamento pode hoje executar campanhas sofisticadas contra alvos corporativos. Entender como sistemas integrados funcionam como camada de proteção operacional é o primeiro passo para reduzir essa superfície de ataque.
A eficácia internacional dos grupos brasileiros não vem apenas da tecnologia. Vem do modelo de operação distribuída que combina infraestrutura centralizada com adaptação local.
As quadrilhas daqui que oferecem essa estrutura tecnológica dão o approach para alguém montar uma campanha de phishing direcionada para uma determinada instituição, dando a cara, a nappagem e a forma de abordagem comunicacional, explica João Netto Grupos brasileiros fornecem a tecnologia. Parceiros locais, em cada país, adaptam a narrativa e executam o ataque.
Esse modelo permite que campanhas sejam ao mesmo tempo sofisticadas tecnicamente e culturalmente precisas no país-alvo, aumentando significativamente a taxa de sucesso.
Em 2024, duas operações da Polícia Federal deflagraram ações contra grupos brasileiros com atuação transnacional. A Operação Redescobimento, realizada em parceria com a polícia portuguesa, identificou uma organização que montou estrutura no Brasil para aplicar golpes em vítimas de Portugal.
A Operação Grandoreiro, voltada ao desmantelamento de grupo que usava versão adaptada do malware na Espanha, chegou a recrutar portugueses localmente para fazer as ligações telefônicas.
Os portugueses não tinham conhecimento do que estava acontecendo, segundo Valdemar Latance, coordenador-geral de combate a crimes cibernéticos da PF, o que sinaliza o grau de sofisticação na compartimentação das operações.
O que essas operações revelam é que contenção policial, mesmo bem-sucedida, não elimina a infraestrutura. A estruturação de camadas de defesa ativa é o que permite que as empresas reduzam a superfície de ataque independentemente de quem está do outro lado.
Entender como essas ameaças funcionam é o primeiro passo. O segundo é avaliar se a sua empresa tem as camadas de proteção adequadas para o nível de sofisticação que esses grupos já atingiram. A Peers apoia nesse diagnóstico, do mapeamento de vulnerabilidades à estruturação de defesa ativa.
Como a Peers pode ajudar?
A ACTAR Peers Group apoia empresas na avaliação de exposição a ameaças como trojans bancários e MaaS, com diagnóstico de vulnerabilidades, monitoramento de ameaças e estruturação de camadas de defesa adequadas ao perfil de risco de cada organização.
O que é MaaS e por que representa risco para empresas?
MaaS (Malware as a Service) é o modelo em que desenvolvedores de malware comercializam acesso à infraestrutura de ataque por assinatura. Isso permite que qualquer criminoso, sem conhecimento técnico avançado, execute campanhas sofisticadas de phishing e fraude financeira contra empresas.
O que é o Grandoreiro e como ele entra nas empresas?
É o principal trojan bancário brasileiro, distribuído por campanhas de phishing e spam. Ao infectar um computador, permite ao criminoso roubar credenciais de acesso, monitorar atividades e realizar transferências fraudulentas diretamente das contas das vítimas.
Como saber se minha empresa está sendo monitorada por grupos criminosos?
Sinais incluem tentativas de phishing direcionadas a colaboradores, movimentações atípicas em sistemas financeiros e acessos fora do padrão a sistemas críticos. O monitoramento contínuo de ameaças e o Risk Assessment são as principais ferramentas de identificação precoce.
O Brasil sofre mais ataques por ser um centro de desenvolvimento de malware?
Sim. Segundo pesquisadores da Kaspersky, o Brasil é simultaneamente um dos países que mais sofre e mais produz ataques cibernéticos. A sofisticação dos grupos locais cria um ambiente de ameaça permanente para empresas e instituições financeiras brasileiras.