Brasil Exporta Crimes Digitais: o que a sofisticação do malware nacional significa para a segurança da sua empresa

KEY TAKEAWAYS

  • O Brasil é um dos países que mais sofre e também mais produz ataques cibernéticos no mundo, segundo pesquisador da Kaspersky.
  • O Grandoreiro, principal trojan bancário brasileiro, ataca bancos em mais de 80 países, com lista de contas atacáveis superando 900 instituições.
  • O modelo MaaS (Malware as a Service) permite que qualquer criminoso compre acesso a infraestrutura de ataque por assinatura mensal, democratizando o crime digital.
  • Grupos brasileiros fornecem tecnologia enquanto parceiros locais adaptam campanhas de phishing e engenharia social para cada país-alvo.
  • Duas operações da Polícia Federal em 2024 deflagraram ações contra grupos brasileiros que atuavam em Portugal e Espanha, mas a infraestrutura segue ativa.

MENU
SEÇÕES
Fechar Menu

O Brasil deixou de ser apenas alvo de crimes digitais. Hoje é um dos principais centros mundiais de desenvolvimento e exportação de tecnologia para fraudes financeiras, com ferramentas comercializadas em mais de 90 países. Para as empresas brasileiras, isso significa que as ameaças que chegam de fora foram, em muitos casos, desenvolvidas aqui dentro.

Como o Brasil se tornou um dos maiores exportadores de tecnologia para crimes digitais?

O que começou como atividade concentrada no mercado doméstico virou movimento organizado de exportação de infraestrutura criminosa. "O Brasil é um dos países que mais sofre e também um dos que mais produz ataques cibernéticos no mundo", afirma Fabio Assolini, pesquisador líder de segurança da Kaspersky.

À medida que os bancos brasileiros fortaleceram suas defesas, os grupos criminosos locais precisaram se sofisticar para continuar operando, e essa sofisticação virou produto de exportação. O professor Albar Santin, do curso de Cibersegurança da PUC-PR, descreve esse movimento como uma corrida tecnológica em que os sistemas de defesa e os de ataque se desenvolvem em paralelo, formando grupos de elite especializados em cada lado.

O resultado é uma indústria criminosa com divisão de trabalho clara, cadeia de fornecimento estruturada e mercado internacional consolidado.

O que é o Grandoreiro e por que ele representa uma ameaça direta para empresas?

O principal produto desse movimento é a família Grandoreiro. O malware infecta computadores por campanhas de phishing e spam, permitindo que grupos criminosos roubem credenciais de acesso, monitorem atividades e realizem transferências fraudulentas diretamente das contas das vítimas.

A escala é expressiva: o Grandoreiro ataca em mais de 80 países e a lista de bancos cujas contas podem ser atacadas já supera 900 instituições, segundo Fabio Assolini. Para empresas com operações financeiras relevantes, isso significa que o risco não é hipotético. É estatisticamente provável para qualquer organização que não tenha camadas de proteção adequadas.

O vetor de entrada mais comum é o colaborador que clica em um link de phishing direcionado. Campanhas são construídas para parecerem comunicações legítimas de fornecedores, parceiros ou da própria instituição financeira da empresa. A sofisticação da engenharia social é parte central do produto, não um detalhe operacional.

Como o modelo Malware as a Service mudou o perfil do atacante?

Até pouco tempo, executar um ataque sofisticado exigia conhecimento técnico avançado. O modelo MaaS mudou essa equação de forma estrutural.

"Você pode comprar serviços como Malware as a Service, mensal, anual. E o desenvolvedor recebe sempre uma fatia daquele golpe",

Explica João Netto, diretor de tecnologia da ACTAR Peers Group, em análise publicada pelo Valor Econômico.

Modelo Quem executa Nível técnico exigido Escala de ataque
Crime digital tradicional Desenvolvedor com conhecimento técnico avançado Alto Limitada ao grupo
MaaS (Malware as a Service) Qualquer criminoso com acesso ao serviço Baixo Global por assinatura

Fonte: ACTAR Peers Group, com base em análise do mercado de crimes digitais.

O impacto para as empresas é direto: o número potencial de atacantes cresceu exponencialmente porque a barreira de entrada técnica foi eliminada. Qualquer criminoso com acesso à internet e capacidade de pagamento pode hoje executar campanhas sofisticadas contra alvos corporativos. Entender como sistemas integrados funcionam como camada de proteção operacional é o primeiro passo para reduzir essa superfície de ataque.

Por que campanhas de engenharia social brasileiras são tão eficazes fora do Brasil?

A eficácia internacional dos grupos brasileiros não vem apenas da tecnologia. Vem do modelo de operação distribuída que combina infraestrutura centralizada com adaptação local.

As quadrilhas daqui que oferecem essa estrutura tecnológica dão o approach para alguém montar uma campanha de phishing direcionada para uma determinada instituição, dando a cara, a nappagem e a forma de abordagem comunicacional, explica João Netto Grupos brasileiros fornecem a tecnologia. Parceiros locais, em cada país, adaptam a narrativa e executam o ataque.

Esse modelo permite que campanhas sejam ao mesmo tempo sofisticadas tecnicamente e culturalmente precisas no país-alvo, aumentando significativamente a taxa de sucesso.

O que as operações da Polícia Federal revelam sobre a maturidade dessas organizações?

Em 2024, duas operações da Polícia Federal deflagraram ações contra grupos brasileiros com atuação transnacional. A Operação Redescobimento, realizada em parceria com a polícia portuguesa, identificou uma organização que montou estrutura no Brasil para aplicar golpes em vítimas de Portugal.

A Operação Grandoreiro, voltada ao desmantelamento de grupo que usava versão adaptada do malware na Espanha, chegou a recrutar portugueses localmente para fazer as ligações telefônicas.

Os portugueses não tinham conhecimento do que estava acontecendo, segundo Valdemar Latance, coordenador-geral de combate a crimes cibernéticos da PF, o que sinaliza o grau de sofisticação na compartimentação das operações.

O que essas operações revelam é que contenção policial, mesmo bem-sucedida, não elimina a infraestrutura. A estruturação de camadas de defesa ativa é o que permite que as empresas reduzam a superfície de ataque independentemente de quem está do outro lado.

Entender como essas ameaças funcionam é o primeiro passo. O segundo é avaliar se a sua empresa tem as camadas de proteção adequadas para o nível de sofisticação que esses grupos já atingiram. A Peers apoia nesse diagnóstico, do mapeamento de vulnerabilidades à estruturação de defesa ativa.

Perguntas Frequentes

Como a Peers pode ajudar?

A ACTAR Peers Group apoia empresas na avaliação de exposição a ameaças como trojans bancários e MaaS, com diagnóstico de vulnerabilidades, monitoramento de ameaças e estruturação de camadas de defesa adequadas ao perfil de risco de cada organização.

MaaS (Malware as a Service) é o modelo em que desenvolvedores de malware comercializam acesso à infraestrutura de ataque por assinatura. Isso permite que qualquer criminoso, sem conhecimento técnico avançado, execute campanhas sofisticadas de phishing e fraude financeira contra empresas.

É o principal trojan bancário brasileiro, distribuído por campanhas de phishing e spam. Ao infectar um computador, permite ao criminoso roubar credenciais de acesso, monitorar atividades e realizar transferências fraudulentas diretamente das contas das vítimas.

Sinais incluem tentativas de phishing direcionadas a colaboradores, movimentações atípicas em sistemas financeiros e acessos fora do padrão a sistemas críticos. O monitoramento contínuo de ameaças e o Risk Assessment são as principais ferramentas de identificação precoce.

Sim. Segundo pesquisadores da Kaspersky, o Brasil é simultaneamente um dos países que mais sofre e mais produz ataques cibernéticos. A sofisticação dos grupos locais cria um ambiente de ameaça permanente para empresas e instituições financeiras brasileiras.