A empresa de cibersegurança Kaspersky identificou, em maio, uma campanha no México da quadrilha brasileira Grandoreiro.
O vírus, que concede acesso remoto ao computador da vítima, foi encontrado em emails que citavam serviços do governo mexicano. A vítima era induzida a clicar em um link e baixar um arquivo zip.
“O vírus só era instalado se o computador atendesse a alguns critérios, como estar no México”, afirma o analista sênior da Kaspersky, Fábio Marenghi.
O Grandoreiro foi desmantelado pela Polícia Federal em janeiro em cooperação internacional com a polícia espanhola, o banco da Espanha Caixa Bank, a Interpol, a própria Kaspersky e a Eset.
Com controle sobre a máquina, os criminosos monitoram o comportamento das vítimas para obter senhas de bancos e realizar transações bancárias quando a tela está desligada.
“Se o criminoso fez uma campanha mirando o México, ele só quer vítimas do México. Um brasileiro pode estar investigando o programa e será impedido”, diz Marenghi. Ele, após análise do vírus, afirma que o código do Grandoreiro passou por mudanças para driblar softwares de proteção.
“Foi a primeira vez que eu vi o uso de um algoritmo de criptografia [usado normalmente nos mais sofisticados ransomwares] em um cavalo de troia brasileiro”, diz Marenghi.
Essa foi a primeira detecção de uma campanha em massa do vírus brasileiro desde a prisão pela PF de 15 suspeitos de liderarem a quadrilha de crimes cibernéticos. Três deles tiveram a prisão cautelar convertida em preventiva e ainda estão detidos. Na ocasião, os agentes da divisão de crimes cibernéticos apreenderam computadores usados nos crimes.
Como os crimes cibernéticos costumam não ser violentos, é difícil que os juízes decretem prisões preventivas, avalia Yuri Maia, o diretor do serviço de investigação de crimes de alta tecnologia da Polícia Federal. “Precisamos provar que os investigados podem dificultar a investigação ou reincidir no crime.”
A operação teve início a partir de denúncia do banco espanhol Caixa Bank, que estima ter sofrido prejuízos de 110 milhões de euros (R$ 674 milhões na cotação atual), pelos desvios do vírus brasileiro.
De acordo com Maia, foi necessário instaurar um processo de cooperação internacional para que o Caixa Bank conseguisse fazer uma denúncia no Brasil. “Quando fizemos a análise e vimos que era Grandoreiro, fomos atrás de parceiros que tinham mais informações e relatórios que poderiam embasar nossa investigação”, afirma.
Depois da prisão dos membros do Grandoreiro, o número de servidores hospedando o vírus caiu 60% e o número de vítimas caiu entre 30% e 60%, segundo dados da PF.
Folha Mercado
Receba no seu email o que de mais importante acontece na economia; aberta para não assinantes.
Segundo o diretor da Polícia Federal, as autoridades brasileiras não podem iniciar novas investigações sobre o Grandoreiro sem uma denúncia formal. “Os mexicanos que forem vítimas precisam de fazer um pedido de cooperação e dar seguimento a um novo processo burocrático”, afirma.
Ainda conforme Maia, um dos detentos relatou como a quadrilha usava “mulas” para trazer o dinheiro da Espanha para o Brasil. “Laranjas lavam dinheiro com criptomoedas, sócios locais na Espanha, apps de envio de dinheiro e cartões de presente”, diz Maia.
Para Marenghi, o padrão de atuação da quadrilha dá pistas que a ofensiva detectada no México também foi encampada por brasileiros. “Não é fácil encontrar o código do Grandoreiro na internet, é algo que eles compartilham entre si, com pessoas que confiam.”
Maia diz que é mais fácil para os criminosos convencerem pessoas a atuarem como laranjas, com ofertas de dinheiro e vantagem fácil, do que treiná-las para operar no cibercrime.
A PF conseguiu rastrear movimentações do Grandoreiro de 3,6 milhões de euros (R$ 22 milhões) entre 2019 e o início deste ano. Os investigadores identificaram atuação da quadrilha em 45 países, nos cinco continentes, contra 1.367 bancos. Ao menos 276 carteiras de criptomoedas foram usadas no esquema.
As operações eram feitas em quantias módicas, na cada de poucos milhares ou centenas de reais, segundo Maia. As informações constavam nos aparelhos apreendidos pelas autoridades.
Embora o vírus tenha sido detectado primeiro na Espanha, pesquisadores das empresas de cibersegurança Eset e Kaspersky descobriram que as mentes por trás do vírus eram brasileiras a partir de trechos textuais do código do programa invasor. “Estavam em português brasileiro, com palavras como fila, usadas no Brasil”, diz Marenghi, da Kaspersky.
Para despistar os investigadores, os criminosos usavam serviços de nuvens de países não convencionais, no oriente médio e no leste europeu.
Essas informações serviram de contexto para a investigação das fraudes que o grupo investigou na Espanha. “Os domínios [na internet] que achamos vieram apenas de informações produzidas pela Polícia Federal”, diz Maia.
De acordo com a Kaspersky, o Grandoreiro foi o cavalo de troia mais detectado nas máquinas de clientes da empresa na América Latina. O vírus respondeu por 16,8% dos ataques detectados em computadores, mesmo após o desmantelamento da quadrilha.
Segundo a companhia russa, a quadrilha brasileira atua no esquema de malware (programa malicioso) como serviço e vende a tecnologia para outros criminosos brasileiros. “É uma espécie de pirâmide do crime”, resume o chefe da equipe de pesquisa da Kaspersky na América Latina, Fabio Assolini.
O repórter viajou a convite da Kaspersky