A empresa de cibersegurança Kaspersky identificou, em maio, uma campanha no México da quadrilha brasileira Grandoreiro.
O vírus, que concede aproximação remoto ao computador da vítima, foi encontrado em emails que citavam serviços do governo mexicano. A vítima era induzida a clicar em um link e subtrair um registo zip.
“O vírus só era instalado se o computador atendesse a alguns critérios, porquê estar no México”, afirma o comentador sênior da Kaspersky, Fábio Marenghi.
O Grandoreiro foi desmantelado pela Polícia Federalista em janeiro em cooperação internacional com a polícia espanhola, o banco da Espanha Caixa Bank, a Interpol, a própria Kaspersky e a Eset.
Com controle sobre a máquina, os criminosos monitoram o comportamento das vítimas para obter senhas de bancos e realizar transações bancárias quando a tela está desligada.
“Se o criminoso fez uma campanha mirando o México, ele só quer vítimas do México. Um brasiliano pode estar investigando o programa e será impedido”, diz Marenghi. Ele, depois estudo do vírus, afirma que o código do Grandoreiro passou por mudanças para driblar softwares de proteção.
“Foi a primeira vez que eu vi o uso de um algoritmo de criptografia [usado normalmente nos mais sofisticados ransomwares] em um cavalo de troia brasiliano”, diz Marenghi.
Essa foi a primeira detecção de uma campanha em volume do vírus brasiliano desde a prisão pela PF de 15 suspeitos de liderarem a quadrilha de crimes cibernéticos. Três deles tiveram a prisão cautelar convertida em preventiva e ainda estão detidos. Na ocasião, os agentes da partilha de crimes cibernéticos apreenderam computadores usados nos crimes.
Uma vez que os crimes cibernéticos costumam não ser violentos, é difícil que os juízes decretem prisões preventivas, avalia Yuri Maia, o diretor do serviço de investigação de crimes de subida tecnologia da Polícia Federalista. “Precisamos provar que os investigados podem dificultar a investigação ou reincidir no transgressão.”
A operação teve início a partir de denúncia do banco espanhol Caixa Bank, que estima ter sofrido prejuízos de 110 milhões de euros (R$ 674 milhões na cotação atual), pelos desvios do vírus brasiliano.
De conciliação com Maia, foi necessário instaurar um processo de cooperação internacional para que o Caixa Bank conseguisse fazer uma denúncia no Brasil. “Quando fizemos a estudo e vimos que era Grandoreiro, fomos detrás de parceiros que tinham mais informações e relatórios que poderiam embasar nossa investigação”, afirma.
Depois da prisão dos membros do Grandoreiro, o número de servidores hospedando o vírus caiu 60% e o número de vítimas caiu entre 30% e 60%, segundo dados da PF.
Segundo o diretor da Polícia Federalista, as autoridades brasileiras não podem iniciar novas investigações sobre o Grandoreiro sem uma denúncia formal. “Os mexicanos que forem vítimas precisam de fazer um pedido de cooperação e dar seguimento a um novo processo burocrático”, afirma.
Ainda conforme Maia, um dos detentos relatou porquê a quadrilha usava “mulas” para trazer o verba da Espanha para o Brasil. “Laranjas lavam verba com criptomoedas, sócios locais na Espanha, apps de envio de verba e cartões de presente”, diz Maia.
Para Marenghi, o padrão de atuação da quadrilha dá pistas que a ofensiva detectada no México também foi encampada por brasileiros. “Não é fácil encontrar o código do Grandoreiro na internet, é um tanto que eles compartilham entre si, com pessoas que confiam.”
Maia diz que é mais fácil para os criminosos convencerem pessoas a atuarem porquê laranjas, com ofertas de verba e vantagem fácil, do que treiná-las para operar no cibercrime.
A PF conseguiu rastrear movimentações do Grandoreiro de 3,6 milhões de euros (R$ 22 milhões) entre 2019 e o início deste ano. Os investigadores identificaram atuação da quadrilha em 45 países, nos cinco continentes, contra 1.367 bancos. Ao menos 276 carteiras de criptomoedas foram usadas no esquema.
As operações eram feitas em quantias módicas, na cada de poucos milhares ou centenas de reais, segundo Maia. As informações constavam nos aparelhos apreendidos pelas autoridades.
Embora o vírus tenha sido detectado primeiro na Espanha, pesquisadores das empresas de cibersegurança Eset e Kaspersky descobriram que as mentes por trás do vírus eram brasileiras a partir de trechos textuais do código do programa invasor. “Estavam em português brasiliano, com palavras porquê fileira, usadas no Brasil”, diz Marenghi, da Kaspersky.
Para despistar os investigadores, os criminosos usavam serviços de nuvens de países não convencionais, no oriente médio e no leste europeu.
Essas informações serviram de contexto para a investigação das fraudes que o grupo investigou na Espanha. “Os domínios [na internet] que achamos vieram unicamente de informações produzidas pela Polícia Federalista”, diz Maia.
De conciliação com a Kaspersky, o Grandoreiro foi o cavalo de troia mais detectado nas máquinas de clientes da empresa na América Latina. O vírus respondeu por 16,8% dos ataques detectados em computadores, mesmo depois o desmantelamento da quadrilha.
Segundo a companhia russa, a quadrilha brasileira atua no esquema de malware (programa malicioso) porquê serviço e vende a tecnologia para outros criminosos brasileiros. “É uma espécie de pirâmide do transgressão”, resume o gerente da equipe de pesquisa da Kaspersky na América Latina, Fabio Assolini.
O repórter viajou a invitação da Kaspersky
