As redes cibercriminosas brasileiras roubam cada vez mais dados e exigem resgates por eles, aproveitando-se das forças de segurança, que lutam para mourejar com a explosão do transgressão cibernético.
Os incidentes de segurança cibernética atingiram recordes mensais em janeiro e abril deste ano, de pacto com a escritório federalista de segurança cibernética do Brasil.
Entre os alvos mais recentes estão instituições financeiras importantes com capacidades de segurança cibernética superiores às da média das empresas brasileiras. Em 1º de julho, um grupo chamado RansomHub começou filtro informações roubadas do Sistema de Cooperativas Financeiras do Brasil (Sicoob), uma semana depois que o Sicoob anunciou que havia sido atacado e seus dados sequestrados.
O número de incidentes de segurança cibernética nos primeiros meses de 2024 bateu recordes
Número de incidentes registrados pelo governo (janeiro de 2020 – junho de 2024)
O Brasil, cuja economia é cada vez maior e cada vez mais conectada à Internet, tornou-se um dos principais alvos dos cibercriminosos dentro e fora do país.
Quase metade dos ataques detectados pelo governo brasílio até agora em 2024 envolveram qualquer tipo de violação de dados. A carteira, a saúde, a ensino e muitos outros setores estão agora online, tornando os dados cada vez mais valiosos e vulneráveis.
VEJA TAMBÉM: Denúncia de lavagem de criptomoedas nos EUA mostra maiores esforços das autoridades para processar esse transgressão
Uma das maiores ameaças é o roubo de software, um programa malicioso – ou malware— projetado para roubar detalhes de login e outras credenciais dos usuários. De pacto com a SOCRadar, empresa de perceptibilidade contra ameaças cibernéticas, o Brasil é o país com o maior número de ataques de roubo de credenciais de software no mundo.
Outra estratégia é usar ransomware, também chamado de ransomware, para bloquear os dados de uma organização com criptografia inquebrável. As vítimas pagam para restabelecer o chegada ou, uma vez que no caso do Sicoob, os dados vazam.
“Hoje os dados valem ouro”, afirma Daniela Dupuy, promotora de crimes cibernéticos e diretora do Observatório de Crimes Cibernéticos e Evidências Digitais em Investigações Criminais (OCEDIC) da Argentina.
Os cibercriminosos do Brasil
Os cibercriminosos geralmente combinam especialidades, com cada membro escrevendo malware, criando sites falsos ou lavando moeda. Operar online apresenta dificuldades adicionais na identificação dos responsáveis pelos ataques cibernéticos, mas os investigadores e as autoridades policiais conseguiram identificar vários grupos baseados no Brasil.
A identificação de um grupo requer a recolha de vestígios digitais até que haja ligações suficientes para provar que um grupo específico opera em conjunto. O tipo de malware utilizado, as táticas, os objetivos que perseguem, os nomes de usuário e os horários de operação são analisados para encontrar identificadores únicos que caracterizem um grupo, um processo que pode levar anos de coleta e estudo de dados.
Um grupo brasílio notável é o UNC5176. De pacto com um relatório do Threat Analysis Group (TAG) do Google e da empresa de segurança cibernética Mandiant, oriente grupo atacou principalmente entidades financeiras em toda a América Latina e Espanha.
UNC5176 usa um tipo específico de malware chamado Trojan URSA ou Mispadu. Quando as vítimas clicam em um link de um site falso ou de um e-mail malicioso, o malware é instalado. O programa portanto rouba credenciais de login dos navegadores das vítimas ou cria pop-ups falsos quando a vítima visitante um site bancário, enganando o usuário para que insira suas informações financeiras, que são portanto enviadas para um servidor controlado no Brasil pela gangue cibernética.
VEJA TAMBÉM: Conti: a organização cibercriminosa russa que espalhou o terror na América Latina e desapareceu
Um malware semelhante chamado Grandoreiro está circulando por todo o Brasil. Embora vários grupos utilizem frequentemente o mesmo malware, o Grandoreiro espalhou-se pela região em secção graças a um grupo publicado uma vez que FLUXROOT, de pacto com análises da TAG e da Mandiant.
Há também o PINEAPPLE, um grupo de cibercriminosos que se passam pelo serviço tributário federalista do Brasil. O grupo enviou e-mails falsos que parecem vir de um endereço solene do governo e criou um clone do site do departamento para induzir as vítimas a instalar software malicioso.
Embora o mundo do transgressão cibernético seja frequentemente associado à dark web, os grupos brasileiros tendem a operar mais na superfície.
“O Brasil sempre teve uma comunidade cibercriminosa única”, disse Luke McNamara, vice-chefe de estudo da Mandiant, à InSight Violação. “É muito mais fundamentado em Telegram e WhatsApp, o que acho que também é único porque proporciona um pouco mais de facilidade para novos membros.”
Durante 2024, os incidentes cibernéticos no Brasil foram principalmente vazamentos de dados
Número de incidentes registrados pelo governo (janeiro a maio de 2024)
caçando fantasmas
A natureza remota do cibercrime permite que grupos criminosos cheguem às vítimas à intervalo, enquanto os esforços de emprego da lei trabalham para identificar, localizar e prender os perpetradores.
A natureza transnacional destes crimes cria obstáculos jurisdicionais e de cooperação significativos. O UNC5176, por exemplo, atacou vítimas no México e na Espanha, desviando seus dados para um servidor no Brasil. Isto requer cooperação entre forças de segurança de diferentes continentes e de diferentes agências governamentais que falam línguas diferentes e operam sob leis e restrições diferentes.
Mesmo quando os infratores e as vítimas estão no mesmo país, as investigações podem ter uma componente transnacional. As empresas comumente utilizam serviços em nuvem, onde seus dados são armazenados em computadores localizados em centros remotos, o que pode complicar o processo de obtenção de provas.
“A prova do dedo (…) é detida pelo sector privado. Todos eles têm suas empresas ou sedes no exterior, e é lá que têm todas as provas que um promotor precisa para investigar”, disse Dupuy.
VEJA TAMBÉM: O Velho Oeste do dedo: América Latina em apuros devido ao transgressão criptográfico
As informações digitais também são continuamente registradas e excluídas, e os cibercriminosos acrescentam novos elementos para encobrir seus rastros.
“É muito mais fácil destruir completamente as evidências eletrônicas do que as físicas”, disse Dupuy.
O Brasil tem feito esforços para fortalecer sua capacidade contra o transgressão cibernético nos últimos anos. Em 2022, a Polícia Federalista lançou uma unidade especializada focada nas mais complexas ameaças cibernéticas. Mas ainda está detrás de muitos de seus pares, ocupando o penúltimo lugar entre os 20 principais países em políticas de segurança cibernética, de pacto com o último Índice de Resguardo Cibernética da MIT Technology Review.
A prevenção é outro problema. Uma vez que muitos softwares de roubo escapam às verificações antivírus e dependem de enganar as vítimas para que instalem malware, as autoridades têm poucas opções para impedir os golpes antes que eles se espalhem.
Ao mesmo tempo, a crescente consciencialização sobre o transgressão cibernético organizado levou muitas empresas a investir em proteções reforçadas. De pacto com o Barômetro de Riscos da Allianz, as ameaças cibernéticas ocupam agora o segundo lugar, depois das mudanças climáticas, entre os riscos que ameaçam as empresas no Brasil. E as empresas investem cada vez mais em testes proativos das suas defesas de cibersegurança para procurar vulnerabilidades antes que os criminosos as encontrem.