0
0
A polícia espanhola prendeu 16 suspeitos na semana passada sob a acusação de lavagem de fundos roubados por trojans bancários como Mekotio e Grandoreiro.
De acordo com a Guardia Civil, a agência policial mais antiga da Espanha e uma das duas forças policiais nacionais, 16 suspeitos foram presos na Ribeira (uma cidade na província da Corunha), Seseña (Toledo), Villafranca de Los Barros (Badajoz), Aranda de Duero (Burgos), Parla (Madrid), Mósto
O grupo foi preso na semana passada, e suspeitos tiveram suas casas revistadas e dispositivos apreendidos para investigação durante incursões parte de uma operação que as autoridades chamaram de Águas Vivas.
Após as incursões, as autoridades disseram que encontraram evidências de que os suspeitos receberam mais de 276.670 euros de contas bancárias comprometidas com a ajuda dos dois trojans bancários. Além disso, a Guardia Civil disse que os suspeitos também tinham acesso a contas bancárias armazenando cerca de 3,5 milhões de euros, que ainda não haviam movido e roubado de seus respectivos proprietários.
Uma operação bem estruturada
Acredita-se que as cepas de malware Mekotio e Grandoreiro sejam o trabalho de grupos brasileiros de crimes cibernéticos que alugam acesso às suas ferramentas para outras gangues responsáveis pela distribuição do trojan e lavagem de fundos.
Ambos os trojans são desenvolvidos para atingir computadores Windows e geralmente são espalhados usando e-mails falsificados imitando organizações legítimas. Depois de infectar uma vítima, eles ficam ocultos e esperam até que os usuários façam login em contas bancárias eletrônicas, coletando silenciosamente suas credenciais.
Autoridades disseram que os dois trojans usados nos ataques eram capazes de coletar dados para até 30 bancos diferentes. Uma vez que os atacantes tiveram acesso às contas bancárias das vítimas, eles acessaram portais bancários eletrônicos e enviaram os fundos para contas sob seu controle.
“Uma característica em que todas as vítimas concordaram é que, uma vez que realizaram qualquer operação bancária pela web, seus computadores reiniciaram várias vezes até que o acesso fosse bloqueado, observando mais tarde que grandes quantias de seu dinheiro haviam sido transferidas para contas desconhecidas”, disseram autoridades civis da Guardia em um comunicado à imprensa na semana passada.
“Depois disso, o dinheiro foi dividido enviando-o para outras contas, ou sacando dinheiro em caixas eletrônicos, transferências por BIZUM, cartões REVOLUT, etc., a fim de dificultar possíveis investigações policiais”, acrescentou a agência. Autoridades não disseram se os 16 suspeitos distribuíram o malware, mas disseram que estavam fortemente envolvidos em ajudar a lavar os fundos roubados.
A organização estava perfeitamente estruturada e hierárquica, em 4 níveis. Por um lado, havia aqueles que se dedicaram a receber os valores das transferências fraudulentas (Nível 1), que mais tarde transferiram para outros membros da organização (Nível 2). Por outro lado, havia aqueles que transferiram o dinheiro para outras contas localizadas no exterior (Nível 3) e, finalmente, aqueles que se dedicaram a mascarar as operações on-line das contas (Nível 4).
Guardia Civil
Expansão do ecossistema de trojans bancários do Brasil
A prisão dos 16 suspeitos na Espanha confirma relatos de empresas de segurança como ESET e Kaspersky, que alertaram no ano passado que grupos brasileiros de crimes cibernéticos estavam atualizando seus trojans bancários com apoio a bancos europeus, além de seus alvos clássicos brasileiros e latino-americanos.
A ESET, que tem acompanhado a evolução da Mekotio e da Grandoreiro ao longo de 2020, destacou especificamente como os dois trojans bancários cresceram em sofisticação e alcançaram o ano passado.
Embora o Mekotio seja uma operação relativamente nova, o trojan Grandoreiro existe desde 2016 e é um nome bem conhecido no setor de segurança cibernética.
Em um post de blog de julho de 2020, Kaspersky colocou Mekotio (também conhecido como Melcoz) e Grandoreiro no Tetrade, um codinome que a empresa estava usando para descrever as quatro maiores famílias de trojans bancários criadas, desenvolvidas e espalhadas por bandidos brasileiros em nível global. As outras duas partes do cartel Tetrade eram Guildma (Astaroth) e Javali.
“Grandoreiro e Mekotio vêm se expandindo para a Europa (especialmente para a Espanha) desde o início de 2020, o que atraiu substancialmente mais atenção para esses trojans bancários do que antes, seja de pesquisadores, empresas ou forças policiais”, disse um porta-voz da ESET ao The Record hoje cedo.
“A prisão demonstra que a operação que esses atores de ameaças estão executando não é pequena. Além disso, fornece uma estimativa de quão bem-sucedida foi sua campanha europeia, revelando quanto dinheiro foi roubado através da Mekotio e Grandoreiro”, acrescentou a empresa de segurança.
Estatísticas divulgadas hoje pela Kaspersky confirmam a expansão da Mekotio e da Grandoreiro para a Europa, com a Espanha sendo a mais atingida depois de seu Brasil natal.
As prisões relacionadas a Mekotio e Grandoreiro na Espanha também são a segunda vez que as autoridades espanholas prendem cibercriminosos locais que trabalham com malware de trojan bancário em 2021. As primeiras prisões ocorreram em março, quando prenderam quatro suspeitos por distribuir o trojan bancário FluBot Android.
FONTE: THE RECORD