1www.intsights.com

O Lado Obscuro da América Latina: Criptomoeda, Carding, Cartéis e a Ascensão do Crime Cibernético

O Lado Negro da América Latina

Sumário Executivo A América Latina possui alguns dos hackers e grupos de crime organizado mais complexos do mundo, mas as equipes de segurança corporativa sem presença na região geralmente ignoram isso. Em 2019, a equipe de pesquisa da IntSights começou a investigar campanhas persistentes de phishing lançadas contra clientes nos setores de varejo e serviços financeiros na Colômbia e no Brasil. Os resultados foram surpreendentes. Cibercriminosos muito persistentes estavam operando esquemas abrangentes visando bancos, serviços de hospitalidade e empresas de varejo por suas credenciais e ativos financeiros. Não foi difícil determinar de onde vinham as ameaças, porque os autores passavam mais tempo mudando sua infraestrutura e táticas do que escondendo suas identidades.

Em um caso, a equipe de pesquisa da IntSights conseguiu identificar a localização de um dos autores de ameaças na Colômbia, seus perfis de mídia social, vários nomes de avatar e métodos de phishing. Uma exploração mais profunda da vida desse autor de ameaças revelou um Causas Das Ameaçass mais complexo, uma fuga da pobreza e da censura do governo na Venezuela e uma travessia na fronteira com a Colômbia para seguir carreira no cibercrime. Essa constatação levou nossos pesquisadores a abordar essas descobertas em um relatório sobre a devastação político-econômica na Venezuela e as forças que levam os cidadãos ao submundo para ganhar dinheiro com o cibercrime.

O Lado Negro da América Latina é uma exploração do extenso Causas Das Ameaçass ao longo da região, definido pela dinâmica geopolítica, corrupção do governo, crime organizado e ataques persistentes a setores como varejo, financeiro e hospitalidade em todo o mundo.

MetodologíaA inteligência tática neste relatório é derivada de várias fontes proprietárias através de nossa plataforma ThreatCommand™, incluindo:

• Bancos de dados de acesso fechado • Centenas de fontes do submundo (deep web e dark web) • Milhares de sites de código aberto através de várias ferramentas de

pesquisa • Pesquisas manuais e automatizadas em centenas de conversas na

plataforma de mensagens e fóruns de grupos usados exclusivamente por hackers e cibercriminosos

Além disso, a equipe de pesquisadores e analistas de inteligência da IntSights contribuem com inteligência em nível operacional e estratégico para permitir que nossos usuários tomem decisões importantes e formem estratégias para se defender contra ameaças emergentes na América Latina.

A IntSights se orgulha de ter feito parceria neste relatório com os especialistas regionais em segurança cibernética CipherTrace e Scitum. Nossa experiência compartilhada em atender empresas latino-americanas com resposta a incidentes, segurança da informação e inteligência faz deste relatório o primeiro do gênero a abordar vários aspectos do comportamento criminoso, seus efeitos nas empresas em todo o mundo e métodos práticos para proteger as organizações contra essas ameaças. Algumas identidades foram ocultadas para fins de anonimato contínuo em investigações secretas.

2

O Lado Negro da América Latina

Causas Das AmeaçasA área conhecida como América Latina inclui México, América Central e América do Sul. A diversidade na região é celebrada em todo o mundo como um caldeirão de culturas, idiomas, cenários geográficos, economias e governos. No entanto, embora a região possua muitos componentes culturais universais, nações individuais experimentam sucessos e desafios únicos definidos por seus cenários políticos, ditaduras e democracias, diversidade econômica e o aumento acentuado na adoção de tecnologias digitais. 2019 foi um ano financeiro difícil para toda a América Latina, pois o crescimento econômico quase parou.

Em 30 de outubro de 2019, o Fundo Monetário Internacional (FMI) publicou seu Relatório World Outlook, que observou um declínio significativo no status econômico de toda a região da América Latina, destacando dificuldades significativas na Venezuela como resultado da hiperinflação e de uma crise humanitária. O FMI atribui esse rebaixamento em grande parte aos fatores sociais, incluindo a queda da confiança do consumidor em todo o mundo, a incerteza política e econômica e o papel da Venezuela como catalisador da instabilidade regional.

Dificuldades econômicas, corrupção política, censura na Internet e o aumento do crime organizado na América Latina contribuem para o crescimento do cibercrime. Empresas da região e de outros países estão tendo dificuldades para acompanhar o ritmo de autores de ameaças que são financeiramente motivados, coordenados e persistentes em seus esforços para fraudar, enganar e roubar consumidores e empresas.

A digitalização rápida e a ampla adoção da tecnologia digital tornam a América Latina um alvo preferencial do cibercrime. Em 2019, havia 453,7 milhões de usuários de Internet na América Latina - cerca de 69% da população total, com usuários localizados no Brasil e na Colômbia representando a grande maioria. Uma pesquisa global sobre o tempo de tela coloca o Brasil e a Colômbia em segundo e quarto, respectivamente. Em 2018, as vendas de comércio eletrônico no varejo totalizaram mais de 50 bilhões de dólares, e o gigante do varejo nativo MercadoLibre foi o varejista online mais popular da América Latina. Outros grandes varejistas da região incluem Amazon, B2W Digital e Alibaba.

Como na maioria das regiões ou países que experimentam uma combinação de digitalização rápida, alta utilização da Internet e inúmeros desafios políticos, a legislação sobre privacidade de dados na América Latina está atrasada. O Brasil lidera nesse sentido, já tendo promulgado mais de 40 regulamentos diferentes de privacidade de dados. Atualmente, está consolidando-os em uma política abrangente chamada Lei Geral de Proteção de Dados (LGPD), prevista para ser implementada em agosto de 2020.7 Essa lei será semelhante ao RGPD da Europa e se concentrará em manter as empresas responsáveis pelos dados de seus clientes. O não cumprimento pode resultar em uma penalidade de receita anual de 2%, o que seria prejudicial para varejistas e bancos que já têm dificuldades para combater fraudes e crimes cibernéticos. As leis de privacidade de dados ajudarão a abordar as expectativas de proteção de dados de clientes e funcionários em toda a região, mas podem representar dificuldades econômicas para as empresas em dificuldades no início.

Os autores de ameaças da América Latina variam de outras regiões do mundo. Ao contrário de algumas das maiores potências e forças armadas do mundo, a América Latina não possui grupos de Ameaça Persistente Avançada (APT) patrocinados pelo Estado. Enquanto a Rússia, Estados Unidos, China, Coréia do Norte e Irã desenvolveram forças militares e estabeleceram equipes ofensivas de hackers, as áreas em desenvolvimento da América Latina concentraram esforços em estabilidade, crescimento econômico, defesa nacional e combate ao crime organizado. A combinação desses fatores criou um ambiente propício para hackers com motivação financeira, fraudadores persistentes e até cartéis de drogas que trabalham com criminosos cibernéticos.

3

O Lado Negro da América Latina

Crimes Financeiros: O Catalisador do Cibercrime O financiamento de ameaças está evoluindo na América Latina, à medida que grupos de crime organizado recorrem à criptomoeda para lavar grandes quantias de dinheiro e entrar na dark web para contratar hackers. Os países da América Latina estão no topo da lista dos piores países do mundo em lavagem de dinheiro. O fluxo constante de dinheiro na comunidade do crime organizado se alimenta dos mercados da dark web e do ecossistema de crimes cibernéticos. Grupos do crime organizado e cartéis de drogas da América Latina estão aproveitando os avanços tecnológicos dos bancos digitais e das transferências de dinheiro. Em abril de 2019, agentes do Departamento de Investigações sobre Narcóticos (DENARC) do Brasil apreendeu um criminoso que dirigia uma operação de mineração de criptomoedas em Porto Alegre. Os agentes apreenderam 25 máquinas de mineração de criptomoedas, que operavam 24 horas por dia e são avaliadas em aproximadamente 65.000 dólares.

Existem várias maneiras pelas quais os autores de ameaças estão conduzindo essas operações. A CipherTrace, a primeira equipe forense de blockchain do mundo, compartilha suas ideias:

Serviço de Misturador “Mixer”, “Tumbler”, “Fogger”: Um misturador de criptomoeda é um serviço que se oferece para misturar fundos de criptomoeda potencialmente identificáveis ou “comprometidos” com outros fundos. A intenção é confundir o rastreamento de volta à fonte original dos fundos e encaminhar para eventuais trocas ou outras entidades de criptomoeda. Essa operação pode incluir a transferência de fundos entre carteiras de criptografia da web legítima e carteiras de criptografia da dark web. Cada transferência, chamada de “hop”, cria uma camada extra de ofuscação. Da conta da dark web, os fundos são divididos em intervalos aleatórios em endereços criptografados hospedados no TOR, para que as transações não possam ser facilmente correlacionadas. Uma vez concluída a mistura, os autores de ameaças depositam as moedas recém-lavadas em uma bolsa de criptomoedas para serem trocadas por outras criptomoedas. Os misturadores cobram uma pequena taxa de transação percentual do total de moedas misturadas para obter lucro, geralmente de 1 a 3%.

Lavagem Através de Trocas não Regulamentados:A maioria das trocas de criptomoedas “legítimas” é obrigada a seguir as políticas de “conheça seu cliente” (KYC) e anti-lavagem de dinheiro (AML). Essas trocas são geralmente mais confiáveis. No entanto, como em qualquer novo empreendimento financeiro, os criminosos estão tirando proveito de trocas não regulamentadas que não exigem informações de registro e prova de identidade para fins de rastreamento. Essas trocas ilegais atraem grupos criminosos que procuram movimentar grandes quantias de dinheiro por canais não rastreados. O método usado aqui é semelhante aos misturadores, nos quais o autor deposita o Bitcoin na conta de câmbio e o troca por vários Altcoins. Cada vez que uma troca é feita, ela distancia ainda mais o pagamento original da conta de origem. A privacidade e o anonimato desse processo dependem muito dos recursos de monitoramento do câmbio. Os pesquisadores estimam que, depois que as criptomoedas são limpas em trocas, 97% acabam em países que têm regulamentos KYC/AML extremamente frouxos, com as economias latino-americanas no topo das estatísticas.

Troca de Bens e Serviços Ponto a PontoQuantidades em massa de dinheiro estão fluindo em grandes grupos de crime organizados. Apesar dos muitos outros métodos usados para lavar e misturar o dinheiro, alguns ainda recorrem a redes confiáveis ou trocas ilegais de ponto a ponto (P2P) para lavar sua criptomoeda. Embora esse método não seja novo, está evoluindo com a introdução de criptomoedas no submundo do crime e é sustentado pela corrupção política generalizada em muitos países.

Fonte: revista gauchazh

4

O Lado Negro da América Latina

Em 2014, nove pessoas foram presas em ataques direcionados a 75 locais diferentes, incluindo Los Angeles. O FBI (Federal Bureau of Investigation) dos EUA apreendeu 90 milhões de dólares, dos quais a maioria era em dinheiro, como parte de um escândalo de lavagem de dinheiro do Cartel de Sinaloa, no México. Durante esse período, Los Angeles se tornou o epicentro das trocas de dinheiro para o grupo de cartel, em uma tentativa de evitar grandes transferências bancárias. O esquema aconteceu da seguinte maneira: o Cartel de Sinaloa estava mantendo uma pessoa como refém. A família estava em Los Angeles e precisava levar 140.000 dólares em pesos ao cartel. O cartel instruiu a família a levar o dinheiro para uma loja de roupas de Los Angeles, que depois usou o dinheiro para pagar remessas de roupas para o México. Após a chegada, o importador pagou ao Cartel de Sinaloa os 140.000 dólares em pesos. Esses tipos de atividades só se tornaram mais difundidas desde a introdução das moedas digitais, e como resultado as quadrilhas criminosas estão crescendo e expandindo suas operações.

Em outubro de 2019, um funcionário da empresa panamenha de processamento de pagamentos Crypto Capital foi preso como parte de uma investigação polonesa por supostamente lavar dinheiro da venda de drogas em nome de um grupo criminoso internacional.13 Ivan Manual Molina Lee foi preso na Grécia e extraditado para a Polônia. O Ministério da Justiça polonês apreendeu 350 milhões de dólares de um banco polonês, alegando que os fundos estavam diretamente vinculados à lavagem de dinheiro que Molina Lee conduziu para cartéis de drogas colombianos usando criptomoeda.

Embora existam várias trocas de criptomoedas disponíveis para atender os clientes da América Latina, as plataformas P2P são normalmente o método preferido da moeda Fiat para / de troca de criptomoedas em toda a região. Ao longo de 2019 e até 2020, a conhecida plataforma P2P LocalBitcoins registrou um crescimento recorde no volume de transações em muitos países da América Latina. Também houve um crescimento acentuado no volume de outros trocadores P2P como Paxful e CCoins. Os trocadores P2P normalmente carecem de programas de AML e realizam pouca ou nenhuma devida diligência de KYC, o que atrai criminosos a utilizar P2P versus trocas tradicionais de criptomoedas. Os gráficos a seguir demonstram o rápido crescimento do uso da LocalBitcoins em vários países da América Latina.

Imagem: LA Times

Argentina Chile

5

O Lado Negro da América Latina

Pouquíssimos países da América Latina estabeleceram leis para combater a lavagem de dinheiro e aqueles que o fizeram não as estão aplicando efetivamente. De acordo com estudos do Basel Institute on Governance, especialista em AML, a Colômbia lidera a lista das cinco piores pontuações deterioradas de AML. Os especialistas acreditam que isso não se deve à recente degradação das políticas, mas a uma luta de longa data para fazer cumprir as leis.

Especialistas do Basel Institute também apontam que a corrupção e o suborno costumam ser a base da lavagem de dinheiro, e a Venezuela foi classificada como a pior em 2019 em termos de corrupção e suborno. O Threat Brief da Venezuela do IntSights aborda mais sobre as questões geopolíticas do país que contribuem para esse problema de corrupção.

Ameaças Emergentes Hackers se Agrupam com CartéisO vínculo entre as quadrilhas de tráfico de drogas e a comunidade de hackers do submundo, é a ameaça emergente mais significativa na América Latina em 2020. Os dois mundos estão combinando sua influência, habilidades e experiência para alcançar objetivos comuns, principalmente da variedade financeira.

Em 2019, uma quadrilha criminosa chamada “Bandidos Revolution Team” e seu líder, Héctor Ortiz Solares - conhecido como “El H-1” ou “Bandido Boss” - foram presos pela polícia em León, no México. Solares era conhecido por recrutar hackers tecnicamente qualificados que podiam escrever código de malware para infectar bancos e caixas eletrônicos. Seus hackers criaram um malware que extrai dinheiro de bancos usando o Sistema Interbancário de Pagamento Eletrônico (SPEI) e depois o depositam em contas de terceiros. Depois que o dinheiro é depositado, a quadrilha retira o dinheiro e faz grandes compras, como imóveis e carros de luxo.

As autoridades declararam que Solares fazia entre 50 e 100 milhões de pesos por mês (2,6 a 5,2 milhões de dólares).16 Em 2018, o chefe do banco central do México informou que a quadrilha havia conduzido um ataque cibernético que custou cinco instituições financeiras 300 milhões de pesos (15,2 milhões de dólares) em transferências fraudulentas.

Em 16 de maio de 2019, a Fiscalía Geral de la República (Procuradoria Geral do México) anunciou no Twitter que havia revistado 11 casas e confiscado 27 veículos de luxo, drogas, armas de fogo, equipamentos de informática e telefones dos esconderijos desse notório cartel cibernético. Um dos veículos apreendidos foi um Aston Martin de 30 milhões de dólares, que atraiu admiração e atenção de hackers de todo o mundo que queriam obter uma parte dos lucros.porción de estas ganancias.

Colômbia Venezuela

A conta do Twitter da Procuradoria Geral do México mostrando os veículos de luxo confiscados em uma operação.

6

O Lado Negro da América Latina

Este é um exemplo de um problema muito maior que afeta a aplicação da lei no México e nos países vizinhos, pois a digitalização e o acesso à dark web permitem que grupos do crime organizado contratem hackers para ataques em larga escala.

Campanhas de Phishing de Última GeraçãoEm meados de 2019, analistas da IntSights descobriram uma campanha de phishing em larga escala sendo lançada contra vários grandes bancos da América do Norte e América Latina, incluindo um cliente. O autor da ameaça criou vários sites para imitar o site oficial do banco. A IntSights emitiu avisos de remoção aos registradores. O autor da ameaça foi persistente e alternou para novos registradores e uma nova infraestrutura. Pesquisadores da IntSights começaram a analisar os registros de domínio e conversar sobre os URLs. Eles descobriram que os clientes estavam sendo direcionados para os sites de phishing por meio de adwords falsos do Google e Bing. Esses anúncios falsos aparecem como links na parte superior da página quando a vítima faz uma pesquisa no Google. Quando a vítima clica no link, ele abre um site de phishing que parece ser idêntico ao site real do banco.

A vítima insere suas credenciais para fazer login em uma conta bancária. A página é então redirecionada para uma segunda página, que solicita que a vítima insira informações pessoais. Essas informações pessoais podem ser usadas para responder a perguntas de autenticação de dois fatores e também para coletar informações pessoais, como endereço atual e informações de contato. Em um fórum da dark web, o autor de ameaças sugeriu que outras pessoas lessem sobre a técnica em um artigo de notícias. Esse tipo de mídia ajuda o sujeito a criar uma reputação na comunidade clandestina.

O sentimento geral em relação a esse autor de ameaças nos fóruns é positivo. Várias outras pessoas entraram em contato com ele pedindo suas informações de mensagens para falar com ele sobre esse método e como fazê-lo funcionar. O autor de ameaças também revelou através de várias interações em bate-papos particulares que ele tem hackers trabalhando para ele que criam os kits de phishing.

Isso nos leva a crer que esse tipo de campanha de phishing não se limita a um indivíduo, mas envolve muitos hackers usando o mesmo método. Nesse caso, permitiria à comunidade hacker criar simultaneamente vários domínios e sites de phishing diferentes. Isso explicaria o influxo de registros de domínio suspeitos e registros de sites de phishing que afetam esses bancos e seus clientes.

Carding “Compras” e Ameaças InternasCarding é o uso de cartões de crédito roubados para fazer compras fraudulentas. Essa prática é generalizada na comunidade latino-americana de crimes cibernéticos e os autores de ameaças fizeram milhões de dólares. Eles chamam essa prática de “compras”, que tem o mesmo significado em espanhol e português.

Imagem : Tutorial do YouTube sobre como realizar ataques de phishing

Imagem : Página da Wix do autor de ameaças anunciando seus métodos

Imagem : Postagem no darknetcave.net de autor de ameaças promovendo tutoriais 7

O Lado Negro da América Latina

Atualmente existem centenas de mercados na web legítima, deep e dark que prestam serviços à população em geral. Os criminosos usam cartões de crédito roubados para pagar contas, comprar passagens aéreas, reservar hotéis e comprar bens e serviços. O processo funciona da seguinte maneira:1. Os criminosos anunciam que pagarão uma fatura para os

clientes a uma taxa com desconto (por exemplo, pagam 50 dólares por uma conta de luz de 100 dólares).

2. O cliente deposita dinheiro na conta bancária do criminoso. Isso geralmente é feito em lojas de conveniência, lojas de dinheiro vivo ou mercearias.

3. Os criminosos imediatamente usam cartões de crédito roubados para pagar a conta em nome do cliente. Eles embolsam o dinheiro do cliente.

Muitas vezes, os criminosos anunciam esses serviços nas mídias sociais, grupos do Facebook, aplicativos de mensagens e Twitter. Eles costumam usar logotipos familiares ao cliente, como sites de reservas populares, nomes de bancos e empresas de serviços públicos.

Os criminosos usaram esses métodos para reservar passagens aéreas caras para seus “clientes”. As companhias aéreas começaram a solicitar o cartão de crédito usado para fazer a reserva no momento do check-in. Se não apresentado, o cliente deve pagar em dinheiro pela passagem para embarcar no voo.

Os criminosos têm uma fonte primária de números de cartões de crédito roubados: ameaças internas. O tipo mais comum de aquisição de cartão de crédito é através de funcionários que trabalham onde os cartões de crédito são apresentados. Os criminosos entram em contato com os funcionários por meio do WhatsApp ou da mídia social, oferecendo uma comissão em troca das informações do cartão de crédito do cliente. Por exemplo, no México, os atendentes de postos de gasolina enchem seu tanque de combustível e processam seu cartão de crédito. Os atendentes copiam as informações do cartão e as entregam aos cibercriminosos para operações de carding. Eles geralmente são pagos por cumprir cotas mensais. Outros métodos para obter dados do cartão de crédito são através de pequenos trabalhos de hackers em aplicativos da web e através de engenharia social.

Fraude BINeroA fraude “BINero” é uma tática generalizada de fraude na América Latina que tem um impacto negativo sobre os bancos da região. Um BIN (número de identificação bancária) são os primeiros quatro a seis números que aparecem em um cartão bancário. O BIN identifica o banco específico que emitiu o cartão e é fundamental para fazer a correspondência entre bancos e transações que ocorrem em todo o mundo. A fraude BIN - ou BINero - é a prática única de encontrar BINs incorretamente validados pelos processadores de pagamento on-line, o que, por sua vez, permite que transações fraudulentas ocorram on-line. Quando o criminoso descobre uma combinação mal configurada de BIN e processador de pagamento on-line, ele ou ela fabrica as informações restantes do cartão e faz compras on-line fraudulentas através de sites populares de varejo, como MercadoLibre ou Amazon. A fraude BINero é amplamente discutida em fontes abertas, deep web e dark web de língua espanhola. Analistas da IntSights monitoram continuamente essas fontes para acompanhar as novas tendências, autores e esquemas relacionados à fraude BINero. Alguns dos fóruns tutoriais on-line mais movimentados sobre a fraude BINero incluem grupos de telegramas, grupos de WhatsApp, grupos de Facebook e fontes do submundo da dark web. O esquema é bem-sucedido e lucrativo, e não parece estar perdendo força.

Um grupo privado de compras no Facebook, onde criminosos colaboram e apoiam os negócios uns dos outros

Exemplos de anúncios de compras de criminosos em fontes abertas

Grupos do Facebook sobre a fraude BINero

8

O Lado Negro da América Latina

Autores de Ameaças na América Latina: Comunicação e ContatoOs criminosos na América Latina se comunicam em plataformas de código aberto e, muitas vezes, não escondem suas verdadeiras identidades, a menos que estejam ligados a cartéis ou gangues. Apesar do acesso a fóruns clandestinos, a falta de aplicação da lei permite que criminosos usem ferramentas de código aberto para se comunicar livremente. WhatsApp, Facebook Messenger e Telegram são os métodos mais populares para os cibercriminosos se comunicarem e colaborarem. No passado, o ICQ era a ferramenta de comunicação mais popular. Nos últimos anos, o WhatsApp ganhou popularidade como uma plataforma de mensagens gratuita que permite bate-papos em grupo, vídeo e muito mais.

Analistas de inteligência secretos do IntSights entram em contato com os autores de ameaças em seu método de comunicação preferido - geralmente o WhatsApp e o Facebook Messenger. Eles acham que os autores de ameaças se sentem muito confortáveis nessas plataformas porque são autorizadas pelos governos locais e são de graça. O Facebook Messenger, em particular, oferece uma maneira fácil de alternar entre um grupo do Facebook e conversar no Messenger na mesma janela do navegador. O Facebook Messenger agora oferece um bate-papo criptografado chamado modo “secreto”. Os criminosos podem facilmente usar esta plataforma para alternar entre conversas casuais não criptografadas e mensagens completamente criptografadas de ponta a ponta, para que possam discutir negócios mais clandestinos.

Tendências de MalwareTrojans e ransomware bancários estão no topo da lista de ameaças de malware direcionadas e provenientes da região da América Latina. A Scitum, o líder em segurança gerenciada na região da América Latina, contribuiu com essas informações sobre os principais malware que afetam seus clientes em 2019:

1. Catasia - Desde 2014, o malware Catasia distribuiu e-mails fazendo-se passar por diferentes organizações governamentais no México. Os e-mails inicialmente continham um documento do Word com macros que baixavam o malware em segundo plano quando ativado. O malware conseguia acessar a câmera e o microfone da vítima e ativar a gravação de voz e vídeo. Nas versões recentes, ele envia emails com arquivos .zip em vez de um documento do Word. A característica mais notável desse malware é que o invasor atualiza sua funcionalidade, geralmente para incluir ataques do navegador man-in-the-middle (MITM). O malware Catasia foi bem-sucedido em uma infraestrutura não maliciosa, onde também são hospedadas operações comerciais legítimas. Durante a investigação, verificou-se que ele se concentra apenas em alvos mexicanos, apesar de ter sido inicialmente testado na Colômbia.

2. Cosmic Banker - O Trojan Cosmic Banker é um malware que tem um impacto significativo nos bancos da América Latina desde 2018. A Scitum o observou em abril de 201920, quando foi amplamente distribuído. Uma das características mais notáveis desta campanha é que o executável continha comentários em português muito específicos que também foram verificados em outros eventos relatados. A campanha tem como alvo as credenciais de usuário das instituições bancárias mexicanas. No entanto, o grupo por Trás do Cosmic Banker também é autor de outra campanha que tinha como alvo usuários de instituições bancárias do Brasil. Alguns dos elementos de ataque correspondem a um artefato malicioso documentado pela Trend Micro como Banload, que afetou alguns bancos no Brasil. Isso reforça a hipótese de que o grupo iniciou seus ataques na América do Sul e mais tarde reutilizou o malware desenvolvido para atacar alvos no México. O uso da mesma variedade de malware deixou para trás traços comuns que sustentam a atribuição desta campanha aos atacantes brasileiros. Embora os indicadores de comprometimento, como valores de hash, endereços IP e domínios, sejam alterados durante cada ataque, o TTP mostrado pelo grupo cibernético muda com menos frequência, principalmente a transferência de texto não criptografado de um arquivo compactado, que inclui o kit de ferramentas final do invasor.

9

O Lado Negro da América Latina

3. Trickbot - O Trickbot é um Trojan bancário usado em ataques cibernéticos contra pequenas e médias empresas (PMEs). Foi criado para acessar contas on-line - especialmente contas bancárias - para obter Informações de Identificação Pessoal (IIP) para serem usadas em fraudes e roubos de identidade. Ao longo dos anos, os criadores do Trojan Trickbot adicionaram módulos e expandiram suas habilidades. O Trickbot é entregue através de spam malicioso que contém documentos do Word, o que permite ao malware roubar credenciais e filtrar dados sensíveis e valiosos.

O Trickbot afetou muitas organizações latino-americanas, mas o México foi especialmente afetado pelas variantes que entregaram o Emotet. Entre o final de 2018 e o final de 2019, o número de bots infectados pelo Emotet aumentou na América do Sul. Os hosts infectados incluem organizações nos setores automotivo, financeiro, energia, construção, varejo, entretenimento, logística e tecnologia.

4. Ransomware Phobos -O ransomware Phobos é de longe o mais comum no momento, pois está presente em pelo menos 70% dos incidentes de ransomware. Os invasores estão usando serviços vulneráveis de terceiros para entrar na organização. Uma vez infiltrados, os autores da ameaça extraem credenciais válidas e movem-se lateralmente até atingir o servidor do Active Directory. Eles desabilitam o firewall do Windows e às vezes desinstalam as soluções EDR e antivírus antes de distribuir o malware usando o GPO. Eles não criptografam toda a rede, concentrando-se apenas nos servidores mais críticos da empresa ao mesmo tempo, causando danos significativos nas operações diárias.

5. Ransomware Ryuk - O ransomware Ryuk foi especialmente eficaz em 2019 e atingiu a América Latina de maneira especialmente profunda. A empresa estatal de petróleo do México, PEMEX Corporation, foi completamente encerrada devido a um incidente com o ransomware Ryuk em novembro de 2019. O Ryuk é especialmente perigoso porque foi criado para infectar um sistema e ocultar-se sem ser detectado por um período de tempo enquanto o malware procura sistemas críticos de rede para maximizar seu impacto. Inúmeras outras organizações na região da América Latina também sofreram infecções com o Ryuk no final de 2019. Acredita-se que o Ryuk seja operado pelo mesmo grupo que gerencia o malware Trickbot, um grupo chamado Wizard Spider, com sede na Rússia. O Ryuk tem uma forte ligação com outros grupos de malware e é observado como parte de uma complexa cadeia de infecções. Por exemplo, um relatório22 explica que o Ryuk geralmente é a última etapa de um ataque que começa com o malware Emotet que entrega o Trojan Trickbot. O Trickbot implanta ferramentas pós-exploração, como o Mimikatz e o Powershell, que o permitem coletar credenciais, monitorar remotamente um sistema e mover-se lateralmente na rede. Esse processo permite ao invasor determinar o valor de uma máquina e avaliar se vale a pena implantar o Ryuk.

Exemplo de carta do ransomware Ryuk

Trend Micro

10

O Lado Negro da América Latina

Recomendações1. Identificar, monitorar e analisar o crime cibernético para entender e se defender proativamente contra ameaças como

as que vêm da/afetam a América Latina. Empresas multinacionais e instituições financeiras globais precisam ter um entendimento profundo do adversário e de suas táticas, ferramentas e métodos. Uma maior compreensão de suas motivações e vidas pode ajudar a entender questões regionais ou nacionais que impulsionam o crime cibernético no submundo. Não importa onde sua prática de segurança esteja, há maneiras de criar um programa de inteligência contra ameaças cibernéticas (CTI) para obter um retorno imediato do investimento (ROI). A IntSights oferece opções práticas para soluções e ferramentas de CTI, além de uma equipe de serviços de consultoria disponível para vir à sua empresa e ensinar à sua equipe o básico da inteligência contra ameaças cibernéticas.

2. Siga as práticas recomendadas de segurança. As campanhas de phishing estão se tornando mais sofisticadas, e funcionários e clientes precisam ser instruídos sobre essas táticas. Informe os clientes sobre ameaças de phishing e sobre como eles devem esperar que sua organização entre em contato com eles. Recomende que eles digitem o nome do seu site em vez de clicar nos anúncios do Google ou Bing que se parecem com o seu site e os aconselhe a nunca inserir suas credenciais ou informações de cartão de crédito em um site suspeito.

3. Priorize a conformidade. A Indústria de Cartões de Pagamento (PCI) tem sido visada cada vez mais a cada ano. Se sua empresa estiver recebendo pagamentos eletrônicos, você deve priorizar os padrões PCI-DSS para mostrar a seus clientes que eles podem confiar em você com o dinheiro e as informações pessoais deles. As organizações que operam na América Latina devem se preparar para futuras legislações de privacidade de dados.

About IntSightsIntSights is revolutionizing cybersecurity operations with the industry’s only all-in-one external threat protection platform designed to neutralize cyberattacks outside the wire. Our unique cyber reconnaissance capabilities enable continuous monitoring of an enterprise’s external digital profile across the clear, deep, and dark web to identify emerging threats and orchestrate proactive response. Tailored threat intelligence that seamlessly integrates with security infrastructure for dynamic defense has made IntSights one of the fastest-growing cybersecurity companies in the world. IntSights has offices in Amsterdam, Boston, Dallas, New York, Singapore, Tel Aviv, and Tokyo. To learn more, visit: intsights.com or connect with us on LinkedIn, Twitter, and Facebook.

To see the IntSights External Threat Protection Suite of solutions in action, schedule a demo today.

Visit: Intsights.com Call: +1 (800) 532-4671 Email: info@intsights.com 11