A ascensão do Brasil no cenário mundial gera riscos cibernéticos
O perfil crescente do Brasil no cenário mundial vem carregado de ameaças cibernéticas vindas do exterior e de um próspero ecossistema criminoso interno, alerta o Google.
O quinto país mais populoso do mundo, o Brasil, há muito tempo é uma superpotência em espera. Ele detém a presidência do fórum do G20 este ano, e no ano que vem assumirá a liderança do recém-ampliado fórum intergovernamental BRICS de países em desenvolvimento, que ele fundou originalmente com a Rússia, Índia e China, e mais tarde a África do Sul. O Brasil é o maior receptor latino-americano de investimentos chineses.
A crescente proeminência na política global e uma próspera economia de pagamento digital resultaram em ciberespionagem do exterior e na atenção de gangues de extorsão que – apesar de uma forte ênfase na América do Norte e na Europa – também fizeram do Brasil um foco. O Brasil é o segundo país mais visado pelo grupo de ransomware como serviço RansomHub, com base em listagens em seu site de vazamento, disse o Threat Analysis Group do Google na quarta-feira em uma postagem de blog em coautoria com a Mandiant.
“À medida que a influência do Brasil cresce, também cresce sua pegada digital, tornando-o um alvo cada vez mais atraente para ameaças cibernéticas originárias de atores globais e nacionais”, diz o post do blog. “Ao mesmo tempo, o cenário de ameaças no Brasil é moldado por um mercado doméstico de cibercriminosos.”
Isso inclui principalmente hackers que falam português brasileiro, que estão realizando invasões de contas, fraudes de cartões, exfiltração de dados financeiros usando malware bancário e ransomware em toda a América Latina.
Entre esses grupos está um ator que a Mandiant rastreia como UNC5176 e que a inteligência de ameaças suspeita estar baseado no Brasil. Ele usa um backdoor chamado Ursa, normalmente entregue como um anexo de arquivo para e-mails de phishing.
Outro grupo, rastreado como Pineapple, frequentemente se apresenta como a agência tributária do Brasil, a Receita Federal do Brasil, em campanhas de spam. As campanhas frequentemente falsificam um endereço de e-mail legítimo da agência – [email protected]– em uma tentativa de fazer com que as vítimas instalem o ladrão de informações Astaroth. “Em uma campanha recente bloqueada pelo Gmail, os e-mails de spam do Pineapple personificaram o Ministério da Fazenda do Brasil e direcionaram os destinatários para uma página de engenharia social que imitava o sistema de documentos fiscais eletrônicos do governo brasileiro (Portal da Nota Fiscal Eletrônica)”, disse o Google.
O site de phishing persuadiu os usuários a clicar em um botão para supostamente visualizar um documento fiscal eletrônico que levava a um .lnkarquivo de atalho do Windows em uma infraestrutura controlada pelo invasor. Provavelmente evitando a detecção, a Pineapple usou serviços legítimos, incluindo a plataforma de computação gerenciada Google Cloud Run, para hospedar o .lnkarquivo malicioso.
Ao contrário de seus colegas de língua russa, que dependem de fóruns criminosos para comprar e vender malware, os criminosos brasileiros tendem a recorrer a mídias sociais e aplicativos de mensagens instantâneas, especialmente Telegram e WhatsApp, disse a Mandiant.
Os intervenientes estatais da ciberespionagem com interesse no Brasil incluem grupos da Rússia, China e Coreia do Norte – embora a actividade russa pareça ter diminuído consideravelmente desde que o Kremlin lançou uma guerra de conquista contra a Ucrânia em Fevereiro de 2022.
A telemetria do Google e da Mandiant mostra que 15 grupos distintos de ciberespionagem de Pequim têm como alvo usuários no Brasil, respondendo juntos por mais de “40% das atividades de phishing apoiadas pelo governo e direcionadas ao Brasil”.
A Coreia do Norte é responsável por aproximadamente um terço das atividades de phishing apoiadas pelo governo visando o Brasil, e os atores de ameaças de Pyongyang estão demonstrando interesse em agências governamentais e nos setores aeroespacial, tecnológico e de serviços financeiros. “As empresas de criptomoeda e tecnologia financeira têm sido um foco particular, e pelo menos três grupos norte-coreanos têm como alvo empresas brasileiras de criptomoeda e fintech”, disse Mandiant.
