Saguaro, o grupo cibercriminoso mexicano que está fazendo ataques no Brasil

Por Rafael Romer | 29.08.2016 às 23:42 - atualizado em 30.08.2016 às 02:42
photo_camera Reprodução

Um grupo cibercriminoso mexicano, recentemente descoberto através de uma investigação da Kaspersky Lab, já está se expandindo para fora do país de origem e realizando ataques em outras regiões da América Latina, inclusive o Brasil. Estas são informações reveladas pela própria empresa durante sua conferência de cibersegurança, realizada nesta semana.

Apelidado de Saguaro pela companhia, em alusão a um cacto nativo do México e do sul dos Estados Unidos que consegue alcançar alturas acima dos 20 metros, o grupo realizou seus primeiros ataques em 2009, mas hoje já ampliou sua operação para outros países da região, com ao menos 120 mil ataques atribuídos à organização.

Cerca de 27% dos ataques do grupo foram direcionados ao Brasil, em um total de 504 casos registrados – o Brasil foi o terceiro país mais atacado pelo grupo, atrás apenas do país de origem e da Colômbia. Quase todos ataques detectados atingiram usuários da Brasil Telecom, com apenas duas exceções de um usuário Claro e outro da Gigaflex Telecom.

Segundo o Diretor de Análises e Investigações da Kaspersky Lab para a América Latina, Dmitry Bestuzhev, não é possível identificar quem foram os alvos dos ataques por conta da própria legislação local de proteção de dados, mas o padrão observado foi idêntico ao usado pelo grupo no México.

Uma das possibilidades é que o grupo tenha sido contratado por terceiros para atingir alvos no Brasil, já que a própria Kaspersky identificou um ataque atribuído ao grupo e direcionado a um banco peruano, feito sob medida para afetar colaboradores que lá trabalhavam para roubar uma informação específica da instituição financeira.

No país de origem, o Saguaro já atacou uma série de organizações diferentes, incluindo universidades, instituições locais de governo, indústria pesada e também usuários domésticos.

Os ataques são sempre entregues via e-mail de phishing, com um falso documento na extensão ".doc" anexo e uma mensagem que convida o usuário a abrir o arquivo para conferir alguma informação relevante.

Quando descarregado em um computador, o documento se revela como um pacote de arquivos executáveis com três módulos principais: espionagem, backdoor e gestão remota. A partir daí, os atacantes podem assumir o comando da máquina e extrair uma série de informações, que incluem senhas de navegador, dados de acesso a VPNs corporativas e até senhas de redes Wi-Fi.

A empresa já compartilhou o relatório de atuação do grupo com autoridades mexicanas, mas ainda não foi possível determinar a origem exata ou motivação do Saguaro – além do ganho monetário, é claro.

*O repórter viajou a convite da Kaspersky