Saguaro, o grupo cibercriminoso mexicano que está fazendo ataques no Brasil
Por Rafael Romer | 29 de Agosto de 2016 às 23h42
Um grupo cibercriminoso mexicano, recentemente descoberto através de uma investigação da Kaspersky Lab, já está se expandindo para fora do país de origem e realizando ataques em outras regiões da América Latina, inclusive o Brasil. Estas são informações reveladas pela própria empresa durante sua conferência de cibersegurança, realizada nesta semana.
Apelidado de Saguaro pela companhia, em alusão a um cacto nativo do México e do sul dos Estados Unidos que consegue alcançar alturas acima dos 20 metros, o grupo realizou seus primeiros ataques em 2009, mas hoje já ampliou sua operação para outros países da região, com ao menos 120 mil ataques atribuídos à organização.
Cerca de 27% dos ataques do grupo foram direcionados ao Brasil, em um total de 504 casos registrados – o Brasil foi o terceiro país mais atacado pelo grupo, atrás apenas do país de origem e da Colômbia. Quase todos ataques detectados atingiram usuários da Brasil Telecom, com apenas duas exceções de um usuário Claro e outro da Gigaflex Telecom.
Segundo o Diretor de Análises e Investigações da Kaspersky Lab para a América Latina, Dmitry Bestuzhev, não é possível identificar quem foram os alvos dos ataques por conta da própria legislação local de proteção de dados, mas o padrão observado foi idêntico ao usado pelo grupo no México.
Uma das possibilidades é que o grupo tenha sido contratado por terceiros para atingir alvos no Brasil, já que a própria Kaspersky identificou um ataque atribuído ao grupo e direcionado a um banco peruano, feito sob medida para afetar colaboradores que lá trabalhavam para roubar uma informação específica da instituição financeira.
No país de origem, o Saguaro já atacou uma série de organizações diferentes, incluindo universidades, instituições locais de governo, indústria pesada e também usuários domésticos.
Os ataques são sempre entregues via e-mail de phishing, com um falso documento na extensão ".doc" anexo e uma mensagem que convida o usuário a abrir o arquivo para conferir alguma informação relevante.
Quando descarregado em um computador, o documento se revela como um pacote de arquivos executáveis com três módulos principais: espionagem, backdoor e gestão remota. A partir daí, os atacantes podem assumir o comando da máquina e extrair uma série de informações, que incluem senhas de navegador, dados de acesso a VPNs corporativas e até senhas de redes Wi-Fi.
A empresa já compartilhou o relatório de atuação do grupo com autoridades mexicanas, mas ainda não foi possível determinar a origem exata ou motivação do Saguaro – além do ganho monetário, é claro.
*O repórter viajou a convite da Kaspersky