La Guardia Civil española anunció hace unos días que ha desarticulado a un grupo especializado en fraude financiero al aprehender a más de una docena de personas vinculadas a las operaciones de Grandoreiro y Melcoz, programas maliciosos brasileños que roban las credenciales de usuarios para pagos electrónicos y los sistemas de banca en línea. En total, la policía bloqueó operaciones financieras por un total de 3.5 millones de euros. Para los especialistas de Kaspersky que monitorean a estos grupos, la operación fue un éxito; sin embargo, los bancos deben permanecer atentos, ya que la amenaza no ha sido neutralizada.
En julio de 2020, los analistas de seguridad de Kaspersky en América Latina anunciaron la internacionalización de cuatro troyanos brasileños al resto de la región y otras partes del mundo, especialmente Europa. Esta tendencia fue seguida más tarde por tres grupos más: Amavaldo, Ghimob y Bizarro. Según las detecciones realizadas por Kaspersky, los dos grupos involucrados en la detención realizada en España operan también en Brasil, Chile, México, Portugal, y Turquía.
El operativo que resultó en la detención de 16 personas en diferentes ciudades españolas comenzó cuando agentes de seguridad bloquearon intentos de transferencia sospechosos en 68 cuentas de correo electrónico pertenecientes a organismos oficiales. Desde entonces, las autoridades han conseguido bloquear transacciones fraudulentas por un total de 3.5 millones de euros. Con la detención, la policía logró esclarecer 20 delitos que suman 276,470 euros, de los cuales 87,000 euros ya han sido recuperados.
Los analistas de Kaspersky celebran el operativo de las autoridades españolas, pero advierten a la policía y a los bancos que la amenaza no ha sido completamente neutralizada. “Lamentablemente, los creadores de los troyanos bancarios son brasileños, y los detenidos en España son solo los operadores locales. En otras palabras, los creadores de Grandoreiro y Melcoz simplemente crearán nuevas técnicas para evitar que la policía los siga rastreando y reclutarán nuevos miembros para reanudar sus operaciones”, dice Fabio Assolini, analista senior de seguridad en Kaspersky.
Para las instituciones financieras, la recomendación de Kaspersky es que permanezcan atentos y monitoreen con mayor atención las operaciones internacionales de los troyanos brasileños, mejorando los procesos de autenticación, la tecnología antifraude y buscando más detalles en los informes de Inteligencia de Amenazas para saber cómo detectar y mitigar estos riesgos.
“Nuestra advertencia también se aplica a las instituciones financieras que operan en Chile y México, que son objetivos de Melcoz y Grandoreiro. Sin duda, estos grupos aplicarán mejoras a sus operaciones en estos países con el fin de evitar que la policía local los localice”, destaca Assolini.
“Asimismo, hacemos un llamado a las autoridades, ya que, si el objetivo es desmantelar la operación, será necesaria la colaboración internacional para llegar al núcleo de la amenaza. En este caso, podemos hacer una referencia a la hidra, una bestia mitológica a la que cada vez que se le corta una de sus cabezas, esta se regenera y emergen dos. Es necesario golpear la cabeza principal. Desde Kaspersky tenemos la capacidad de ayudar y estamos dispuestos a colaborar”, concluye el analista.
Para más detalles sobre las operaciones de Melcoz y Grandoreiro, acceda a la publicación técnica en Securelist.