La Policía Federal de Brasil anunció esta semana que interrumpió las operaciones del grupo cibercriminal Grandoreiro, del cual se sospecha estaba implicado en el robo de 3,6 millones de euros a víctimas de Brasil, México y España solo el año 2019.
“Este martes 30 de enero, la Policía Federal lanzó la Operación Gradoreiro para investigar las actividades de un grupo de fraude bancario electrónico, utilizando malware bancario con víctimas fuera de Brasil”, indica un comunicado del ente policial.
En la investigación que dio con la captura de cinco personas y otras 13 órdenes de búsqueda en los estados de São Paulo, Santa Catarina, Pará, Goiás y Mato Grosso, participó activamente la Interpol, el Banco de Caiza de España, y empresa de ciberseguridad ESET.
Fue desde el Banco Caixa de España, uno de los objetivos de la banda, quienes lograron identificar que los desarrolladores y operadores del malware estaban ubicados en Brasil.
Por su parte, los investigadores de ESET fueron quienes proporcionaron información para identificar las cuentas de los responsables de la configuración de los servidores que eran abusados por los operadores de la banda, la mayoría de ellos de proveedores en la nube como Azure y AWS, en los cuales la banda alojaba su infraestructura de red.
La operación llegó justo cuando varios medios advertían del regreso del malware con sendas campañas de correos con temáticas fiscales, donde los actores de amenaza suplantaban a organismos de gobierno, especialmente en España, donde los correos han estado siendo difundidos con el dominio gob.es, lo que llevaba a pensar que realmente se trataba de comunicaciones oficiales.
Grandoreiro es uno de los muchos troyanos bancarios latinoamericanos, entre los que también se incluyen Mekotio y Vadokrist . El malware ha estado infectando sistemas Windows desde al menos 2017.
Entre 2020 y 2022, España fue el principal objetivo del grupo; sin embargo, en 2023, los piratas informáticos cambiaron su enfoque hacia México y Argentina.