Microsoft e parceiros identificaram infraestrutura comum entre ferramentas que alimentam ataques digitais.
De acordo com Steven Masada, assessor jurídico adjunto da Unidade de Crimes Digitais da Microsoft, a empresa atuou recentemente para interromper simultaneamente as ferramentas Amadey e StealC, depois que uma análise assistida por IA mostrou que elas dependem da mesma infraestrutura. A operação, realizada com o apoio de Europol e parceiros do setor, alcançou conexões usadas globalmente nas duas primeiras semanas de maio, quando Amadey e StealC foram vinculados a mais de 140.000 computadores infectados.
Como foi a ação
A abordagem combinou análise técnica e medidas legais. Pesquisadores usaram ferramentas de IA, incluindo Copilot, para analisar o malware de forma mais rápida, detectar detalhes e revelar conexões ocultas entre as famílias de código. Com essas conclusões, a equipe jurídica da Microsoft tratou Amadey e StealC como parte de uma única conspiração e acionou instrumentos legais, incluindo a lei RICO, para atingir múltiplos facilitadores da operação.
Desde o início da operação, a Microsoft identificou mais de 18.000 computadores vítimas, cortou o controle criminoso desses dispositivos e interrompeu mais de 200 servidores de comando e controle. A empresa também colaborou com provedores de telecomunicações para auxiliar clientes afetados em diferentes países.
Cadeia de montagem do cibercrime
Segundo a análise, o cibercrime moderno opera como um sistema modular: uma ferramenta obtém acesso, outra rouba credenciais e outras vendem ou exploram esse acesso para fins como ransomware, fraudes financeiras ou espionagem. Amadey costuma ser usada para obter acesso inicial aos dispositivos, enquanto StealC recolhe senhas e dados sensíveis, formando um elo crítico na cadeia.
Essa estrutura cria um ponto de vulnerabilidade: apesar de os autores poderem não interagir diretamente, as ferramentas são projetadas para funcionar em conjunto. Identificar essas conexões permite interromper várias fases do ataque ao mesmo tempo e, conforme a Microsoft explica, aumenta a dificuldade de lançar e escalar operações criminosas.
Impactos observados e exemplos
A Microsoft relata que as infecções ligadas a essas ferramentas têm efeitos concretos: hospitais com sistemas bloqueados, cidades com serviços afetados, empresas e pessoas físicas com acesso perdido a contas e poupanças comprometidas. A companhia citou ainda observações anteriores, como o uso de infecções por Amadey por atores afiliados à Rússia, denominados Secret Blizzard, para implantar malware direcionado na Ucrânia.
Atacando múltiplos pontos da cadeia simultaneamente, a ação reduz a possibilidade de um único compromisso se transformar em dano em larga escala, segundo a Microsoft.
Parcerias internacionais
A operação envolveu empresas e órgãos com visibilidade complementar. Além de Europol, participaram grupos de segurança como ESET, BitSight, Lumen e MBSD, e equipes de investigação e aplicação da lei da Alemanha, dos Países Baixos e da Dinamarca, bem como parceiros como IBM X-Force e Proofpoint no âmbito da Operação Endgame.
A coordenação ampliou os conjuntos de dados e permitiu identificar conexões entre Amadey e StealC com rapidez, o que viabilizou uma resposta conjunta além do alcance de uma única organização.
Pressão contínua e próximos passos
A Microsoft afirma que a ação não é pontual. A interrupção judicial é combinada com monitoramento contínuo para rastrear como os criminosos tentam reconstruir suas infraestruturas, identificar novos pontos vulneráveis e trabalhar com parceiros para novas interrupções. Os resultados também alimentam iniciativas como o programa Statutory Automated Disruption, que acelera a remoção de domínios e infraestruturas maliciosas.
O objetivo declarado é não apenas derrubar uma operação, mas aumentar o custo de operação do cibercrime e reduzir seu impacto ao retardar e dificultar reconstruções.
Para contextualizar, a Unidade de Crimes Digitais da Microsoft atua desde 2008 e, de acordo com a empresa, apresentou cerca de 40 casos nesse período, além de colaborar com forças de segurança para desmantelar redes criminosas.
Assuntos nesse artigo:
#microsof t, #amadey, #stealc, #cibercrime, #ia, #copilot, #rico, #europol, #eset, #bitsight, #lumen, #mbsd, #ibm xforce, #proofpoint, #comandoecontrole, #ransomware, #fraudefinanceiro, #segurancacibernetica, #infraestrutura, #parcerias