En marzo de este año, en una operación coordinada con la Interpol y otros agentes internacionales, la Policía Federal de Brasil arrestó a cinco individuos responsables del troyano bancario brasileño Grandoreiro.
Sin embargo, Kaspersky reveló que las actividades no se detuvieron y que este año ya se han identificado dos nuevas versiones del malware.
A nivel mundial, el troyano ha sido responsable de 150.000 intentos de ataque, dirigidos a clientes bancarios en 45 países y más de 276 billeteras digitales.
En Argentina, Kaspersky ha bloqueado 6.400 ataques, mientras que en Brasil, donde el troyano apunta a 52 instituciones financieras, la empresa de seguridad ha impedido más de 56.000 ataques desde enero.
Kaspersky jugó un papel crucial en la identificación y captura de los responsables, colaborando con las fuerzas de seguridad mundiales e Interpol al proporcionar muestras de malware obtenidas en cibercrímenes en Brasil y España entre 2020 y 2022.
“El monitoreo de IPs proporcionó datos importantes para la investigación. Junto con otras informaciones obtenidas, fue posible identificar a los delincuentes responsables”, explicó Yuri do Amaral Nobre Maia, jefe del servicio de investigación de crímenes de alta tecnología de la Policía Federal Brasileña.
A pesar de los arrestos, Kaspersky sigue monitoreando constantemente las actividades del grupo en contacto con las fuerzas de seguridad.
La investigación reciente de Kaspersky identificó dos nuevas versiones del malware, ambas encontradas inicialmente en México.
La primera es una versión ampliada del código original, descubierta a mediados de este año, dirigida a 1.367 organizaciones financieras en 45 países.
En la última actualización del código, la lista de objetivos aumentó a más de 1.700 organizaciones.
La segunda versión, más ligera, se centra en 30 bancos mexicanos, representando una reducción del 30% en comparación con la versión anterior, pero fue responsable de 15.000 intentos de ataque.
El grupo detrás del Grandoreiro, activo desde 2016, utiliza mensajes falsos masivos y técnicas de ingeniería social para engañar a las víctimas e instalar el malware, robando datos confidenciales, especialmente bancarios.
Siguiendo un modelo de “malware como servicio” (MaaS), el Grandoreiro permite que otros ciberdelincuentes lo adquieran para realizar fraudes financieros en distintos países.
Según el Panorama de Amenazas 2024 de Kaspersky, el Grandoreiro se ha convertido en el troyano bancario más activo en América Latina y ocupa el sexto lugar a nivel mundial, siendo responsable del 5% de todos los intentos de ataque bloqueados por la empresa de seguridad.
Los países más afectados son Brasil (56.000 bloqueos), México (51.000), España (11.000), Argentina (6.400) y Perú (4.400).
“Las recientes actualizaciones del código destacan la naturaleza evolutiva de esta amenaza. Las versiones fragmentadas y más ligeras podrían expandirse más allá de México y otras regiones, incluyendo fuera de América Latina”, comentó Fabio Marenghi, investigador líder de seguridad en Kaspersky.
“Creemos que solo unos pocos afiliados de confianza tienen acceso al código fuente del malware para desarrollar estas versiones personalizadas. Grandoreiro opera de manera diferente al modelo tradicional de ‘Malware como Servicio’, ya que no se encuentra en foros clandestinos vendiendo el paquete; su acceso parece estar limitado”, concluyó.
