A Polícia Federal (PF) investiga hackers brasileiros que vendiam em fóruns da darkweb informações para acesso a sistemas de órgãos públicos e empresas no Brasil e em outros países.

A apuração deu origem à Operação Databrokers, deflagrada na quarta-feira (26/2) e que cumpriu dois mandados de busca e apreensão em São Paulo e Minas Gerais.

A ação foi autorizada pela Justiça Federal em Brasília e é conduzida pela Direção de Combate a Crimes Cibernéticos da PF.

Os hackers, segundo apurou a coluna, eram especializados em acessar os sistemas desses órgãos e instalar backdoors (portas de entrada).

Esses caminhos para acessar os sistemas depois eram vendidos a interessados em roubar dados ou sequestrá-los para cobrar resgate dos proprietários.

A coluna apurou que a investigação já conseguiu informações sobre a comercialização dessas vulnerabilidades pelos hackers para entrada nos sistemas de empresas, como a Heineken no Brasil, e órgãos públicos, como o Tribunal de Justiça da Bahia (TJ-BA), a Polícia Rodoviária Federal (PRF) e o Fundo Nacional de Desenvolvimento da Educação (FNDE).

Segundo a apuração, os hackers brasileiros eram exibicionistas, gabavam-se dos ataques aos sistemas e citavam as invasões como troféus.

Há, no entanto, uma cautela entre investigadores para saber se a comercialização cujos indícios foram encontrados está efetivamente ligada ao acesso e roubo de dados.

A apuração ainda está em andamento e agora busca avançar sobre se a venda dessas informações resultaram em acesso efetivo e quais os valores movimentados pelos hackers para fornecer os dados.

As transações são todas em criptoativos, o que dificulta o trabalho dos investigadores para mapear a origem das movimentações.

A investigação da Databrokers começou após a PF receber informações sobre a atuação dos hackers por meio de uma cooperação jurídica internacional.

Com base nesses dados, a PF passou a realizar diligências que resultaram na operação.

Os investigadores coletaram indícios de que os hackers brasileiros utilizavam ferramentas para acesso a sistemas de dados adquiridas de um dos maiores grupos de cibercriminosos do mundo, o Lockbit.

O grupo, alvo de investigações no exterior, produz um ransomware (um software malicioso) que entra no sistema, bloqueia o acesso dos usuários usando criptografia, por exemplo, para depois cobrar pagamento e devolver o acesso aos dados.

Defesa

Questionada pela coluna, a Heineken afirmou que não houve qualquer ataque recente ou vulnerabilidade identificada em seu sistema e “reitera que sua estrutura de segurança segue intacta e operando com total integridade”.

O TJ-BA também disse à coluna que não foi identificado nenhum acesso indevido ou ataque cibernéticos ao ambiente do Tribunal nos últimos dias.

“O TJBA reitera o compromisso com a segurança da informação e a proteção dos sistemas sob sua gestão, mantendo práticas contínuas de monitoramento e mitigação de ameaças cibernéticas e qualquer invasão detectada será comunicada imediatamente às autoridades competentes”, afirma a nota.

Já o FNDE disse que, por causa de sua política de segurança, não divulga informações sobre incidentes de Segurança da Informação e/ou sobre eventuais ações de investigação em andamento. “O FNDE, autarquia federal vinculada ao Ministério da Educação, adota boas práticas de monitoramento e tratamento de incidentes cibernéticos – reportando-os às autoridades competentes, quando necessário”, afirmou.