A ação coordenada pela INTERPOL resultou em 201 prisões, 382 suspeitos adicionais identificados, 53 servidores apreendidos e 3.867 vítimas mapeadas em 13 países do Oriente Médio e Norte da África.
| Componente | Infraestrutura de phishing como serviço, servidores comprometidos, dispositivos infectados por malware, contas comprometidas e ambientes usados em fraudes financeiras na região MENA |
| Vetor | Operações de phishing, malware e engenharia social apoiadas por servidores, scripts, dados bancários, contas comprometidas e plataformas falsas de investimento |
| Impacto | 201 prisões, 382 suspeitos adicionais identificados, 3.867 vítimas localizadas, 53 servidores apreendidos e interrupção de infraestrutura usada para fraude, roubo de credenciais e distribuição de ameaças |
| Prioridade | Revisar exposição de contas, investigar autenticações anômalas, bloquear infraestrutura associada a phishing, validar endpoints possivelmente comprometidos e rotacionar credenciais de contas afetadas |
| Artefatos | Computadores, smartphones, discos rígidos externos, discos rígidos com scripts de phishing, servidor residencial vulnerável em Omã, dispositivos comprometidos no Catar e computador usado em fraude financeira na Jordânia |
| Escopo | Algeria, Bahrain, Egypt, Iraq, Jordan, Lebanon, Libya, Morocco, Oman, Palestine, Qatar, Tunisia e U.A.E. participaram da Operação Ramz entre outubro de 2025 e fevereiro de 2026 |
A Operação Ramz consolidou uma resposta regional contra ecossistemas de cibercrime no Oriente Médio e no Norte da África, com foco em infraestrutura operacional usada para phishing, malware e golpes financeiros. A ação ocorreu entre outubro de 2025 e fevereiro de 2026 e envolveu 13 países, combinando investigação policial, apreensão de servidores, análise de contas comprometidas e identificação de vítimas. O resultado operacional incluiu 201 prisões, 382 suspeitos adicionais identificados, 3.867 vítimas mapeadas e 53 servidores apreendidos, indicando que a campanha não se limitou a prisões individuais, mas também atingiu recursos técnicos usados para manter campanhas ativas.
O material coletado mostra uma superfície heterogênea: um serviço de phishing como serviço foi desarticulado na Argélia após a apreensão do servidor que sustentava a operação; autoridades no Marrocos encontraram computadores, smartphones e discos externos com dados bancários e software de phishing; em Omã, um servidor legítimo localizado em residência privada armazenava informações sensíveis, tinha múltiplas vulnerabilidades críticas e estava infectado por malware; no Catar, dispositivos comprometidos eram usados sem conhecimento dos proprietários; e na Jordânia, um computador era usado para operar fraudes de investimento em uma plataforma de negociação que aparentava legitimidade até desaparecer após o depósito dos ativos das vítimas.
A parte de phishing da operação revela um modelo de execução típico de infraestrutura compartilhada: operadores mantêm servidores, kits, scripts e painéis para viabilizar páginas falsas, coleta de credenciais, captura de dados bancários e redirecionamentos para domínios controlados por criminosos. No caso argelino, a apreensão de servidor, computador, telefone celular e discos rígidos com software e scripts de phishing indica que a infraestrutura não era apenas um conjunto de páginas isoladas, mas um ambiente de operação e manutenção. Esse tipo de arranjo permite que múltiplos operadores usem a mesma base técnica para campanhas distintas, reduzindo a barreira de entrada para fraudes contra bancos, serviços digitais e usuários finais.
Os casos de Omã e Catar demonstram outro fluxo relevante: ativos legítimos ou pertencentes a usuários comuns podem ser incorporados à cadeia criminosa quando permanecem vulneráveis, mal administrados ou infectados. O servidor residencial identificado em Omã reunia três condições de risco em um mesmo ativo: presença de informação sensível, vulnerabilidades críticas e malware ativo. Essa combinação permite uso duplo do sistema, tanto como repositório de dados quanto como ponto de apoio para novas ações. No Catar, os proprietários dos dispositivos não sabiam que suas máquinas eram usadas para espalhar ameaças, o que aponta para comprometimento silencioso e aproveitamento de endpoints como nós intermediários ou distribuidores.
A frente de fraude financeira observada na Jordânia seguiu um padrão de engenharia social diferente do phishing clássico. Usuários eram convencidos a transferir ativos para uma plataforma de investimento com aparência legítima; após o depósito, a plataforma era encerrada ou deixava de operar para a vítima. A investigação também identificou uma camada de coerção humana: 15 pessoas encontradas executando os golpes foram avaliadas como vítimas de tráfico humano, recrutadas em países asiáticos sob falsa promessa de emprego, tiveram passaportes retidos e foram forçadas ou coagidas a participar do esquema. Isso altera o modelo de resposta, porque parte da mão de obra operacional pode ser simultaneamente participante técnico e vítima de exploração.
A superfície afetada inclui contas comprometidas, servidores usados por operadores de phishing, dispositivos pessoais ou residenciais, estáções empregadas em fraudes e dados bancários encontrados em mídias apreendidas. A contribuição de inteligência privada incluiu informações acionáveis sobre mais de 5.000 contas comprometidas, incluindo contas associadas à infraestrutura governamental, além de detalhes sobre infraestrutura de phishing ativa na região. Para equipes de defesa, esse dado é relevante porque contas governamentais ou corporativas comprometidas podem ser usadas para ampliar credibilidade em campanhas, movimentar mensagens internas, acessar serviços federados ou contornar controles baseados apenas em reputação de domínio.
A presença de dados bancários e software de phishing em equipamentos apreendidos no Marrocos amplia o risco para instituições financeiras, clientes e provedores de pagamento. Ainda que o material disponível não detalhe bancos específicos, hashes, domínios ou kits nomeados, a combinação de dados financeiros e ferramentas de phishing aponta para ambientes onde coleta, armazenamento e reutilização de informações sensíveis ocorriam no mesmo fluxo. Isso exige investigação em registros de autenticação, anomalias em transações, tentativas de redefinição de senha, abertura de sessões a partir de redes incomuns e aumento de eventos de bloqueio por fraude.
- Contas comprometidas, incluindo contas associadas à infraestrutura governamental, devem ser tratadas como possíveis pontos de pivô para acesso não autorizado e distribuição de mensagens fraudulentas.
- Servidores apreendidos e dispositivos infectados indicam uso de infraestrutura distribuída para hospedar phishing, armazenar scripts, manter dados coletados e apoiar campanhas ativas.
- Ambientes residenciais ou privados com serviços expostos e vulnerabilidades críticas podem se tornar infraestrutura criminosa sem que o proprietário perceba a atividade.
A caça deve começar por identidade e acesso. Como a operação envolveu mais de 5.000 contas comprometidas, é necessário revisar autenticações recentes, sessões persistentes, alterações de métodos de autenticação multifator, criação de senhas de aplicativo, concessões OAuth, uso incomum de IMAP, SMTP, POP3 ou APIs de e-mail, além de logins a partir de regiões ou ASN que não fazem parte do perfil normal do usuário. Em ambientes governamentais ou de alta sensibilidade, contas com privilégios administrativos, acesso a caixas compartilhadas, portais de cidadão e sistemas financeiros devem receber prioridade porque uma única credencial válida pode permitir coleta, envio de phishing interno ou acesso a dados regulados.
Em endpoint e rede, os sinais esperados variam conforme o papel do ativo comprometido. Um servidor usado para phishing pode apresentar diretórios web recém-criados, arquivos comprimidos com kits, scripts em PHP, JavaScript ou linguagens de automação, certificados TLS emitidos recentemente, tarefas agendadas para atualização de páginas falsas, tráfego para domínios registrados há pouco tempo e aumento de requisições HTTP para rotas que imitam páginas de autenticação. Dispositivos usados como intermediários ou distribuidores podem exibir conexões periódicas para painéis externos, processos persistentes desconhecidos, uso anormal de portas de saída, alterações de DNS e execução de binários sem reputação no perfil do usuário.
Para fraudes de investimento, a telemetria útil fica distribuída entre e-mail, mensageria, navegador, registros antifraude e atendimento ao cliente. Devem ser correlacionadas campanhas com promessas de rendimento, links para plataformas de negociação recém-criadas, domínios com identidade visual semelhante a serviços legítimos, solicitações de depósito em criptomoedas ou contas de terceiros, mudanças rápidas de canal de contato e encerramento abrupto de portais após recebimento de fundos. Em organizações que monitoram abuso de marca, o aparecimento de páginas falsas com termos de negociação, carteira digital, suporte financeiro e verificação de conta deve acionar contenção e preservação de evidências.
- Autenticações válidas fora do padrão do usuário, novas sessões persistentes, alterações em MFA e concessões OAuth inesperadas em contas corporativas ou governamentais.
- Servidores web com kits de phishing, scripts recém-adicionados, certificados TLS recentes, formulários que coletam credenciais e tráfego para domínios de curta idade.
- Endpoints com processos desconhecidos, conexões recorrentes para infraestrutura externa, tarefas agendadas suspeitas, alterações de DNS e sinais de execução sem consentimento do proprietário.
- Indicadores de fraude financeira em mensagens, domínios e páginas que simulam plataformas de investimento, especialmente quando combinados com pedidos de depósito e mudança para canais privados.
A resposta defensiva deve tratar o episódio como combinação de comprometimento de identidade, abuso de infraestrutura e fraude social. A primeira etapa é validar se contas da organização aparecem em listas internas de credenciais comprometidas, registros de infostealers, notificações de provedores ou alertas de inteligência. Contas confirmadas ou suspeitas devem passar por revogação de sessões, rotação de senha, reemissão de fatores de autenticação, revisão de tokens OAuth e análise de regras de encaminhamento em e-mail. Em seguida, os times devem verificar se houve uso da conta para envio de mensagens, acesso a dados, criação de integrações ou movimentação lateral.
Em servidores e endpoints, a contenção exige isolar ativos com comportamento compatível com hospedagem de phishing, distribuição de malware ou participação involuntária em tráfego malicioso. Sistemas expostos devem ser inventariados, corrigidos, varridos por malware e comparados contra configuração esperada. No caso de servidores com informação sensível e vulnerabilidades críticas, a ordem correta é preservar evidência suficiente para análise, retirar exposição externa quando possível, aplicar correções, remover persistência, validar integridade dos arquivos e revisar logs para identificar coleta de dados ou uso como ponto de salto.
Para reduzir recorrência, controles preventivos precisam cobrir identidade, aplicação e rede. MFA resistente a phishing deve ser priorizado para contas privilegiadas e contas expostas à internet; e-mail deve aplicar autenticação de domínio, detecção de páginas falsas e bloqueio de anexos ou links suspeitos; ambientes web devem manter inventário de serviços públicos e varredura contínua de vulnerabilidades críticas; e equipes antifraude devem monitorar abuso de marca, plataformas falsas e padrões de depósito associados a golpes de investimento. Quando houver vítimas ou contas afetadas, a comunicação deve ser objetiva, com orientação para troca de credenciais, revisão de transações e preservação de mensagens e URLs para investigação.
- Revogar sessões, rotacionar credenciais, revisar MFA, remover tokens OAuth suspeitos e auditar regras de encaminhamento em contas possivelmente comprometidas.
- Isolar servidores ou endpoints com sinais de malware, hospedagem de phishing ou tráfego malicioso; preservar evidências antes de limpeza quando houver investigação em andamento.
- Aplicar correções em sistemas com vulnerabilidades críticas, remover persistência, revisar arquivos web e validar que serviços expostos não armazenam dados sensíveis sem controle adequado.
- Bloquear domínios e URLs de phishing identificados, acionar provedores para remoção de páginas falsas e correlacionar eventos de fraude com registros de autenticação e endpoint.
- Reforçar MFA resistente a phishing, monitoramento de abuso de marca, inventário de ativos externos e alertas para contas privilegiadas ou vinculadas a infraestrutura governamental.
0 Comentários