Kaspersky ha informado que, a pesar de los arrestos de miembros del grupo responsable del troyano bancario Grandoreiro en marzo de 2024, el malware ha evolucionado con el lanzamiento de dos nuevas versiones en el mismo año. El troyano Grandoreiro, originado en Brasil, ha ganado fuerza en América Latina y ocupa ahora el sexto lugar entre los troyanos bancarios más activos a nivel mundial. Sus principales objetivos han sido Brasil, México, España, Argentina y Perú.
Durante la operación en marzo, la Policía Federal de Brasil, en colaboración con Interpol y otros agentes internacionales, arrestó a cinco personas asociadas con Grandoreiro. Sin embargo, Kaspersky confirmó que el troyano sigue activo, habiendo realizado 150.000 intentos de ataque en 45 países, apuntando a clientes bancarios y más de 276 billeteras digitales. La empresa de seguridad ha bloqueado más de 56.000 ataques en Brasil desde enero de 2024, donde el troyano apunta a 52 instituciones financieras.
Yuri do Amaral Nobre Maia, jefe del servicio de investigación de crímenes de alta tecnología de la Policía Federal Brasileña, comentó que:
“el monitoreo de IPs proporcionó datos importantes para la investigación. Junto con otras informaciones obtenidas durante la investigación, fue posible identificar a los delincuentes responsables. La investigación continuó hasta llegar a su verdadero domicilio. Sin embargo, a medida que continúan los ataques, seguimos monitoreando constantemente las actividades del grupo y estamos en contacto con los expertos de Kaspersky”.
Los expertos de Kaspersky detectaron dos nuevas versiones del malware en México. La primera, una versión ampliada, fue descubierta a mediados de año y tenía como objetivo 1.367 organizaciones financieras en 45 países. Para el tercer trimestre, los objetivos habían aumentado a más de 1.700. La segunda versión, conocida como la versión "light", es una variante reducida enfocada en atacar específicamente a 30 bancos en México y fue responsable de 15.000 intentos de ataque.
El Grandoreiro opera mediante mensajes de spam y técnicas de ingeniería social, y sigue un modelo de “malware como servicio” (MaaS), que permite a otros ciberdelincuentes comprar el malware para cometer fraudes financieros en diferentes países. Fabio Marenghi, investigador de Kaspersky, explicó que este malware, a diferencia del modelo tradicional de MaaS, tiene un acceso restringido:
"Las recientes actualizaciones del código destacan la naturaleza evolutiva de esta amenaza. Las versiones fragmentadas y más ligeras podrían expandirse más allá de México y otras regiones, incluyendo fuera de América Latina. Sin embargo, creemos que solo unos pocos afiliados de confianza tienen acceso al código fuente del malware para desarrollar estas versiones personalizadas”.
De acuerdo con el Panorama de Amenazas 2024 de Kaspersky, Grandoreiro ha alcanzado un rol destacado en la ciberdelincuencia mundial, siendo responsable del 5% de todos los intentos de ataque bloqueados por Kaspersky en todo el mundo, con Brasil (56,000 bloqueos), México (51.000), España (11.000), Argentina (6.400) y Perú (4.400) como los países más afectados.