A Microsoft está adotando uma nova abordagem para combater o cibercrime, visando a cadeia de suprimentos dos ataques cibernéticos, e não apenas nos serviços individuais. No caso divulgado hoje, estamos mirando simultaneamente duas ferramentas de cibercrime amplamente utilizadas, Amadey e StealC, após uma análise assistida por IA revelar que ambas dependem da mesma infraestrutura. 

Essa ação mira a “linha de montagem” do cibercrime, na qual ferramentas coordenadas impulsionam ransomware, fraudes financeiras e interrupções em serviços públicos. Amadey e StealC são frequentemente usadas em conjunto: a Amadey ajuda os invasores a obter acesso a dispositivos, enquanto a StealC rouba senhas e informações sensíveis. Juntas, elas formam um elo crítico nessa cadeia de ataque. Nas duas primeiras semanas de maio, Amadey e StealC foram associadas a mais de 140 mil computadores infectados em todo o mundo, evidenciando o quanto são utilizadas. 

Em colaboração com a Europol e parceiros da indústria, miramos as duas ferramentas ao mesmo tempo. O objetivo é romper a cadeia. Desde o início da operação, a Microsoft identificou mais de 18 mil computadores de vítimas, interrompeu o controle criminoso desses dispositivos e está trabalhando com provedores de telecomunicações para ajudar a proteger clientes afetados globalmente. 

Quando várias partes de uma operação são interrompidas em conjunto, os ataques se tornam mais difíceis de lançar, escalar e recuperar. O resultado: menos serviços interrompidos, menos oportunidades para que cibercriminosos lucrem e mais obstáculos para quando tentam reconstruir suas operações. Não basta combater ameaças uma a uma, precisamos interromper a forma como os ataques são estruturados. 

O que há de diferente nesta ação 

Há muito tempo a Microsoft utiliza ações judiciais civis para desarticular infraestruturas cibercriminosas e foi pioneira no uso de leis existentes, incluindo a Lei Racketeer Influenced and Corrupt Organizations Act (RICO), uma legislação dos Estados Unidos criada para combater o crime organizado. 

A novidade está na forma como estamos combinando as análises baseadas em IA com o uso ampliado dessa legislação.  

Amadey e StealC foram desenvolvidas por cibercriminosos diferentes, mas dependiam da mesma infraestrutura. Para entender como funcionavam, investigadores usaram IA, incluindo o Copilot, para analisar rapidamente os malwares, fazendo perguntas em linguagem natural em vez de examinar manualmente códigos complexos. Isso ajudou a revelar detalhes importantes, descobrir dados ocultos e validar conclusões em uma fração do tempo, transformando tarefas que levariam horas ou dias para minutos, permitindo que a equipe identificasse as conexões rapidamente. 

Essas descobertas permitiram que a equipe jurídica tratasse as duas famílias de malware como parte de uma única conspiração. Em vez de agir contra cada ferramenta separadamente, como fizemos no passado, usamos a Lei RICO para responsabilizar vários facilitadores cúmplices envolvidos em toda a operação. No total, a Unidade de Crimes Digitais da Microsoft interrompeu mais de 200 servidores de comando e controle, sistemas que criminosos usam para controlar dispositivos infectados, roubar dados e manter os ataques em andamento. 

Ao atingir as ferramentas em conjunto, conseguimos interromper a cadeia do cibercrime de forma mais eficiente e eficaz, refletindo melhor a maneira como essas redes operam atualmente.

O cibercrime agora funciona como uma linha de montagem 

O cibercrime deixou de ser uma série de ataques isolados — tornou-se um sistema coordenado. 

Ferramentas especializadas cuidam de cada etapa: uma obtém acesso, outra rouba credenciais, e outras vendem ou exploram esse acesso para fraude, ransomware, espionagem ou outros fins maliciosos. Diferentes agentes podem estar envolvidos em cada fase, mas juntos transformam o acesso em lucro, rapidamente e em larga escala.

Essa estrutura também cria um ponto de vulnerabilidade. As pessoas por trás dessas ferramentas cibercriminosas podem nunca interagir diretamente, mas seus programas são projetados para funcionar em conjunto. Se essas conexões puderem ser identificadas, múltiplas etapas de um ataque poderão ser interrompidas ao mesmo tempo. 

Como esses ataques acontecem no mundo real 

A maioria das pessoas nunca ouvirá os nomes Amadey ou StealC, mas sente seus efeitos. Um hospital sem acesso a sistemas críticos. Uma cidade incapaz de prestar serviços essenciais. Uma pequena empresa perdendo acesso a contas da noite para o dia. Uma pessoa aposentada que perdeu as economias de uma vida. 

Esses ataques não acontecem de uma só vez. Eles se desenrolam etapa por etapa: invasores entram, senhas são roubadas, o acesso é reutilizado ou vendido e, às vezes, reaproveitado para operações mais específicas. Por exemplo, a Microsoft observou o ator associado à Rússia conhecido como Secret Blizzard aproveitando as invasões por Amadey para implantar malware personalizado contra alvos na Ucrânia. 

Ao mirar vários pontos dessa cadeia ao mesmo tempo, reduzimos a chance de que um único comprometimento se transforme em um dano generalizado. Em termos simples: menos ataques serão concluídos, e menos pessoas sentirão seu impacto quando acontecem. 

Nenhuma organização consegue fazer isso sozinha 

Ações como esta reforçam uma realidade fundamental: temos sucesso quando colaboramos. Nenhuma organização isoladamente, seja do governo ou da indústria, tem visibilidade completa sobre como as ameaças cibernéticas operam entre fronteiras e setores. O que torna esse esforço eficaz é a combinação de perspectivas e dados. 

A Microsoft vinha acompanhando a Amadey devido ao seu impacto sobre os clientes, trabalhando com parceiros de cibersegurança como ESET, BitSight, Lumen e Mitsui Bussan Secure Directions (MBSD) para entender melhor seu funcionamento. Ao mesmo tempo, o Centro Europeu de Cibercrime da Europol (EC3), junto a parceiros europeus de aplicação da lei, incluindo o Departamento Federal de Polícia Criminal da Alemanha e as polícias nacionais da Holanda e da Dinamarca, investigava a StealC como parte da Operação Endgame, ao lado da IBM X-Force e da Proofpoint. 

A união desses esforços ampliou nossos conjuntos de dados coletivos e tornou possível identificar rapidamente as conexões entre as duas ferramentas e agir sobre elas. Esse entendimento compartilhado permitiu uma resposta coordenada que foi além do que qualquer organização conseguiria alcançar sozinha. 

Isso demonstra porque as parcerias são importantes. A indústria compartilha conhecimento técnico, os governos trazem visibilidade, e precisamos de formas confiáveis de trocar essas informações. Somente trabalhando a partir da mesma visão do problema é que podemos nos manter à frente dos invasores, desarticulando não apenas ferramentas individuais, mas também os sistemas que tornam o cibercrime possível. 

Criando pressão sustentada sobre o cibercrime 

Esse trabalho não termina com uma única ação. Os cibercriminosos se adaptam rapidamente, por isso continuamos acompanhando a maneira como essas operações evoluem e trabalhando com parceiros para desarticulá-las. 

A desarticulação autorizada pela Justiça neste caso é acompanhada de esforços contínuos da Microsoft para monitorar como os cibercriminosos reconstroem suas operações, identificar novas infraestruturas e trabalhar com parceiros para interromper os serviços dos quais dependem para operar. Isso inclui incorporar as descobertas dessa disrupção a iniciativas como o programa Statutory Automated Disruption da Microsoft, que ajuda a acelerar a remoção de domínios e infraestruturas maliciosas. 

O objetivo não é apenas interromper uma operação, mas desacelerar o próprio sistema — tornando os ataques mais difíceis de lançar, escalar e recuperar. Ao combinar insights gerados por IA, ações legais e parcerias sólidas, podemos continuar dificultando o cibercrime e reduzindo o seu impacto. 

Há mais de uma década, a Unidade de Crimes Digitais da Microsoft (Digital Crimes Unit – DCU) trabalha para desarticular o cibercrime e ameaças de Estados-nação, no qual abriu cerca de 40 casos desde 2008 e firmou parcerias com autoridades policiais para derrubar redes criminosas. Saiba mais sobre os esforços da equipe aqui.