Rússia detém três suspeitos de desenvolver o malware Meduza Stealer em operação conjunta

Três indivíduos foram presos em Moscou sob suspeita de criar e operar o Meduza Stealer, um malware classificado como infostealer e apontado como um dos mais sofisticados da dark web. A ação foi anunciada pela porta-voz do Ministério do Interior da Rússia, general de polícia Irina Volk, e contou com apoio de agentes do Departamento de Combate ao Cibercrime (UBK) e de policiais da região de Astrakhan. As autoridades afirmaram que a investigação permanece em curso e que novas fases da operação buscarão identificar todos os integrantes do grupo.

Quem foi detido e onde ocorreu a ação

Os detidos, cujas identidades não foram divulgadas, foram localizados na capital russa. De acordo com a divulgação oficial, eles são apontados como desenvolvedores e operadores diretos do Meduza Stealer. O local exato das prisões não foi especificado, mas a nota do Ministério indica que as detenções aconteceram após diligências coordenadas entre unidades sediadas em Moscou e na região sul do país.

Durante o cumprimento dos mandados, investigadores recolheram equipamentos de informática, meios de comunicação, cartões bancários e outros itens classificados como de valor probatório. Esses materiais serão periciados para esclarecer a extensão da atividade do grupo, identificar eventuais cúmplices e mapear vítimas potencialmente afetadas dentro e fora da Rússia.

Como a investigação teve início

Embora o Meduza Stealer já circulasse em fóruns clandestinos havia aproximadamente dois anos, o ponto de inflexão para a ofensiva policial ocorreu em maio, quando operadores associados ao malware invadiram uma instituição na cidade de Astrakhan. Na ocasião, os invasores extraíram informações confidenciais dos servidores da entidade, chamando a atenção das autoridades locais.

Com base nesse incidente, foi instaurado um processo criminal amparado no Artigo 273 do Código Penal russo, dispositivo que trata da criação, uso e distribuição de programas de computador maliciosos. A partir daí, investigadores do UBK ampliaram a coleta de dados, acompanharam transações em fóruns hackers e rastrearam a infraestrutura digital supostamente ligada ao trio preso em Moscou.

O que é o Meduza Stealer

Classificado como infostealer, o Meduza é projetado para capturar logins, senhas, dados de carteiras de criptomoedas e informações armazenadas nos navegadores web das vítimas. Segundo as autoridades russas, o código malicioso destacava-se por mecanismos avançados, incluindo a capacidade de restaurar cookies de autenticação expirados no navegador Chrome a partir de dezembro de 2023. Esse recurso possibilitava a retomada de sessões de usuários sem necessidade de credenciais adicionais, elevando o risco de comprometimento de contas.

Outro diferencial apontado na investigação é o modelo de oferta do malware, adotado em regime de assinatura. Nessa modalidade, frequentemente chamada de Malware-as-a-Service, interessados pagavam uma taxa recorrente para ter acesso à ferramenta, sem precisar lidar com o desenvolvimento técnico do código. A facilidade de contratação ampliou o alcance do Meduza e o colocou entre os infostealers mais procurados em fóruns da dark web.

Distribuição em fóruns clandestinos

Documentos reunidos no inquérito indicam que a comercialização do Meduza começou cerca de dois anos antes da prisão dos suspeitos. Os autores supostamente utilizavam perfis anônimos para oferecer o serviço, publicando tutoriais, atualizações e pacotes de suporte em comunidades especializadas. A combinação de preço competitivo, constantes incrementos de funcionalidades e suporte ao usuário atraiu clientes de múltiplos países, ampliando o potencial de disseminação.

Dados preliminares sugerem que parte significativa dos compradores buscava principalmente roubar credenciais de plataformas bancárias, redes sociais e serviços de e-mail. Além das senhas, o malware também coletava arquivos locais que pudessem conter chaves privadas de criptomoedas, tornando-o atraente para quem mira ativos digitais de alto valor.

Relação com o Aurora Stealer

A investigação inclui ainda a afirmação de que o mesmo grupo seria responsável pelo Aurora Stealer, outro malware-as-a-service que ganhou notoriedade em 2022. A ligação entre as duas ameaças foi apontada pelo pesquisador conhecido como g0njxa, que monitora o mercado de infostealers. Embora os detalhes técnicos dessa conexão não tenham sido divulgados oficialmente, as autoridades consideram a possibilidade de código compartilhado ou de uma cadeia de distribuição comum.

Desenvolvimento de botnet e ampliação do arsenal

Além do Meduza Stealer, os detidos são acusados de desenvolver e disseminar um malware de botnet capaz de desativar medidas de segurança em sistemas alvo. Esse componente ampliaria as rotas de ataque, permitindo a instalação silenciosa de outros programas maliciosos ou a coordenação de atividades de negação de serviço. A descoberta foi resultado de buscas em dispositivos apreendidos, nos quais investigadores localizaram fragmentos de código e registros de distribuição.

Segundo o Ministério do Interior, a existência desse segundo projeto reforça o caráter estruturado do grupo, que diversificava suas ferramentas para atender diferentes demandas do mercado clandestino. A coleta de provas relacionadas à botnet pode levar a novas acusações, além daquelas já enquadradas no Artigo 273.

Materiais recolhidos e etapas periciais

Computadores, smartphones, unidades de armazenamento e cartões bancários foram listados entre os itens apreendidos. Esses dispositivos serão submetidos a perícia técnica para extração de logs, carteiras digitais, históricos de transação e mensagens trocadas em canais privados. O objetivo é reconstruir a rede de contatos dos suspeitos, quantificar o número de assinantes do serviço e identificar valores recebidos pela venda do malware.

Além da análise de dados digitais, investigadores pretendem rastrear eventuais fluxos financeiros decorrentes da comercialização do Meduza Stealer. Documentos bancários e registros de pagamento encontrados nas buscas servirão para mapear contas utilizadas para receber assinaturas e movimentar possíveis lucros ilícitos.

Consequências legais e próximos passos

Os três suspeitos permanecem sob custódia enquanto prosseguem as diligências. Caso sejam condenados pela violação do Artigo 273, poderão enfrentar penas que incluem restrição de liberdade e multas. O Ministério do Interior ressaltou que a operação atual não encerra os esforços de combate ao grupo; outras fases estão planejadas para capturar cúmplices e mapear a totalidade da infraestrutura criminosa.

O comprometimento de uma instituição em Astrakhan, episódio que desencadeou o procedimento criminal, também segue em análise. As autoridades procuram estabelecer o percurso de dados roubados, verificar se houve repasse a terceiros e mensurar possíveis prejuízos. Conforme avançam essas etapas, novos depoimentos e perícias poderão ser incorporados ao processo judicial.

Cenário nacional de cibersegurança

A ação destacada pelo Ministério do Interior reforça a estratégia de centralizar esforços no Departamento de Combate ao Cibercrime, responsável por coordenar investigações de alto impacto. A cooperação entre unidades regionais, exemplificada pela parceria com policiais de Astrakhan, surge como peça chave para localizar suspeitos que atuam em mais de uma jurisdição dentro do país.

Embora a investigação esteja concentrada nos danos causados em território russo, o modelo de distribuição do Meduza Stealer sugere que vítimas podem estar espalhadas globalmente. As autoridades reconhecem a necessidade de examinar dados de pagamento e endereços IP para avaliar a extensão internacional do caso e, se for o caso, acionar mecanismos de cooperação com outras nações.

Expectativa para as próximas operações

Em declaração oficial, a porta-voz Irina Volk antecipou que outras diligências serão realizadas em curto prazo. O foco principal é identificar cada membro que teve participação na criação, manutenção ou comercialização do Meduza Stealer e do malware de botnet relacionado. Investigadores não descartam novas prisões e buscarão ampliar o conjunto de provas digitais, financeiras e testemunhais.

Ao final da operação, a expectativa é de que o material coletado forneça um panorama detalhado da atuação do grupo, desde o desenvolvimento inicial do malware até a oferta do serviço em fóruns clandestinos. A consolidação dessas informações será decisiva para determinar responsabilidades penais e para embasar medidas de prevenção voltadas a mitigar ataques semelhantes no futuro.