O Departamento de Justiça dos EUA anunciou indiciamentos contra 54 pessoas relacionadas a uma rede transnacional que usou o malware Ploutus para realizar "ATM jackpotting" e, segundo os procuradores, lavar os recursos para a organização Tren de Aragua.
Resumo dos documentos judiciais
Documentos do processo detalham um esquema que incluía reconhecimento físico de agências, acesso físico aos caixas eletrônicos e instalação de variantes do Ploutus. O ataque não é simples skimming: os criminosos fizeram com que máquinas dispensassem dinheiro mediante comandos não autorizados, seja substituindo o disco do ATM por uma unidade comprometida ou conectando dispositivos externos como USBs.
Vetor, execução e técnicas
- Reconhecimento de alvos para avaliar segurança externa;
- Acesso físico ao compartimento do ATM (abertura de capô/porta);
- Deploy do malware via disco ou mídia removível;
- Execução de comandos ao módulo de dispensação de numerário e limpeza de logs para ocultar evidências.
Alvos e impacto
Os indiciamentos mencionam uma série de incidentes nos EUA que resultaram em saques multimilionários. Procuradores federais alegam que os fundos foram transferidos e lavados para a Venezuela para beneficiar líderes da Tren de Aragua, incluindo figuras já identificadas em investigações anteriores.
Consequências legais
Os 54 réus enfrentam acusações que variam de fraude bancária e danos a computadores até fornecer apoio material a organização terrorista. Segundo o comunicado citado, as penas, em caso de condenação, podem variar de 20 a 335 anos de prisão. O Acting Assistant Attorney General Matthew R. Galeotti declarou:
“The Criminal Division will not tolerate networks of thieves who breach the security of our financial system.”
Evidências e lacunas
O relatório público inclui mapas e descrições de incidentes, além de referência a variantes do Ploutus usadas para apagar logs. Não há, porém, na cobertura disponível, detalhamento técnico completo das amostras de malware analisadas (hashes, IOCs) ou uma lista pública das instituições afetadas — os documentos judiciais podem conter anexos não divulgados nos trechos jornalísticos.
Implicações para defesa de bancos e fintechs
Embora muitos controles digitais sejam necessários, este esquema reforça que ameaças híbridas (físicas + digitais) ainda são críticas para o setor financeiro. Medidas práticas incluem maior proteção física dos ATMs, inspeções regulares de integridade dos discos e unidades, verificação de boot devices e segmentação e monitoramento do módulo de dispensação com alertas para comandos atípicos.
Observações finais
O indiciamento maciço evidencia operações coordenadas em escala e o uso de malware para ações físicas com implicações financeiras sérias. Investigações em curso e eventuais processos adicionais podem revelar mais sobre logística, atores centrais e vetores de financiamento.