Foram 27 milhões de palavras-passe roubadas, recuperadas de uma só vez. A par delas, 326 servidores apreendidos, 142 domínios desligados e 41 milhões de euros em criptomoeda congelados. São os números de uma operação internacional anunciada a 24 de junho, a Operação Endgame, liderada pela Europol e pela unidade de crimes digitais da Microsoft. Mas o número que interessa não é nenhum destes. É o alvo. Desta vez, a polícia não foi atrás de um gang de ransomware. Foi atrás da fábrica que os abastece.
Quase todas as notícias de cibercrime que lês são sobre o cliente final: o grupo que cifrou os dados de um hospital, a burla que esvaziou uma conta. A Endgame atacou um elo a montante, o que poucas operações fazem. O Amadey e o StealC, os dois alvos, não são ransomware. O StealC é um infostealer, um programa que se instala sem dar nas vistas e copia tudo o que tens guardado: as palavras-passe gravadas no navegador, os cookies que te mantêm com a sessão iniciada, os dados do cartão. O Amadey é um loader, um carregador que abre a porta e instala o resto. Juntos, são a linha de montagem. A Europol disse-o quase por estas palavras: o objetivo era desligar as «linhas de montagem» que alimentam o ransomware, a fraude e os ataques a infraestrutura crítica. As 27 milhões de credenciais são o inventário dessa fábrica.
Para se perceber a escala: em apenas duas semanas de maio, só estes dois programas estiveram ligados a mais de 140 mil computadores infetados em todo o mundo. A Microsoft identificou mais de 18 mil dessas máquinas, cortou o controlo que os criminosos tinham sobre elas e começou a trabalhar com operadoras de telecomunicações para avisar quem foi afetado.
A IA mudou de lado, por uma vez
Há um detalhe nesta operação que vale mais do que os números. Para construir o caso em tribunal, a Microsoft usou a sua própria inteligência artificial, o Copilot, para analisar os dois programas. O que normalmente levaria dias de trabalho manual fez-se em minutos: a IA percebeu que, apesar de o Amadey e o StealC terem sido criados por pessoas diferentes, corriam sobre a mesma infraestrutura. Foi isso que permitiu aos advogados tratar os dois como uma só conspiração e aplicar a RICO, a lei norte-americana criada para perseguir o crime organizado como uma estrutura inteira, e não peça a peça. Temos lido, mês após mês, sobre a IA ao serviço de quem ataca. Aqui, pela primeira vez de forma tão visível, ela está na peça do tribunal e não no código do ataque. O que fez foi trabalho forense: seguir a infraestrutura partilhada até ligar dois nomes à mesma rede.
E em Portugal?
Isto não é um problema de empresas distantes. O Centro Nacional de Cibersegurança avisou que, em 2025, perto de 80% do malware detetado em Portugal era precisamente deste tipo, o infostealer, e que em 2026 é o que mais cresce e a principal causa de contas de redes sociais e bancárias assaltadas. A mecânica é banal, e é por isso que funciona: guardas as palavras-passe no navegador por comodidade, abres um instalador pirata ou clicas no link errado, e o ladrão copia tudo em segundos e desaparece. Não há ecrã de resgate, não há aviso. A primeira vez que percebes é quando a conta já não é tua. Parte dessas 27 milhões de credenciais é, quase de certeza, de gente que vive cá.
Como não alimentar a fábrica
A operação desliga a infraestrutura, não apaga o que já foi roubado. A defesa continua a ser tua:
- Tira as palavras-passe do navegador e passa-as para um gestor de palavras-passe dedicado, com uma chave-mestra forte. O navegador é o primeiro sítio onde o infostealer vai.
- Liga a verificação em dois passos em tudo o que for importante. Uma palavra-passe roubada deixa de chegar para entrar.
- Desconfia de instaladores «grátis», cracks e programas fora das lojas oficiais. É o veículo preferido destes ladrões.
- Se suspeitas de infeção, mudar a palavra-passe não basta: enquanto o programa estiver na máquina, a nova também é copiada. Limpa o equipamento primeiro, muda as credenciais depois.
Uma operação destas é uma rusga à fábrica, não o fim da indústria. A infraestrutura volta a levantar-se noutro sítio, e as 27 milhões de chaves que já foram copiadas continuam a circular. A boa notícia é que a maior parte das fechaduras é fácil de trocar. A má é que a fechadura que ainda não trocaste continua a ser deles.
Fontes: Europol, The Register, Centro Nacional de Cibersegurança.
#StaySafe
🙏🖖
