«Лаборатория Касперского» выяснила, что бразильские и российские киберпреступники активно взаимодействуют друг с другом и обмениваются методами проведения атак, тем самым стимулируя развитие вредоносных инструментов.
Бразильское и русскоговорящее киберпреступные сообщества лучше других известны экспертам в области информационной безопасности благодаря их относительной открытости, активной деятельности и большому количеству нелегальных онлайн-форумов. Исторически эти два сообщества развивались независимо друг от друга и создавали собственные техники кибератак, адаптированные под местные реалии (например, бразильский Boleto или российский банковский троянец Svpeng). Однако в последние годы киберпреступники этих двух стран начали сотрудничать. На местных нелегальных форумах они находят образцы зловредов, приобретают друг у друга вредоносное ПО, например, для банкоматов и PoS-терминалов, или предлагают собственные услуги.
Следы этого двустороннего сотрудничества обнаружились, когда было замечено, что один из пользователей русскоязычного нелегального форума проявляет интерес к покупке бразильских зловредов на популярном среди русскоязычных преступников нелегальном форуме, и является завсегдатаем также подобных бразильских форумов и известным распространителем программ-вымогателей в Бразилии.
Киберпреступники обмениваются вредоносной инфраструктурой. Так, один и тот же алгоритм, который генерирует доменные имена для проведения атак, применялся сначала российскими, а затем и бразильскими злоумышленниками. Домены размещались на украинских серверах. Передача алгоритма на другой континент весьма усложнила процесс идентификации вредоносных командно-контрольных серверов исследователями и правоохранительными органами.
Киберпреступники также заимствуют друг у друга технологии для проведения атак. Например, с 2011 года бразильцы активно используют для перенаправления жертв на поддельные банковские страницы устаревшую технологию автоматической настройки прокси-сервера, которая все еще поддерживается некоторыми браузерами. Меньше чем через год оказалось, что этот же метод используется для распространения зловреда Capper — еще одного троянца, нацеленного на российские банки и, скорее всего, созданного русскоговорящими авторами.