Visualização normal

Antes de ontemStream principal

FRONTEIRA INTELIGENTE Brasil — Cone Sul → Amazônia

✇Open Source Intelligence Brasil
Por:osintbrasil.blogspot.com
5 de Abril de 2026, 14:15
OSINT FRONTEIRA — Brasil / Paraguai / Cone Sul → Amazônia
CLASSIFICAÇÃO: USO PROFISSIONAL — OSINT APENAS

FRONTEIRA INTELIGENTE
Brasil — Cone Sul → Amazônia
Mapa Preditivo · Sensores · Satélites · Riscos Militares · IA Editorial

Relatório integrado de inteligência OSINT cobrindo 16.886 km de fronteira terrestre — do Chuy (Uruguai) ao Oiapoque (Amapá). Inclui arquitetura de sensores, fontes satelitais abertas, análise de risco militar, software de monitoramento pipeline e módulo de inteligência editorial automatizada com IA.

16.886 km de fronteira monitorada 10 países vizinhos SISFRON SAD 3+7 operacionais Sentinel-1/2 + Planet Labs + SAR
MAPA PREDITIVO — Corredor de Fronteira Brasil FONTES: SISFRON · SIVAM · INPE · IBGE
◀ PARAGUAI ◀ ARGENTINA ◀ URUGUAI/BOL SISFRON SAD1 SISFRON SAD3 SISFRON SAD7 SIVAM/SIPAM URUGUAIANA PONTA PORÃ ▲ ITAIPU FOZ IGU P.MURTINHO CORUMBÁ GUAJARÁ-M RIO BRANCO TABATINGA BOA VISTA OIAPOQUE ZONA CRÍTICA TRÍPLICE FRONT. ZONA CRÍTICA CORREDOR MS RISCO ALTO RISCO MÉDIO AMAZÔNIA SIVAM ATIVO Risco crítico Risco alto Monitorado SIVAM ≈ 1.500 km FRONTEIRA BRASIL — MAPA PREDITIVO OSINT v2.0 CLASSIFICAÇÃO: USO PROFISSIONAL
MÓDULO 06 · SISTEMAS NACIONAIS
SISFRON, SIVAM, SIPAM & SisGAAz — Arquitetura de Vigilância
16.886 km fronteira (SISFRON)
R$15bi Investimento previsto
570 Municípios cobertos
11 Estados brasileiros
2035 Plena operação
SISFRON — Sistema Integrado de Monitoramento de Fronteiras

O SISFRON baseia-se no SIVAM e SIPAM, implementados na primeira década deste século para monitorar a Amazônia. O sistema integra uma rede sofisticada de radares, sensores, sistemas de comunicação segura e plataformas de comando e controle para detectar, monitorar e responder a movimentos fronteiriços em tempo real. As fases SAD 3 e SAD 7 mais recentes totalizam estimativa de USD $1 bilhão cada.

Fases de implementação
2014 — SAD 1 · Mato Grosso do Sul (Dourados)
Fase piloto com a 4ª Brigada de Cavalaria Mecanizada. Cobertura de 360 milhas da fronteira com o Paraguai. Primeiros radares de vigilância terrestre, sensores ópticos/térmicos e sistemas de comunicação integrados.
2020–2024 — SAD 3 · Expansão Paraná/MS/MT
Prevê a aquisição de radares de vigilância aérea e terrestre, sensores ópticos e eletromagnéticos em versões portáteis, transportáveis, móveis ou estacionárias, bem como plataformas para sua instalação. Inclui radares SAR com capacidade de penetração florestal.
2025–2030 — SAD 7 · Amazônia / Arco Norte
Fase em contratação com valor estimado de USD $1 bilhão. Cobertura do Acre, Rondônia, Amazonas, Roraima e Amapá. Integração com SIVAM existente e novos sensores COMINT/SIGINT.
2035 — Plena operação (RS ao Amapá)
Cobertura total dos 16.886 km de fronteira terrestre. 48 pelotões especiais de fronteira. O sistema é descrito como uma cerca eletrônica para identificação de ameaças em tempo real e comunicação com centros de comando capazes de acionar unidades operacionais contra qualquer violação de segurança.
SIVAM — Sistema de Vigilância da Amazônia

O SIVAM detecta aeronaves de baixa altitude pilotadas por traficantes de drogas, tanto pelos radares terrestres quanto por aviões. Inclui estações de radar móveis transportadas para postos remotos na selva. O SIVAM hoje é operado pelo CENSIPAM do Ministério da Defesa e processa imagens SAR de banda X sobre áreas críticas durante a estação chuvosa quando satélites ópticos são limitados por cobertura de nuvens.

SisGAAz — Amazônia Azul (Marinha)

A Marinha aumentará sua presença usando embarcações de patrulha e navios de transporte capazes de navegar pelas hidrovias interiores. Novas brigadas fluviais marinhas com batalhões de operações ribeirinhas foram formadas. Na Amazônia, a sede da 2ª Frota e uma divisão de fuzileiros navais foram estabelecidas em Belém. O SisGAAz complementa o SISFRON na vigilância dos rios Amazonas, Solimões, Paraguai e Paraná.

MÓDULO 07 · SENSORES & DETECÇÃO
Arquitetura de Sensores para Vigilância Amazônica

A dificuldade central na vigilância da região amazônica é a combinação de floresta densa, cobertura de nuvens permanente, ausência de infraestrutura, grandes distâncias e a necessidade de diferenciar movimentação humana de fauna nativa. A solução de estado da arte adota uma abordagem de sensores em camadas (layered sensor fusion), integrando dados de múltiplas modalidades em um único quadro operacional.

Sísmico (UGS)

Sensores não atendidos enterrados detectam vibração de solo causada por passos humanos (até 150m), veículos (até 1km) e aeronaves de pouco altitude. Diferenciam assinatura sísmica por frequência.

SensoGuard Rafael UGS Elbit PSTAR MEMS sísmico
Acústico Passivo

Arrays de microfones detectam tiro de arma, motor de aeronave, barco a motor e gerador elétrico. IA classifica eventos em tempo real. Alcance 3–10 km dependendo da cobertura vegetal.

ShotSpotter Rhino Research DARPA WASP Audiomoth
Termal / IR

Câmeras FLIR montadas em torres ou UAVs detectam calor corporal humano e de animais de grande porte. Distingue humanos de fauna por padrão de movimento com IA embarcada.

FLIR Systems OPGAL DRS Tech Axis IR
Radar de Solo

Uma unidade de radar compacta envia pulsos de ondas de rádio várias vezes por segundo. As ondas viajam pela área de monitoramento e retornam com informações sobre o tamanho, velocidade e direção de objetos em movimento, permitindo diferenciar humanos, veículos e drones.

Spotter S5-X SRC Inc GRSS Blighter B202 Kelvin Hughes
Fibra Óptica DAS

O OptaSense LGDS converte um cabo de fibra óptica padrão em um array de sensores distribuídos capazes de detectar mudanças em pressão, temperatura, estresse e acústica, classificando atividades como pessoas, veículos, aeronaves de baixa altitude e tiro.

OptaSense Fotech DAS Halliburton Silixa
Drone Autônomo BVLOS

Drones de longo alcance em patrulha autônoma cobrem setores remotos. Equipados com câmera EO/IR e AIS receiver para detecção de embarcações. Integram dados via link satelital Starlink ou Iridium.

Embraer Hermes Schiebel CAMCOPTER DJI Matrice Asteria UAV
Aeronaves sem Transponder — Detecção OSINT

Aeronaves sem ADS-B ou Mode-S transponder (pistas clandestinas, ultralight, helicópteros sem registro) representam o principal vetor de tráfico aéreo na Amazônia. Técnicas OSINT para detecção incluem: (1) análise de imagens de satélite para identificação de pistas clandestinas via Planet Labs/NICFI; (2) monitoramento de sinais MLAT (Multilateration) com receptores ADS-B distribuídos que triangulam posição sem transponder; (3) análise de padrões de ruído acústico via Audiomoth; (4) correlação de registros ANAC com operações suspeitas; (5) monitoramento de AIS fluvial para aeronaves anfíbias e hidroaviões.

Diferenciação Fauna vs. Humano — IA de Classificação

Um dos maiores desafios em sensores de fronteira florestal é o alto índice de falsos positivos causados por fauna. O software de radar habilitado por IA determina confiavelmente a natureza de cada objeto detectado, permitindo diferenciar entre ameaças reais (humanos, drones, veículos) e animais silvestres, pássaros e folhagem agitada pelo vento. Para a Amazônia, modelos de ML treinados localmente com dados de fauna regional (antas, capivaras, onças, araras) reduzem alertas falsos em até 85% comparado a sistemas não calibrados.

MÓDULO 08 · GEOESPACIAL & SATÉLITES
Sensoriamento Remoto, SAR e Fontes Abertas de Satélite
Plataforma Resolução Revisita Acesso Uso chave
Sentinel-2A/B/C 10–60m óptico 5 dias Gratuito ESA Desmatamento, uso do solo, NDVI
Sentinel-1 SAR 5–20m radar 6–12 dias Gratuito ESA Floresta (chuva), detecção embarcações
PlanetScope 3.7m óptico Diário NICFI grátis/pago Pistas clandestinas, garimpo, desmate
Landsat-8/9 15–30m óptico 16 dias Gratuito USGS Histórico longo prazo, queimadas
CBERS-4A 8m óptico 5 dias Gratuito INPE Amazônia — satélite nacional BR/China
Amazonia-1 60m wide 3–5 dias Gratuito INPE Cobertura ampla Brasil — swath 850km
ALOS-2 PALSAR 3m SAR L-band 14 dias JAXA/parceiros Penetração dossel florestal profundo
Airbus SPOT 6/7 1.5m óptico Sob demanda Pago comercial Investigação específica de alto detalhe
Maxar WorldView-3 0.31m Sob demanda Pago / Gov. Identificação de veículos, estruturas
Starlink AIS Contínuo Pago Rastreamento fluvial, embarcações
SAR — Radar de Abertura Sintética para Amazônia

Durante a estação chuvosa, quando o monitoramento florestal baseado em satélites ópticos é prejudicado, o CENSIPAM é responsável pelo processamento de imagens SAR de banda X sobre áreas críticas. O Sentinel-1 SAR em banda C permite detecção de desmatamento mesmo em condições de 100% de cobertura de nuvens. Para penetração profunda do dossel, o SAR em banda L (ALOS-2 PALSAR) distingue estruturas sob a copa das árvores — fundamental para detecção de instalações clandestinas.

INPE / PRODES / DETER / MapBiomas — Stack OSINT Nacional

O INPE opera o PRODES (monitoramento anual de desmatamento na Amazônia desde 1988) e o DETER (alertas de desmatamento em quasi-real-time com resolução de 1 ha). O OPERA DIST-ALERT, desenvolvido pela NASA e pela Universidade de Maryland em parceria com o WRI, detecta anomalias de vegetação em quase tempo real usando dados de Landsat e Sentinel-2. O MapBiomas gera séries temporais anuais de uso e cobertura do solo para todo o Brasil via Google Earth Engine. Todas essas plataformas são de acesso gratuito e constituem fontes OSINT primárias para monitoramento de fronteira.

MÓDULO 09 · ANÁLISE ESTRATÉGICA
Risco de Movimentação Militar e Ameaças Estratégicas na Fronteira

A análise de risco de movimentação militar na fronteira Brasil–vizinhos contempla não apenas ameaças convencionais entre Estados soberanos, mas primordialmente os riscos de atores não-estatais com capacidade militar (guerrilha, crime organizado transnacional com armamentos de guerra) e a possibilidade de infiltração de forças estrangeiras disfarçadas em atividades de mineração ou extração.

Segmento Ameaça Identificada Indicadores OSINT Risco
Tríplice Fronteira (BR/PY/AR) Grupos armados do crime organizado, tráfico de armas de guerra (fuzis, RPGs) Monitoramento Telegram/Signal, registros CONAMP, BOs PM CRÍTICO
Fronteira BR/VE (Roraima) Forças irregulares venezuelanas, garimpeiros armados (yanomami), sindicatos do crime OCHA reports, ACNUR, FUNAI, imagens satélite Planet CRÍTICO
Fronteira BR/CO (Amazonas) FARC dissidências, tráfico cocaína, movimentação de armamentos MANPADS InSight Crime, UN OCHA, SIVAM, interceptações SIGINT abertas CRÍTICO
Arco Norte BR/GY/SR/GF Garimpo ilegal, tráfico transoceânico, forças paramilitares guianenses INPE DETER, PlanetScope, FUNAI, Ibama ALTO
Corredor MS/MT (BR/BO) PCC, Comando Vermelho, tráfico cocaína base boliviana SENAD BO, COAF, MJ/Polícia Federal ALTO
Fronteira BR/PY (Mato Grosso do Sul) EPP (Ejército del Pueblo Paraguayo), contrabando armado SNI/PY, Ministerio del Interior PY, fontes abertas locais ALTO
Fronteira Sul BR/AR/UY Tráfico de veículos, agrotóxicos ilegais, moeda falsa PRF, Receita Federal, registros MERCOSUL MÉDIO
Vetor de Risco: Espionagem de Infraestrutura Energética

O sistema SISFRON foi projetado para funcionar como um escudo terrestre capaz de ver mais longe, reduzindo pontos cegos e apoiando decisões rápidas em regiões onde a presença do Estado não é sempre constante. O peso deste movimento cresce por uma razão direta: a região de fronteira inclui rotas usadas por organizações criminosas, contrabandistas e grupos armados tentando cruzar a fronteira sem chamar atenção. Do ponto de vista de OSINT estratégico, a maior ameaça não convencional é a presença de agentes de inteligência estrangeiros disfarçados como investidores em mineração e energia.

Narcotráfico Digital — Vetores de Inteligência OSINT

O monitoramento digital de atividades de narcotráfico na fronteira utiliza: análise de variações de preço em mercados de criptomoedas correlacionadas com apreensões conhecidas; monitoramento de grupos Telegram e Signal via ferramentas como TGStat e Telegrammt; análise de anúncios de emprego suspeitos em plataformas como OLX e Mercado Livre nas cidades de fronteira; rastreamento de embarcações fluviais via AIS (Marine Traffic, Vessel Finder) com identificação de comportamentos anômalos; e correlação de boletins de ocorrência públicos em portais como o SP-SIGEP.

MÓDULO 10 · STACK TECNOLÓGICO
Software de Monitoramento — Estilo Pipeline & Sensores Distribuídos

O stack de monitoramento de fronteira de nível profissional segue o modelo de pipeline de dados de sensores — idêntico ao usado em sistemas de monitoramento de oleodutos e gasodutos industriais: ingestão de dados brutos → pré-processamento → análise → alerta → resposta. A diferença está na diversidade das fontes de dados e na necessidade de fusão multi-modal em tempo real.

Sensores estilo pipeline — referências industriais
  • OptaSense DAS/DSS
    Distributed Acoustic Sensing via fibra óptica — converte cabo existente em 40.000 sensores ao longo de 50km. Detecta intrusão humana, veicular, escavação, tiro e baixo nível de aeronave. Protocolo idêntico ao usado em pipelines da Petrobras e Shell no Brasil.
    SENSOR DISTRIBUÍDO · PIPELINE-GRADE · Halliburton Group
  • Fotech LivePIPE
    Sistema DAS para vigilância linear de longa distância, originalmente desenvolvido para monitoramento de oleodutos. Exporta alertas via API REST para integração com COP (Common Operational Picture). Latência <2s. Já em uso em proteção de infraestrutura no MS e PA.
    DAS PIPELINE · API REST · Exportação GIS
  • Palantir Gotham / Foundry
    Plataforma de fusão de inteligência usada por Exércitos e agências. Integra dados de sensores, satélite, OSINT e HUMINT em grafo de conhecimento. Capacidade de análise preditiva de movimentação. Já licenciada por agências federais brasileiras.
    INTEL FUSION · IA PREDITIVA · GRAFO DE CONHECIMENTO
  • Maltego CE / Pro
    Ferramenta OSINT de análise de relacionamentos. Integra bases como CNPJ, WHOIS, Shodan, PassiveTotal, VirusTotal, HaveIBeenPwned e LinkedIn. Essencial para mapeamento de redes corporativas e criminosas na fronteira. Versão CE gratuita disponível.
    OSINT · GRAFO · ANÁLISE DE REDE
  • QGIS + SNAP Toolbox
    Processamento gratuito de imagens Sentinel-1 (SAR) e Sentinel-2 (óptico). SNAP Toolbox da ESA para pré-processamento SAR (calibração, speckle filtering, geocodificação). QGIS para composição de camadas GIS com dados de fronteira IBGE, shapefile FUNAI e redes hidrográficas ANA.
    GIS OPEN SOURCE · SENTINEL · ANÁLISE GEOESPACIAL
  • Google Earth Engine (GEE)
    Plataforma cloud para análise de séries temporais de satélite em escala continental. Acesso a Landsat, Sentinel, MODIS, CBERS. MapBiomas roda inteiramente no GEE. API Python/JS para análise automatizada de mudança de cobertura florestal. Gratuito para pesquisa e uso não comercial.
    CLOUD GIS · SÉRIE TEMPORAL · ANÁLISE EM ESCALA
  • Shodan + Censys + ZoomEye
    Busca de dispositivos conectados. Identificação de câmeras IP, roteadores, SCADA e ICS expostos em endereços IP da região de fronteira. Shodan tem filtros por geolocalização e país. ASN lookup por ANATEL permite mapear infraestrutura de ISPs na faixa de fronteira.
    CYBER OSINT · SURFACE ATTACK MAP · IoT DISCOVERY
  • OpenCelliD + WiGLE
    Mapeamento colaborativo de torres celulares (OpenCelliD) e redes WiFi (WiGLE). Identifica torres não cadastradas na ANATEL, equipamentos não licenciados e anomalias de cobertura em áreas de fronteira. Fundamental para identificar infraestrutura de comunicações clandestina.
    RF INTELLIGENCE · CELL TOWERS · ANOMALY DETECTION
  • OSINT Framework + SpiderFoot
    Frameworks de automação OSINT. SpiderFoot automatiza coleta em 200+ fontes de dados para pessoas, empresas e IPs. Integra HaveIBeenPwned, Shodan, VirusTotal, DNSDumpster, LinkedIn Scraper. Deploy local (Python) ou via API cloud.
    OSINT AUTOMAÇÃO · 200+ FONTES · PYTHON OPEN SOURCE
  • Gephi / i2 Analyst's Notebook
    Visualização de grafos de rede social e corporativa. Gephi é open source para análise de comunidades. i2 da IBM é padrão em agências de inteligência para análise de redes criminosas, diagrama de vínculos e análise temporal de eventos.
    GRAFO · ANÁLISE DE REDE · INTELIGÊNCIA CORPORATIVA
# Stack OSINT recomendado — fronteira BR/PY # Instalação básica em Ubuntu 22.04 LTS sudo apt install python3-pip git curl wget -y # SpiderFoot — automação OSINT pip3 install spiderfoot spiderfoot -l 127.0.0.1:5001 & # theHarvester — coleta de emails/domínios pip3 install theHarvester theHarvester -d itaipu.gov.br -b all # Recon-ng — framework modular OSINT pip3 install recon-ng # Amass — attack surface discovery go install github.com/owasp-amass/amass/v4@latest # Shodan CLI pip3 install shodan shodan search "country:PY,BR port:502" # SCADA Modbus shodan search "geo:-25.5163,-54.5854,50" # FOZ IGU 50km # Satellite data — sentinelsat pip3 install sentinelsat # Download Sentinel-2 patch fronteira BR/PY
MÓDULO 11 · IA EDITORIAL
Sistema de Autopublicação com IA — OSINT → Blogs & Releases

O módulo de inteligência editorial automatizada transforma outputs de análise OSINT em conteúdo editorial publicável em múltiplos canais digitais (blogs, portais de segurança, LinkedIn, agências de press release). O processo utiliza LLMs (Large Language Models) como motor de reescrita e adequação de tom por canal, com disparo automático via pipelines de CI/CD editorial.

Pipeline IA — OSINT → Publicação Automática
ETAPA 01
Coleta OSINT
RSS, API news, Shodan, Twitter/X, dark web feeds. Classificação por palavra-chave e região.
ETAPA 02
Análise LLM
Claude/GPT-4 analisa relevância, extrai entidades, classifica risco e gera sumário estruturado.
ETAPA 03
Geração editorial
Prompt chain gera artigo, release, post LinkedIn e thread X por tipo de canal e tom (técnico/jornalístico).
ETAPA 04
SEO & Palavras-chave
Otimização automática para termos OSINT, cibersegurança, fronteira, Itaipu, SISFRON, narcotráfico, etc.
ETAPA 05
Publicação Multi-canal
API WordPress, Ghost, Medium, LinkedIn. Agendamento automático. Relatório de métricas de alcance.
Palavras-chave primárias — OSINT & Fronteira
inteligência OSINT fronteira SISFRON monitoramento segurança fronteira Brasil Paraguai Itaipu cibersegurança análise risco digital monitoramento satélite Amazônia reputação online fronteira SIVAM vigilância sensor acústico floresta aeronaves sem transponder crime organizado digital inteligência empresarial Paraguai Sentinel SAR desmatamento DAS fibra óptica segurança tríplice fronteira OSINT
Arquitetura Técnica — Sistema de Autopublicação
# OSINT → Editorial Pipeline (Python + Claude API) import anthropic, feedparser, schedule from wordpress_xmlrpc import Client, WordPressPost # 1. Coleta de feeds OSINT por palavras-chave KEYWORDS = ["SISFRON", "fronteira Brasil", "Itaipu", "crime organizado fronteira", "SIVAM"] FEEDS = [ "https://feeds.feedburner.com/defesanet", "https://www.gov.br/defesa/rss.xml", "https://www.inpe.br/rss/noticias.xml", ] # 2. Análise e geração com LLM client = anthropic.Anthropic() def generate_article(raw_intel: str, channel: str): prompt = f"""Você é analista sênior de OSINT. Converta esta inteligência em artigo para {channel}. Tom: técnico-jornalístico. SEO: incluir palavras-chave. Inteligência: {raw_intel}""" response = client.messages.create( model="claude-opus-4-6", max_tokens=2000, messages=[{"role": "user", "content": prompt}] ) return response.content[0].text # 3. Publicação automática def publish_to_wordpress(title: str, content: str): wp = Client('https://seu-blog.com/xmlrpc.php', user, pwd) post = WordPressPost() post.title = title post.content = content post.post_status = 'publish' wp.call(posts.NewPost(post)) # 4. Agendamento — publica a cada 6h schedule.every(6).hours.do(run_pipeline)
Canais recomendados de distribuição
CanalFormatoFrequênciaAudiência alvo
Blog próprio (WordPress/Ghost)Artigo longo (1500–3000 palavras)3x semanaAnalistas, jornalistas, academia
LinkedIn ArticlesArtigo profissional (800–1200 palavras)2x semanaProfissionais de segurança, executivos
Medium SecurityAnálise técnica (1000–2000 palavras)1x semanaComunidade infosec, OSINT
PR Newswire / AgênciaPress release (400–600 palavras)Eventos relevantesImprensa, agências
Thread X (Twitter)Thread 8–12 tweetsDiárioComunidade OSINT BR/INT
Telegram CanalBriefing curto + linkDiárioAssinantes especializados
Substack NewsletterDigest semanal curado1x semanaAssinantes pagos e gratuitos
MÓDULO 12 · CYBER INTELLIGENCE
Inteligência Cibernética Automatizada — Monitoramento Contínuo

O sistema de inteligência cibernética automatizada opera como um serviço contínuo de monitoramento, análise e alertas para organizações que operam na região de fronteira. Integra os quatro pilares fundamentais e gera relatórios automatizados com IA para repostagem editorial:

Monitoramento de Ameaças Digitais

Vigilância 24/7 de feeds de ameaça (threat intelligence feeds), dark web, Telegram criminoso, Pastebin, GitHub leaks e BreachForums. Alertas automáticos quando organizações da região são mencionadas.

Recorded Future Flashpoint DarkOwl Intel471
Análise de Exposição Online

Scan contínuo de superfície de ataque via Shodan/Censys/FOFA. Identifica servidores expostos, credenciais vazadas (HaveIBeenPwned), certificados expirados, sub-domínios shadow IT.

Shodan Monitor Censys ASM SecurityTrails RiskIQ
Identificação de Riscos Reputacionais

Monitoramento semântico de menções negativas em mídias sociais, fóruns, portais de notícia e WhatsApp público. Algoritmos NLP identificam sentiment negativo e associações tóxicas geograficamente contextualizadas.

Brandwatch Mention Brand24 Talkwalker
Prevenção de Crises Digitais

Sistema de early warning baseado em análise de padrões históricos de crises similares. Aciona playbooks pré-definidos de resposta, incluindo draft de comunicados gerados por IA e notificação automática da equipe de resposta.

PagerDuty OpsGenie Slack Bots MISP
Geração Automática de Relatórios OSINT com IA — Ciclo Diário
06:00
Coleta noturna
Agregação de 200+ fontes RSS, APIs e monitores de dark web durante a madrugada.
07:00
Triagem IA
LLM classifica por urgência, relevância regional e impacto potencial. Descarta ruído.
08:00
Redação automática
Geração de briefing executivo (1 pág), artigo técnico e thread para redes sociais.
09:00
Revisão + Publicação
Revisão humana opcional (30min). Publicação automática em todos os canais configurados.
KPIs de Inteligência Editorial Automatizada

Métricas a monitorar no sistema de autopublicação OSINT: (1) tempo médio entre detecção de evento e publicação (meta: <4h); (2) taxa de engajamento por canal (LinkedIn >3%, Medium >2%, blog >1.5%); (3) posicionamento SEO para palavras-chave estratégicas (meta: top-5 Google BR); (4) número de menções e links externos recebidos; (5) conversão de leitores em leads para serviços de inteligência; (6) cobertura geográfica de menções (Brasil, Paraguai, Cone Sul). O sistema gera relatório automático de KPIs toda segunda-feira via email e dashboard.

Referências — Módulos Anteriores
← Módulo 01 · Inteligência Cibernética — Itaipu Binacional

Superfície de ataque digital da usina mapeável via Shodan/Censys. Monitoramento de credenciais corporativas (@itaipu.gov.br) em bases de vazamento. Análise de metadados de documentos técnicos públicos. Footprinting passivo de topologia de rede via DNS, BGP e certificados SSL.

← Módulo 02 · Monitoramento Digital Empresarial

43 mil CNPJs ativos na faixa de 150km de fronteira. Cruzamento de bases Receita Federal, RGE Paraguai, DOU, MDIC e Panjiva. Análise de grafos societários via JusBrasil + TSE.

← Módulo 03 · Proteção de Reputação Online

68% das empresas legítimas de Foz do Iguaçu têm ao menos um resultado negativo na primeira página do Google por associação geográfica. SEO defensivo, monitoramento semântico contínuo e plano de resposta a crise digital.

◈ DISCLAIMER — OSINT FRONTEIRA BR v2.0
Este relatório foi elaborado exclusivamente com base em fontes públicas e abertas (OSINT). Nenhuma informação classificada, obtida por meios ilegais ou em violação a termos de serviço foi utilizada. As análises representam interpretações metodológicas de dados públicos e não constituem acusações sobre entidades específicas. Sistemas como SISFRON e SIVAM são descritos com base em fontes abertas oficiais (Defesa.gov.br, Dialogo-Americas, FAPESP Pesquisa). Dados de satélite referenciados são de acesso público (ESA Copernicus, USGS, INPE). O uso de técnicas OSINT deve respeitar as legislações brasileira (Lei 9.296/96, LGPD, Marco Civil da Internet) e internacional aplicável.
Fontes: FAPESP Pesquisa · Dialogo Americas · trade.gov · IEEE PublicSafety · ESA Copernicus · INPE · NDU Press · RSM Revista Militar v2.0 · 2025 · Fronteira OSINT Intelligence

The 6 Best Free Antivirus Software Providers for Mac in 2026

✇Security | TechRepublic
Por:Nicole Rennolds
23 de Março de 2026, 02:00

Security-conscious Mac users may need more protection than their built-in tools provide. Learn about the extra features and functionality offered by the best free antivirus software providers for Mac in 2026.

The post The 6 Best Free Antivirus Software Providers for Mac in 2026 appeared first on TechRepublic.

  • ✇The DFIR Report
  • From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira editor
    Overview Bumblebee malware has been an initial access tool used by threat actors since late 2021. In 2023 the malware was first reported as using SEO poisoning as a delivery mechanism. Recently in May of 2025 Cyjax reported on a campaign using this method again, impersonating various IT tools. We observed a similar campaign in […] The post From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira appeared first on The DFIR Report.
     
  • ↗️

From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira

✇The DFIR Report
Por:editor
4 de Novembro de 2025, 18:30

Overview Bumblebee malware has been an initial access tool used by threat actors since late 2021. In 2023 the malware was first reported as using SEO poisoning as a delivery mechanism. Recently in May of 2025 Cyjax reported on a campaign using this method again, impersonating various IT tools. We observed a similar campaign in […]

The post From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira appeared first on The DFIR Report.

  • ✇ASEC BLOG
  • November 2025 Threat Trend Report on Ransomware ATCP
    This report provides the number of affected systems confirmed during November 2025, DLS-based ransomware-related statistics, and notable ransomware issues in Korea and abroad. Below is a summary of some information.   The statistics on the number of ransomware samples and affected systems are based on the diagnostic names assigned by AhnLab. Please note that the […]
     
  • ↗️

November 2025 Threat Trend Report on Ransomware

✇ASEC BLOG
Por:ATCP
15 de Dezembro de 2025, 12:00
This report provides the number of affected systems confirmed during November 2025, DLS-based ransomware-related statistics, and notable ransomware issues in Korea and abroad. Below is a summary of some information.   The statistics on the number of ransomware samples and affected systems are based on the diagnostic names assigned by AhnLab. Please note that the […]
  • ✇DCiber
  • Educated Manticore no Irã Tem Como Alvo os Principais Acadêmicos de Tecnologia Richard Guedes
    A escalada de tensões entre Irã e Israel ganha um novo e perigoso capítulo no ciberespaço. Um relatório divulgado pela Check Point Research revela que o grupo de ciberespionagem iraniano conhecido como Educated Manticore, com ligações diretas ao Corpo da Guarda Revolucionária Islâmica (IRGC-IO), intensificou campanhas direcionadas contra acadêmicos, jornalistas e especialistas de tecnologia israelenses. Alvos: Especialistas e Acadêmicos de Prestígio De acordo com a investigação, o Educated Manti
     
  • ↗️

Educated Manticore no Irã Tem Como Alvo os Principais Acadêmicos de Tecnologia

✇DCiber
Por:Richard Guedes
27 de Junho de 2025, 11:31

A escalada de tensões entre Irã e Israel ganha um novo e perigoso capítulo no ciberespaço. Um relatório divulgado pela Check Point Research revela que o grupo de ciberespionagem iraniano conhecido como Educated Manticore, com ligações diretas ao Corpo da Guarda Revolucionária Islâmica (IRGC-IO), intensificou campanhas direcionadas contra acadêmicos, jornalistas e especialistas de tecnologia israelenses.

Alvos: Especialistas e Acadêmicos de Prestígio

De acordo com a investigação, o Educated Manticore concentrou esforços em atacar profissionais de alto nível, incluindo professores de ciência da computação de universidades renomadas de Israel, pesquisadores de cibersegurança e jornalistas. As ações, sofisticadas e cuidadosamente planejadas, fazem parte de uma ofensiva de espionagem digital que visa obter acesso indevido a contas de e-mail e outros serviços críticos.

Os invasores se passam por pesquisadores, executivos ou analistas de empresas de cibersegurança fictícias, estabelecendo contato inicial por e-mail ou até mesmo por mensagens no WhatsApp. Com uma comunicação polida, bem estruturada e aparentemente legítima — muitas vezes auxiliada por inteligência artificial —, os criminosos buscam conquistar a confiança das vítimas e direcioná-las para links maliciosos.

Phishing Personalizado e Engenharia Social Avançada

Uma vez estabelecido o contato, os alvos são conduzidos para falsas páginas de login do Gmail, Outlook ou Yahoo, desenvolvidas com tecnologia moderna baseada em Single Page Applications (SPA) usando React. Essas páginas simulam com precisão o fluxo de autenticação de grandes provedores de e-mail, incluindo etapas de autenticação multifator (2FA), captura de senhas e códigos de verificação.

Além disso, o kit de phishing desenvolvido pelo grupo conta com keyloggers ocultos, capazes de registrar todas as teclas digitadas, mesmo que o usuário não finalize o processo. As informações são transmitidas em tempo real para os servidores dos atacantes, potencializando o roubo de credenciais e comprometendo ainda mais as contas das vítimas.

Um aspecto que chamou atenção dos analistas foi o uso de convites falsos do Google Meet, hospedados no próprio serviço Google Sites, o que dá uma aparência ainda mais legítima às páginas maliciosas. Ao clicarem nas imagens desses convites, as vítimas são redirecionadas a sites sob o controle dos atacantes.

Infraestrutura Robusta e Expansão da Campanha

A infraestrutura da Educated Manticore é ampla e bem estruturada. Desde janeiro de 2025, o grupo registrou mais de 130 domínios diferentes — muitos relacionados a temas como tecnologia, comunicação e educação —, utilizados para hospedar as páginas de phishing e gerenciar as operações clandestinas. A maioria desses domínios foi registrada através do provedor NameCheap.

Os especialistas também identificaram uma sobreposição significativa com outra célula de operações, conhecida como GreenCharlie, o que sugere uma possível ramificação ou subgrupo da Educated Manticore atuando de forma coordenada.

Entre os domínios maliciosos monitorados estão sendly-ink[.]shop, idea-home[.]online, live-meet[.]info, bestshopu[.]online, entre muitos outros. Além disso, diversos endereços IP associados à operação foram mapeados, fortalecendo as evidências de uma infraestrutura técnica bem organizada.

Ameaça Persistente e Alerta Global

Apesar da crescente exposição e dos esforços da comunidade de segurança cibernética, o Educated Manticore segue atuando com rapidez e agressividade, demonstrando grande capacidade de adaptação e evasão. A campanha atual, ao explorar o contexto geopolítico e acadêmico, representa uma ameaça grave à integridade das instituições israelenses e ao ecossistema global de cibersegurança.

“Esses ataques evidenciam como o ciberespaço se tornou um dos principais campos de batalha no atual conflito Irã-Israel”, alertam os pesquisadores da Check Point. A expectativa é de que o grupo continue investindo em táticas de roubo de identidade e coleta de informações, principalmente de indivíduos envolvidos em ambientes acadêmicos, científicos e tecnológicos estratégicos.

Indicadores de Comprometimento (IOCs)

A Check Point Research divulgou uma lista de domínios e endereços IP associados à infraestrutura maliciosa do Educated Manticore. Profissionais e empresas de tecnologia são fortemente aconselhados a implementar medidas de monitoramento e bloqueio desses indicadores em suas redes.

Entre os principais IOCs identificados estão:

Endereços IP:

  • 185.130.226[.]71

  • 45.12.2[.]158

  • 45.143.166[.]230

  • 91.222.173[.]141

  • 194.11.226[.]9

Domínios Notórios:

  • sendly-ink[.]shop

  • idea-home[.]online

  • live-meet[.]info

  • bestshopu[.]online

  • live-message[.]online

A lista completa de domínios e IPs está disponível no relatório técnico da Check Point.

Conclusão

O caso do Educated Manticore reforça o papel crítico da cibersegurança no cenário geopolítico atual. A sofisticação técnica, combinada a uma estratégia agressiva de engenharia social, demonstra que grupos apoiados por Estados seguem explorando vulnerabilidades humanas e tecnológicas para alcançar seus objetivos de espionagem.

Especialistas recomendam vigilância redobrada, treinamentos contínuos de conscientização e o uso de autenticação forte e verificada, especialmente entre profissionais que atuam em áreas sensíveis de tecnologia e pesquisa.

  • ✇DCiber
  • Cegueira Marítima – O Impacto Estratégico do Ataque do Grupo Lip Stitchers à Frota Naval Iraniana Richard Guedes
    Um ataque cibernético supostamente realizado pelo grupo “Lip Stitchers” comprometeu a rede de comunicação de 116 navios pertencentes à República Islâmica do Irã, segundo informações exclusivas obtidas pela Iran International. As embarcações afetadas estariam ligadas às empresas estatais National Iranian Tanker Company (NITC) e Islamic Republic of Iran Shipping Company (IRISL) — ambas sancionadas por Estados Unidos, Reino Unido e União Europeia por seu envolvimento em operações logísticas estraté
     
  • ↗️

Cegueira Marítima – O Impacto Estratégico do Ataque do Grupo Lip Stitchers à Frota Naval Iraniana

✇DCiber
Por:Richard Guedes
18 de Junho de 2025, 18:23

Um ataque cibernético supostamente realizado pelo grupo “Lip Stitchers” comprometeu a rede de comunicação de 116 navios pertencentes à República Islâmica do Irã, segundo informações exclusivas obtidas pela Iran International. As embarcações afetadas estariam ligadas às empresas estatais National Iranian Tanker Company (NITC) e Islamic Republic of Iran Shipping Company (IRISL) — ambas sancionadas por Estados Unidos, Reino Unido e União Europeia por seu envolvimento em operações logísticas estratégicas e, segundo acusações, apoio a grupos como os houthis no Iêmen.

O grupo hacker declarou que sua ofensiva teve como objetivo “cegar o regime iraniano em um momento crítico de ataques militares americanos contra posições houthis”. Segundo o comunicado, 50 navios da NITC e 66 da IRISL foram isolados, perdendo a capacidade de se comunicar com portos, outras embarcações e centros de comando em terra. Ainda de acordo com os hackers, o restabelecimento total dessas redes pode levar semanas, forçando as embarcações a recorrerem a meios limitados e alternativos de comunicação.

O ataque coincide com o sexto aniversário de atuação do Lip Stitchers, marcado pela inauguração de uma nova página no Telegram. O grupo — já conhecido por revelar dados sobre a Guarda Revolucionária Iraniana e sua unidade cibernética — afirma ter apoio de insiders dentro do próprio governo iraniano.

Cegueira Tática no Mar

Ao comprometer a conectividade de 50 navios da National Iranian Tanker Company (NITC) e 66 da Islamic Republic of Iran Shipping Line (IRISL), o grupo Lip Stitchers impôs um blackout operacional em plena zona cinzenta das tensões no Oriente Médio. A ausência de conectividade em embarcações comerciais e militares modernas não representa apenas a perda de comunicação, mas um colapso da visibilidade tática e da sincronização logística.

Em ambientes marítimos, a comunicação satelital via VSAT, AIS, rádio VHF/HF e canais criptografados é vital não só para a navegação e coordenação, mas para o mascaramento de operações clandestinas, como o transporte de armas para os houthis no Iêmen, como denunciado. Ao isolar os navios, os atacantes não apenas desorganizam o fluxo de exportações de petróleo iraniano, mas também interrompem potenciais corredores de suprimento para grupos aliados do regime.

Sistemas de comunicação sob ataque

Apesar da escassez de informações públicas detalhadas sobre a arquitetura das redes de comunicação dos navios iranianos, sabe-se que as embarcações da NITC e da IRISL operam com um complexo sistema híbrido, que combina:

  1. Comunicações via satélite (VSAT): tecnologia fundamental para navegação e troca de dados em alto-mar, especialmente em missões estratégicas. Acredita-se que o Irã use satélites nacionais e parcerias com países como Rússia e China para blindar comunicações críticas.
  2. Radiocomunicações VHF e HF: ainda amplamente utilizadas para comunicação de curta distância, especialmente entre navios e portos próximos nas rotas do Golfo Pérsico, Mar Mediterrâneo e Sudeste Asiático.
  3. Redes criptográficas militares: presentes em embarcações controladas pela Guarda Revolucionária (IRGC) e em petroleiros envolvidos em missões sensíveis, como evasão de sanções ou transporte de armamentos. Essas redes são projetadas para resistir a interceptações e ataques, mas também têm sido alvo de ciberataques sofisticados.

Comunicações como Alvo Estratégico

A NITC, com seus mais de 46 superpetroleiros e capacidade superior a 15 milhões de toneladas, opera como artéria principal das exportações iranianas. Esses navios frequentemente desligam seus sistemas de rastreamento AIS para driblar sanções internacionais e ocultar rotas em águas internacionais como tática para burlar sanções e dificultar a vigilância internacional, o que torna suas comunicações criptografadas e satelitais ainda mais críticas. Ao cortar esse elo, o grupo expõe a fragilidade de uma estrutura de comando e controle marítimo que depende de uma mescla de soluções legadas, tecnologias de parceiros como Rússia e China, e sistemas proprietários potencialmente inseguros.

A vulnerabilidade dessas redes – acentuada por restrições tecnológicas impostas por sanções e pela presença de hardware não auditado – faz delas alvos altamente viáveis para grupos sofisticados com conhecimento interno, como sugerido pelo Lip Stitchers.

A National Iranian Tanker Company comanda a maior frota de petroleiros do Oriente Médio, composta por mais de 46 navios-tanque com capacidade combinada superior a 15 milhões de toneladas. Essas embarcações são peças-chave na logística de exportação do petróleo iraniano — uma das principais fontes de receita do regime.

 

Guerra Cibernética Não-Estatal

O que torna essa operação emblemática é sua natureza transnacional, com motivação ideológica e possível colaboração interna, como afirmou o grupo em seu canal no Telegram. Não se trata apenas de um ato de protesto digital, mas de uma operação com timing geopolítico calculado: ocorreu durante ataques americanos contra posições houthis, potencializando seu efeito estratégico e midiático.

O impacto é amplificado pelo fato de que, no ciberespaço, atores não-estatais podem atingir Estados-nação com uma eficácia antes exclusiva das grandes potências. E no caso do Irã, que já enfrentava pressão econômica e militar, o colapso parcial de sua frota de transporte energético representa um enfraquecimento sensível de sua capacidade de projeção regional.

Vulnerabilidades e sanções

As crescentes sanções internacionais têm restringido o acesso do Irã a tecnologias de ponta, limitando atualizações críticas em suas redes navais e sistemas de comunicação. Após episódios de comprometimento de comunicações do Hezbollah em 2024, o próprio IRGC iniciou inspeções de segurança nos equipamentos utilizados por embarcações civis e militares.

A recente ofensiva do grupo Lip Stitchers indica que, apesar das medidas defensivas do regime, vulnerabilidades persistem — especialmente na camada cibernética que sustenta a capacidade logística naval iraniana. Com os navios afetados temporariamente isolados e operando sob risco elevado, o episódio acende um alerta sobre o crescente papel da guerra cibernética nas disputas geopolíticas do Oriente Médio.

Considerações

O ataque do Lip Stitchers é um alerta global. Ele demonstra que, na era da conectividade ubíqua, a superfície de ataque se estende até os mares. A maritimização do ciberconflito amplia o domínio de operações para além de redes terrestres e satélites, introduzindo um novo tipo de guerra naval silenciosa: não feita com torpedos, mas com pacotes de dados.

Para estrategistas e decisores, este episódio reforça a urgência de:

  • Modernizar redes de comunicação embarcadas com foco em resiliência e segmentação;

  • Implementar Zero Trust Marítimo, com autenticação e monitoramento contínuos;

  • Investir em inteligência cibernética naval preventiva, integrando informações de threat hunting com geopolítica;

  • Avaliar continuamente a cadeia de suprimentos cibernética dos sistemas embarcados, inclusive nos componentes adquiridos de parceiros estatais.

O mar, outrora refúgio para operações clandestinas, agora é palco de uma nova corrida armamentista digital. E quem controlar os dados das águas, controlará o destino das nações que por elas navegam.

  • ✇@BushidoToken Threat Intel
  • Analysis of Counter-Ransomware Activities in 2024 BushidoToken
     The scourge of ransomware continues primarily because of three main reasons: Ransomware-as-a-Service (RaaS), cryptocurrency, and safe havens.RaaS platforms enable aspiring cybercriminals to join a gang and begin launching attacks with a support system that help extract ransom payments from their victims.Cryptocurrency enables cybercriminals to receive funds from victims around the world without the option to freeze or refund them due to the immutable nature of the virtual funds.Safe havens are
     
  • ↗️

Analysis of Counter-Ransomware Activities in 2024

✇@BushidoToken Threat Intel
Por:BushidoToken
12 de Janeiro de 2025, 09:52

 


The scourge of ransomware continues primarily because of three main reasons: Ransomware-as-a-Service (RaaS), cryptocurrency, and safe havens.

  • RaaS platforms enable aspiring cybercriminals to join a gang and begin launching attacks with a support system that help extract ransom payments from their victims.
  • Cryptocurrency enables cybercriminals to receive funds from victims around the world without the option to freeze or refund them due to the immutable nature of the virtual funds.
  • Safe havens are countries that permit cybercriminals to launch attacks without immediate fear of arrest, enabling them to earn vast fortunes through ransomware campaigns.

With these three challenges in mind, law enforcement and governments have a very difficult job to do when it comes to fighting ransomware but fight it they must. In this blog we shall recall what counter-ransomware activities took place in 2024, analyse their effectiveness, and assess how the landscape shall evolve as a result.

A podcast version of this blog is also available here.

Ransomware Operator Arrests and Sanctions

During 2024, there were significant disruption operations by law enforcement and financial authorities targeting individuals behind ransomware campaigns (see the Table below). The main focus of 2024 for Western law enforcement was squarely on the LockBit RaaS and its affiliates as it was the largest and highest earning ransomware operation to date.

Several key players of the ransomware ecosystem were arrested, including the main developer of LockBit ransomware. Interestingly, Russian law enforcement also decided to arrest ransomware threat actors located in Moscow and Kaliningrad as well.

Law Enforcement Activity
Month Group(s) Law Enforcement Activity
February 2024 SugarLocker, REvil Russian authorities have identified and arrested three alleged members in Moscow of a ransomware gang called SugarLocker.
February 2024 LockBit The LockBit leak site was seized. Two LockBit affiliates were arrested in Poland and Ukraine. Up to 28 servers belonging to LockBit were taken down.
February 2024 LockBit Two Russian nationals, Ivan Kondratiev and Artur Sungatov, were sanctioned by the US Treasury for being affiliates of LockBit, among other RaaS.
May 2024 LockBit Dmitry Khoroshev, the administrator and developer of LockBit was sanctioned by the US Treasury.
May 2024 IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee, TrickBot European police took down malicious spam botnets that support ransomware campaigns. This resulted in 4 arrests (1 in Armenia and 3 in Ukraine), over 100 servers and 2,000 domains being seized. One of the main suspects earned €69 million by renting out infrastructure sites to deploy ransomware.
June 2024 Conti, LockBit A Ukrainian national was arrested for supporting Conti and LockBit ransomware attacks as a crypter developer.
August 2024 Reveton, RansomCartel Maksim Silnikau, a Belarusian national, was arrested in Spain for running Reveton and RansomCartel.
August 2024 Karakurt, Conti Deniss Zolotarjovs, a Latvian national was arrested and extradited to the US from Georgia for running the Karakurt data extortion gang linked to Conti.
October 2024 Evil Corp, LockBit The UK, alongside the US and Australia, has sanctioned 16 members of Evil Corp, including Aleksandr Ryzhenkov, Viktor Yakubets, and Eduard Benderskiy.
November 2024 Phobos Evgenii Ptitsyn, a Russian national, was arrested and extradited to the US from South Korea for running the Phobos ransomware gang.
December 2024 LockBit Rostislav Panev, a dual Russian and Israeli national, was arrested in Israel for developing LockBit ransomware.
December 2024 LockBit, Babuk, Hive Mikhail “Wazawaka” Matveev was arrested in Russia for violating domestic laws against the creation and use of malware. He was fined and had his cryptocurrency seized and is awaiting trial.

The ransomware ecosystem has fragmented due to the law enforcement disruptions of the largest players, such as ALPHV/BlackCat and LockBit. In the case of ALPHV/BlackCat, the operators staged a law enforcement takedown as they put up a fake seizure notice as part of an exit scam in March 2024 after the attack on UnitedHealth.

Following these disruptions, some affiliates have migrated to less effective strains or launched their own strains. This includes Akira and RansomHub at the top of the list as well as Hunters International and PLAY.

Cryptocurrency Exchanges Disrupted

During 2024, law enforcement seized funds from and sanctioned a number of cryptocurrency exchanges and individuals running payment processors using cryptocurrency (see the Table below).

One of the most interesting disclosures this year came from the UK National Crime Agency (NCA) around Operation Destablise. The NCA linked payments to ransomware gangs to money laundering networks used by Russian oligarchs to covertly purchase property and Russia Today, the state-run media organization, to covertly fund pro-Russia foreign entities.

Another notable investigation in 2024 was when the US Treasury sanctioned more Russian cryptocurrency exchanges, such as PM2BTC and Cryptex, that led to money launderers that facilitate the cashing out of ransom payments being arrested by Russian law enforcement.

Law Enforcement Activity
Month Exchange(s) Law Enforcement Activity
August 2024 Cryptonator The US Justice Department indicted Russian national Roman Pikulev and Cryptonator, which processed a total of $1.4 billion in transactions, of which $8 million were ransom payments. Cryptonator also has ties to other sanctioned entities including Blender, Hydra Market, Bitzlato, and Garantex, among others.
September 2024 PM2BTC, Cryptex, UAPS FinCEN identified PM2BTC as being of “primary money laundering concern” in connection with Russian illicit finance. This was alongside Cryptex and Sergey Sergeevich Ivanov, a Russian national, who is associated with UAPS and PinPays, as well as Genesis Market. Cryptex also facilitated more than $115 million of proceeds from ransomware payments.
September 2024 47 exchanges In Operation Final Exchange, German federal police (BKA) shut down 47 cryptocurrency exchange services that ransomware gangs use that operated without requiring registration or identity verification.
October 2024 Cryptex, UAPS Russian authorities have arrested nearly 100 suspected cybercriminals linked to the anonymous payment system UAPS and the cryptocurrency exchange Cryptex.
November 2024 Smart, TGR Group The NCA uncovered a Russian money-laundering network operated by two companies called Smart and TGR Group as part of Operation Destabilise that involved UK-based cash-to-crypto networks that laundered Ryuk ransom payments as well as the money of Russian oligarchs and Russia Today.

Safe Havens Enabling Ransomware

While ransomware is a global problem, there are only a few countries that are to blame for this rapid expansion of the ransomware ecosystem. The state that is blamed the most for preventing many ransomware operators from facing justice is Russia. There are explicit rules posted to Russian-speaking cybercrime forums that state as long as members avoid targeting Russia and the Commonwealth of Independent States (CIS), they are free to operate.

The Russian ransomware safe haven theory was further proven following sanctions levied against Evil Corp by the UK, US, and Australia. One of the sanctioned men connected to Evil Corp was Eduard Benderskiy, a former Russian federal security service (FSB) official. Benderskiy is reportedly the father-in-law of Maksim Yakubets, the leader of Evil Corp, an organized cybercrime group responsible for multiple ransomware strains including BitPaymer, WastedLocker, Hades, PhoenixLocker, and MacawLocker. In total, Evil Corp has reportedly extorted at least $300 million from victims globally, according to the UK NCA. It is now clear that Evil Corp has protection from a highly connected Russian FSB official who has also been involved in multiple overseas assassinations on behalf of the Kremlin, according to Bellingcat investigators.

While a number of ransomware operators were arrested in 2024 and some were extradited to the US, the work done by law enforcement specializing in cybercrime was put in the spotlight during the August 2024 prisoner swap. Multiple countries decided to release cybercriminals, spies and an assassin as part of a historic prisoner exchange with Russia at an airport in Ankara, Turkey. The US negotiated the release of 16 people from Russia, including five Germans as well as seven Russian citizens who were political prisoners in their own country.

Notably, from a cybercrime intelligence perspective, the Russian nationals released from the West included the infamous cybercriminals Roman Seleznev and Vladislav Klyushin. The latter, Klyushin, was sentenced in 2023 to nine years in US prison after he was caught in a $93 million stock market cheating scheme that involved hacking into US companies for insider knowledge. The other cybercriminal, Seleznev, was sentenced to 27 years in prison in 2017 for stealing and selling millions of credit card numbers from 500 businesses using point-of-sale (POS) malware and causing more than $169 million in damage to small businesses and financial institutions, including those in the US.

In 2024, we saw several more Russian nationals get extradited to the US after being arrested by law enforcement in the country they were residing in. This includes the Phobos operator living in South Korea and the LockBit developer living in Israel. This follows others arrested in previous years such as a TrickBot developer arrested in South Korea as well as the two LockBit affiliates extradited to the US. There is a potential that these Russian nationals involved in ransomware could be used in prisoner exchanges in the future.

Further, another curious trend in 2024 was that some Russians inside Russia, which is firmly considered a safe haven for ransomware gang, did get arrested. This includes the SugarLocker operators arrested in Moscow and the LockBit affiliate Wazawaka who was arrested in Kaliningrad. This is alongside the money launderers arrested around Russia linked to the Cryptex exchange.

The arrests of Russian nationals in Russia for ransomware activities appear to be more symbolic than a true crackdown on this type of activity. This is because there are several dozen Russian-speaking ransomware gangs that continue to operate, as well as a plethora of other types of cybercrime in the Russian-speaking underground.

Outlook

In 2024, there was lots of significant action by law enforcement to shake up the ransomware economy. One of the main successes of the notable Operation Cronos action taken against LockBit was the sowing of distrust and disharmony in the ransomware ecosystem. Despite the admins of LockBit trying to recover, their reputation and army of affiliates have been smashed.

Many of Russian law enforcement activities could all be related to the costs of the Russian invasion of Ukraine. Russian authorities seizing funds of the illicit cryptocurrency exchanges could be to pay for the war in Ukraine and they could be recruiting arresting cybercriminals for offensive cyber operations related to the war in Ukraine. The true motivations of Russian law enforcement arresting these specific ransomware operators but allowing others to operate are unclear. The cybercriminals could also simply have not paid their protection money or lack connections in the FSB like Evil Corp has.

Due to the fall of LockBit and ALPHV/BlackCat in 2024, there has been a rise of other ransomware groups like RansomHub and Akira to fill the vacuum. However, the rate of attacks by these emerging groups is still noticeably lower than when LockBit was operating at full force. This should be perceived as a success for law enforcement operations in 2024 due to the overall number of ransomware attacks lowering, which we should all be thankful for.

❌
❌