){kind=small}
)
O Departamento de Justiça dos Estados Unidos acusou formalmente 87 indivíduos nos últimos seis meses por envolvimento em uma conspiração nacional de ATM jackpotting, técnica que usa malware para forçar caixas eletrônicos a dispensarem dinheiro sob comando.
A investigação revelou que os lucros do esquema financiavam atividades da Tren de Aragua (TdA), organização oficialmente designada como terrorista pelo governo americano.
Nossos vídeos em destaque
A operação representa uma das maiores investigações de crimes financeiros cibernéticos ligados ao terrorismo na história recente dos Estados Unidos, envolvendo colaboração sem precedentes entre dezenas de agências federais, estaduais e locais coordenadas pela Joint Task Force Vulcan e pela Homeland Security Task Force.
Como funcionava o esquema
Os grupos desenvolveram e implantaram uma variante do malware Ploutus, software malicioso especificamente projetado para hackear caixas eletrônicos. A conspiração criou uma rede distribuída de operadores que atacavam alvos simultaneamente em diferentes regiões do país.
O modus operandi começava com membros da TdA viajando em grupos usando múltiplos veículos até bancos e cooperativas de crédito. Esta abordagem em grupo fornecia segurança em números, permitia divisão de tarefas e criava redundância caso algum membro fosse detido.
Os grupos primeiro conduziam reconhecimento inicial detalhado, tomando nota das características de segurança externas dos caixas eletrônicos. Os criminosos dedicavam tempo para entender sistemas de alarme, padrões de patrulhamento policial, localização de câmeras de segurança e outros fatores que pudessem afetar o sucesso da operação.
Após o reconhecimento, executavam um teste engenhoso: abriam o capô ou porta dos caixas eletrônicos e esperavam nas proximidades para observar se haviam disparado alarmes ou provocado resposta policial. Esta etapa permitia avaliar o tempo de resposta das autoridades sem cometer o crime principal.
Três métodos de instalação do malware
A instalação do malware era realizada através de três métodos distintos adaptados às circunstâncias específicas de cada caixa eletrônico.
O primeiro método envolvia a remoção física do disco rígido e instalação do malware diretamente nele. Era um processo mais demorado, mas garantia que o malware estivesse profundamente integrado ao sistema operacional da máquina.
O segundo método era mais audacioso, os criminosos simplesmente substituíam todo o disco rígido por um pré-carregado com o malware Ploutus. Este método era mais rápido e reduzia o tempo no local do crime.
O terceiro método envolvia conectar um dispositivo externo, como pen drive, que implantaria automaticamente o malware quando conectado ao sistema do caixa eletrônico.
Ploutus e sua capacidade de autodestruição
O próprio malware Ploutus era uma peça sofisticada de software malicioso. Seu propósito principal era emitir comandos não autorizados ao Módulo de Dispensação de Dinheiro do caixa eletrônico, assumindo o controle da função mais crítica da máquina.
Uma vez instalado e ativado, o malware forçava o caixa eletrônico a dispensar toda a moeda disponível em seu estoque interno, transformando a máquina segura em um dispensador automático de dinheiro para os criminosos.
O malware foi projetado com uma função secundária crucial — deletar evidências de sua própria presença no sistema. Esta capacidade de autodestruição tinha como objetivo enganar funcionários dos bancos e cooperativas de crédito, impedindo-os de descobrir que o malware havia sido implantado. Ao apagar rastros digitais, os criminosos esperavam atrasar a descoberta do crime e dificultar esforços investigativos.
Divisão dos lucros e lavagem de dinheiro
Após a conclusão de um ataque, os membros da conspiração dividiam os lucros em porções predeterminadas. Esta divisão organizada sugere uma estrutura hierárquica bem definida dentro da organização, com diferentes participantes recebendo diferentes percentagens baseadas em seus papéis.
O dinheiro roubado não permanecia com os indivíduos que executaram o ataque. Segundo as autoridades, uma porção significativa era transferida para a TdA como organização, onde financiava atividades terroristas e criminosas.
O indiciamento de 9 de dezembro de 2025 forneceu detalhes sobre como o dinheiro era lavado e distribuído. A TdA transferia os valores entre seus membros e associados para ocultar o dinheiro obtido ilegalmente, gerando milhões em lucros ilegais para os réus e para a organização como um todo.
Três ondas de acusações em poucos meses
O grande júri federal do Distrito de Nebraska, epicentro legal da investigação, apresentou as acusações em três etapas distintas ao longo de alguns meses.
A primeira onda chegou em 21 de outubro de 2025, quando 32 indivíduos foram acusados através de um indiciamento com 56 acusações diferentes. As acusações incluíam conspiração para cometer fraude bancária, conspiração para cometer invasão bancária e fraude de computador, além de 18 acusações individuais de fraude bancária, 18 de invasão bancária e 18 de danos a computadores.
Em 9 de dezembro de 2025, chegou a segunda onda com 22 indivíduos acusados de crimes significativamente mais graves. Treze pessoas foram acusadas de conspiração para fornecer apoio material a terroristas, acusação que carrega implicações extremamente sérias sob a lei federal americana. Todos os 22 também foram acusados de conspiração para lavagem de dinheiro.
O indiciamento mais recente adicionou 31 indivíduos à lista com 32 acusações, incluindo conspiração para cometer fraude bancária, invasão bancária e danos a computadores.
Quem é a Tren de Aragua
A TdA começou como uma gangue de prisão na Venezuela em meados dos anos 2000, focada inicialmente em controlar atividades ilegais dentro do sistema penitenciário venezuelano. Ao longo dos anos, expandiu sua influência muito além das prisões.
A organização evoluiu de gangue de prisão local para organização criminosa internacional espalhada por todo o Hemisfério Ocidental. De acordo com a polícia americana, suas atividades criminosas incluem tráfico de drogas e armas, tráfico sexual comercial incluindo tráfico de crianças, sequestros, roubos, furtos, fraudes, extorsões, assassinatos e agressões.
Contas de clientes não foram afetadas
Embora os crimes financeiros sejam massivos em escala, as contas bancárias individuais dos clientes não foram afetadas. O dinheiro roubado pertencia aos bancos e cooperativas de crédito proprietários dos caixas eletrônicos, não aos usuários individuais.
Isso significa que informações pessoais e saldos de contas permaneceram protegidos durante toda a operação criminosa.
Se condenados, os réus enfrentam termos máximos de prisão variando entre 20 e 335 anos. Estas sentenças extraordinariamente longas refletem a gravidade das acusações, particularmente aquelas relacionadas ao fornecimento de apoio material a uma organização terrorista designada.
Outros agentes maliciosos foram presos em caso parecido
Este não é um caso isolado. Na semana passada, o TecMundo reportou a condenação de dois venezuelanos, Luz Granados (34) e Johan Gonzalez-Jimenez (40), por um esquema similar de ATM jackpotting que atingiu pelo menos quatro estados americanos.
A dupla operava principalmente na Carolina do Sul, Geórgia, Carolina do Norte e Virgínia, usando a mesma técnica: abrir fisicamente os caixas eletrônicos durante a noite e conectar um laptop diretamente ao sistema interno para carregar malware que forçava as máquinas a dispensarem dinheiro.
Granados foi condenada à deportação e ao pagamento de US$ 126.340 em restituição, enquanto Gonzalez-Jimenez recebeu 18 meses de prisão federal, US$ 285.100 em restituição e será deportado para a Venezuela após cumprir sua sentença. A investigação deste caso, conduzida pelo Serviço Secreto dos EUA, revelou evidências que permitiram ao Distrito de Nebraska apresentar acusações contra outras 54 pessoas envolvidas em operações similares.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
