A ZenoX, startup de cibersegurança do Grupo Dfense líder e pioneira em lucidez sintético contra ameaças digitais, conduziu uma investigação detalhada sobre o vazamento de 3,4 milhões de cartões de crédito, denominado “JOKER”. O incidente, que foi classificado porquê o maior vazamento de dados financeiros até agora em 2025, foi atribuído ao grupo cibercriminoso B1ACK’S STASH, divulgado por comercializar dados financeiros na dark web. A estudo revelou que atores maliciosos estão elevando seu jogo ao combinar phishing avançado, comprometimento de e-commerce e geração sintético de dados para maximizar impacto e retorno financeiro.
Estratégia e métodos do vazamento
As campanhas identificadas não parecem ter sido direcionadas a bancos específicos, mas sim voltadas à captação massiva de dados de cartões de crédito por diferentes métodos, porquê:
- Gateways de pagamento falsos;
- Websites fraudulentos;
- Phishing por e-mail;
- Scripts Man-in-the-Middle em lojas online legítimas.
“O padrão de atuação evidencia que B1ack procura maximizar seus ganhos revendendo ou utilizando os dados roubados. Para isso, explora mercados da dark web, fóruns de carding e transações diretas, fortalecendo sua influência por meio de uma estratégia de marketing eficiente no submundo cibercriminal”, afirma Ana Cerqueira, CRO da ZenoX
Impacto e riscos identificados
Embora o totalidade divulgado inicialmente fosse de 3,4 milhões de cartões, a apuração da ZenoX sugere que entre 1,4 e 2 milhões de registros são autênticos. Desse totalidade, 93,96% permaneciam ativos no momento da investigação, representando um risco significativo para consumidores e instituições financeiras, principalmente na região do Sudeste Asiático.
É indicado, também, que um parcela significativa dos 3,4 milhões de registros de cartões divulgados por B1ack pode ter sido gerada artificialmente, e não obtida exclusivamente por meio de comprometimentos legítimos. Foram identificadas anomalias de códigos CVVs, datas de expiração e dados demográficos, indicando geração sintético significativa de secção dos dados.
“Estimamos que entre 40% e 60% dos registros podem ter sido criados artificialmente. Esse artifício procura ampliar o impacto do vazamento, aumentando a reputação do grupo criminoso no mercado ilegal”, destaca Cerqueira.
As implicações deste vazamento transcendem o impacto econômico repentino e evidenciam mudanças estruturais na forma porquê dados comprometidos são coletados, manipulados e explorados comercialmente. Dessa forma, são exigidas ações ágeis de mitigação
Exposição do Brasil no vazamento
O Brasil ocupa a 40ª posição entre os países mais afetados, com 3.367 cartões comprometidos, representando 0,10% do totalidade. Apesar da exposição moderada, a presença de registros brasileiros é a maior da América Latina, superando Argentina (712), Chile (459), Colômbia (139) e México (2.791).
A estudo de endereços IP vinculados a cartões nacionais revela um padrão diversificado, indicando múltiplas campanhas de phishing e possíveis comprometimentos de e-commerces, e não por um ataque concentrado. São Paulo lidera em volume de dados vazados, refletindo sua relevância porquê núcleo financeiro.
A exposição relativamente menor do Brasil, em contraste com a subida concentração no Sudeste Asiático, pode ser atribuída a fatores porquê diferenças nas tecnologias de segurança das instituições financeiras locais, menor foco do atacante na região ou a intervalo geográfica das operações principais do B1ack. “Embora não seja um dos países mais impactados, a presença de mais de 3.000 cartões comprometidos no Brasil destaca vulnerabilidades específicas que demandam atenção de instituições financeiras e órgãos reguladores”, conclui Cerqueira.
A íntegra do estudo realizado pela ZenoX pode ser acessada aqui.
