Pesquisadores da empresa de cibersegurança Proofpoint passaram um mês inteiro infiltrados — de forma controlada — no ambiente operacional de um grupo hacker especializado em atacar o setor de transporte e logística. O que encontraram revelou não apenas a sofisticação técnica dos invasores, mas também a profundidade do conhecimento que eles têm sobre a indústria que miram.

O objetivo era responder uma pergunta específica: o que acontece depois que os criminosos conseguem entrar nos sistemas de uma transportadora? A resposta foi mais abrangente do que se esperava.

Um mercado de US$ 6,6 bilhões em perdas

O roubo de carga habilitado digitalmente deixou de ser uma ameaça periférica para se tornar um problema sistêmico. Segundo a empresa de gestão de frotas Geotab, as perdas decorrentes de roubo de carga na América do Norte chegaram a US$ 6,6 bilhões em 2025 — e a maior parte desse crescimento foi impulsionada por ataques digitais.

"É um problema enorme que vai muito além de um único grupo ou de um único país", disse Ole Villadsen, um dos pesquisadores da Proofpoint envolvidos na investigação.

O vetor de entrada preferido pelos hackers são as chamadas load boards — plataformas digitais onde corretores de frete e transportadoras se conectam para negociar o transporte de mercadorias. Ao comprometer essas plataformas, os invasores conseguem alcançar dezenas ou até centenas de transportadoras de uma só vez, já que todas utilizam o mesmo ambiente para fechar negócios.

A anatomia do ataque: seis ferramentas, uma missão

Para observar o comportamento dos criminosos em tempo real, a equipe da Proofpoint montou um ambiente de isca controlado e intencionalmente baixou um arquivo malicioso enviado por e-mail — a mesma abordagem usada contra transportadoras reais após o comprometimento de uma load board.

O que veio a seguir foi revelador. Os hackers instalaram seis ferramentas distintas de acesso remoto, sendo quatro delas instâncias do software ScreenConnect. A redundância não era acidental: trata-se de uma técnica de persistência deliberada, garantindo que, mesmo que uma ou duas ferramentas sejam detectadas e removidas, o acesso ao sistema da vítima seja mantido por meio das demais.

Mas a grande surpresa veio com a última ferramenta instalada.

"Assinatura como serviço": a inovação que contornou as defesas do Windows

O último componente baixado pelo grupo executou um script que automaticamente consultou um serviço externo de assinatura de certificados digitais. O resultado: todos os arquivos instalados no sistema passaram a carregar uma assinatura que o Windows reconhecia como confiável — o equivalente digital a entrar em um prédio com um crachá de funcionário falsificado, mas perfeitamente convincente para os sistemas de segurança.

"Essa foi uma capacidade nova que tivemos a sorte de encontrar", disse Villadsen. Segundo ele, a técnica funciona como uma resposta direta às medidas recentes adotadas pela própria ScreenConnect, que havia revogado certificados antigos e exigido que novas instâncias do software fossem assinadas individualmente — o que, segundo Villadsen, "perturbou significativamente todo o ecossistema de ferramentas de monitoramento remoto".

A solução encontrada pelos hackers foi elegante e colaborativa: em vez de cada operador tentar criar seu próprio certificado válido, o grupo criou um serviço centralizado de assinatura, compartilhado entre os membros da operação.

"Não apenas o instalador MSI estava assinado, como ele também saía e substituía todos os arquivos de componentes, assinando-os novamente", explicou Villadsen. "O esquema inteiro foi bem pensado."

Além do frete: os criminosos querem tudo

Uma vez dentro do sistema da vítima, os invasores não se limitaram a buscar informações sobre cargas. O comportamento observado revelou um perfil de oportunismo financeiro amplo e sistemático.

Um script em PowerShell varreu o dispositivo infectado em busca de credenciais de acesso a instituições financeiras, serviços de transferência de dinheiro e plataformas de contabilidade online. Os hackers também buscaram ativamente carteiras de criptomoedas e verificaram manualmente credenciais do PayPal. Paralelamente, escanearam plataformas de gestão de frete, load boards adicionais e fornecedores de cartões de combustível — todos elementos críticos para o funcionamento de uma transportadora.

"Eles conhecem muito bem o setor de transporte e sabem como mirar nesse espaço específico", disse Villadsen. "Mas também são cibercriminosos, e estão procurando qualquer forma de monetizar uma máquina na qual pousaram."

A combinação é poderosa: conhecimento setorial profundo somado a técnicas de crime financeiro digital aplicadas de forma oportunista.

Um ecossistema criminoso em expansão

O grupo monitorado pela Proofpoint é um dos mais ativos na infiltração de load boards, mas está longe de ser único. A equipe de Villadsen rastreia atualmente cerca de uma dúzia de grupos diferentes operando contra o setor de transporte tanto na América do Norte quanto na Europa.

O perfil das vítimas facilita a escala dos ataques: a grande maioria das transportadoras são pequenas empresas com menos de 10 caminhões, sem equipes dedicadas de segurança da informação ou defesas cibernéticas robustas. Ao atacá-las por meio das load boards — plataformas que todas precisam usar para operar —, os hackers conseguem comprometer dezenas de empresas simultaneamente a partir de um único ponto de entrada.

"É uma indústria que, infelizmente, se apresenta bem para intrusões cibernéticas e permite escalar o roubo com muita eficiência", concluiu Villadsen.

O caso ilustra uma tendência crescente no cibercrime: a convergência entre crime organizado tradicional — como o roubo de carga — e ferramentas digitais sofisticadas, criando um modelo de operação que é simultaneamente difícil de detectar, fácil de escalar e altamente lucrativo.