A ZenoX, startup de cibersegurança do Grupo Dfense e especialista em inteligência artificial contra ameaças digitais, conduziu uma investigação detalhada sobre o vazamento de 3,4 milhões de cartões de crédito, denominado “JOKER”. O incidente, que foi classificado como o maior vazamento de dados financeiros até agora em 2025, foi atribuído ao grupo cibercriminoso B1ACK’S STASH, conhecido por comercializar dados financeiros na dark web. A análise revelou que atores maliciosos estão elevando seu jogo ao combinar phishing avançado, comprometimento de e-commerce e geração artificial de dados para maximizar impacto e retorno financeiro.
Estratégia e métodos do vazamento
As campanhas identificadas não parecem ter sido direcionadas a bancos específicos, mas sim voltadas à captação massiva de dados de cartões de crédito por diferentes métodos, como:
- Gateways de pagamento falsos;
- Websites fraudulentos;
- Phishing por e-mail;
- Scripts Man-in-the-Middle em lojas online legítimas.
“O padrão de atuação evidencia que B1ack busca maximizar seus ganhos revendendo ou utilizando os dados roubados. Para isso, explora mercados da dark web, fóruns de carding e transações diretas, fortalecendo sua influência por meio de uma estratégia de marketing eficaz no submundo cibercriminal”, afirma Ana Cerqueira, CRO da ZenoX
Impacto e riscos identificados
Embora o total divulgado inicialmente fosse de 3,4 milhões de cartões, a apuração da ZenoX sugere que entre 1,4 e 2 milhões de registros são autênticos. Desse total, 93,96% permaneciam ativos no momento da investigação, representando um risco significativo para consumidores e instituições financeiras, especialmente na região do Sudeste Asiático.
É apontado, também, que um parcela significativa dos 3,4 milhões de registros de cartões divulgados por B1ack pode ter sido gerada artificialmente, e não obtida exclusivamente por meio de comprometimentos legítimos. Foram identificadas anomalias de códigos CVVs, datas de expiração e dados demográficos, indicando geração artificial significativa de parte dos dados.
“Estimamos que entre 40% e 60% dos registros podem ter sido criados artificialmente. Esse artifício busca ampliar o impacto do vazamento, aumentando a reputação do grupo criminoso no mercado clandestino”, destaca Cerqueira.
As implicações deste vazamento transcendem o impacto econômico imediato e evidenciam mudanças estruturais na forma como dados comprometidos são coletados, manipulados e explorados comercialmente. Dessa forma, são exigidas ações ágeis de mitigação
Exposição do Brasil no vazamento
O Brasil ocupa a 40ª posição entre os países mais afetados, com 3.367 cartões comprometidos, representando 0,10% do total. Apesar da exposição moderada, a presença de registros brasileiros é a maior da América Latina, superando Argentina (712), Chile (459), Colômbia (139) e México (2.791).
A análise de endereços IP vinculados a cartões nacionais revela um padrão diversificado, indicando múltiplas campanhas de phishing e possíveis comprometimentos de e-commerces, e não por um ataque centralizado. São Paulo lidera em volume de dados vazados, refletindo sua relevância como centro financeiro.
A exposição relativamente menor do Brasil, em contraste com a alta concentração no Sudeste Asiático, pode ser atribuída a fatores como diferenças nas tecnologias de segurança das instituições financeiras locais, menor foco do atacante na região ou a distância geográfica das operações principais do B1ack. “Embora não seja um dos países mais impactados, a presença de mais de 3.000 cartões comprometidos no Brasil destaca vulnerabilidades específicas que demandam atenção de instituições financeiras e órgãos reguladores”, conclui Cerqueira.
A íntegra do estudo realizado pela ZenoX pode ser acessada aqui.
