Operation Ramz: Interpol prende 201 em ofensiva inédita contra cibercrime no Oriente Médio e Norte da África

A Interpol coordenou a “Operation Ramz”, primeira ação inter-regional de combate ao cibercrime no Oriente Médio e Norte da África (MENA), com 201 pessoas presas em 13 países, 53 servidores apreendidos, 382 suspeitos adicionais identificados e 3.867 vítimas mapeadas entre outubro de 2025 e fevereiro de 2026. A operação contou com apoio do Group-IB, Kaspersky, Shadowserver, Team Cymru e TrendAI.

O que aconteceu

A Interpol divulgou os resultados da Operation Ramz, uma ofensiva inédita de quatro meses contra grupos cibercriminosos atuantes na região MENA. A operação rodou de outubro de 2025 a fevereiro de 2026 e envolveu 13 países: Argélia, Bahrein, Egito, Iraque, Jordânia, Líbano, Líbia, Marrocos, Omã, Palestina, Qatar, Tunísia e Emirados Árabes Unidos. O Ministério do Interior do Qatar prestou apoio direto, e o financiamento parcial veio da União Europeia e do Conselho da Europa através do projeto CyberSouth+.

Em números, a operação resultou em 201 prisões, identificação de mais 382 suspeitos, mapeamento de 3.867 vítimas e apreensão de 53 servidores usados em atividades criminosas. Quase 8.000 peças de dados e inteligência foram compartilhadas entre os países participantes para alimentar investigações futuras. O foco principal foi neutralizar phishing, distribuição de malware e fraudes online que causam prejuízos volumosos à região.

A coordenação envolveu também parceiros do setor privado: Group-IB, Kaspersky, Shadowserver Foundation, Team Cymru e TrendAI participaram no rastreamento de servidores maliciosos e na construção de inteligência operacional. Esse modelo de colaboração pública-privada vem se consolidando como padrão em grandes operações coordenadas pela Interpol nos últimos anos.

Detalhes da operação

No Qatar, a inteligência local identificou dispositivos comprometidos que estavam sendo usados, sem que seus donos soubessem, como nós de distribuição de ameaças. As autoridades responderam com ações de remediação imediatas para impedir que essas máquinas seguissem amplificando ataques. Também no país, um servidor vulnerável situado em residência privada — que continha dados sensíveis — foi desativado antes que pudesse ser explorado.

Na Argélia, as autoridades desmantelaram uma operação de phishing-as-a-service, prendendo um suspeito e confiscando equipamento usado para hospedar a infraestrutura criminosa. No Marrocos, equipamentos contendo dados bancários e kits de phishing foram apreendidos, com três indivíduos processados judicialmente e outros sob investigação contínua.

“Estamos orgulhosos de ter apoiado a Interpol e os 13 países que participaram da Operation Ramz com a visibilidade necessária para transformar dados em ação. Continuaremos investindo nas parcerias que protegem vítimas e responsabilizam infratores.”

Joe Sander, CEO da Team Cymru

Impacto regional

• 3.867 vítimas identificadas em 13 países da região MENA — base para notificação individual e medidas reparatórias.
• Desativação de uma operação de phishing-as-a-service na Argélia, modelo que comoditiza ataques de phishing para criminosos sem perícia técnica.
• 53 servidores criminosos retirados de operação, com impacto direto na infraestrutura de campanhas em andamento.
• 8.000 peças de inteligência distribuídas entre agências, criando trilhas para futuras prisões e bloqueios de domínios.
• Sinalização política regional clara de que a região MENA passou a operar de forma coordenada em cibercrime — coisa que não existia formalmente até esta operação.

Análise

Operações multinacionais como a Ramz contrastam com o ritmo cotidiano da repressão a cibercrime, geralmente fragmentado em jurisdições nacionais que mal trocam dados. O fato de 13 países da MENA terem operado simultaneamente sob coordenação da Interpol é, em si, um marco — historicamente, criminosos cibernéticos exploram exatamente esse vácuo de cooperação para se manter operacionalmente seguros. Phishing-as-a-service, em particular, prospera onde a perseguição é descontínua: um servidor desativado em um país é restabelecido em outro vizinho em semanas.

Comparada com ações anteriores conduzidas pela Interpol — como as operações HAECHI contra fraude financeira no Sudeste Asiático e a Synergia I/II contra infraestrutura de ransomware —, a Ramz combina elementos similares: parceria com vendors privados de threat intel, prazo extenso de observação antes da fase de prisões e foco em alvos de média escala em vez dos cabeças. É a estratégia de erodir a camada operacional do cibercrime, removendo botmasters, operadores de servidor e revendedores de kits.

Para o setor privado regional, o sinal é interessante: pela primeira vez existe uma estrutura de inteligência ativa, coordenada e financiada para perseguir ameaças locais. Empresas no MENA que historicamente sofriam de baixa colaboração com forças policiais agora têm um interlocutor melhor articulado. O cético dirá que 201 prisões em quatro meses é pouco diante do volume real de operadores ativos na região — e tem razão. Mas a infraestrutura de cooperação criada pelo Ramz tende a render dividendos compostos em campanhas futuras.

Recomendações práticas

• Empresas com operações na região MENA: estabelecer contato direto com unidades cibernéticas locais e CERTs nacionais para reportar tentativas de fraude e receber inteligência atualizada.
• Implementar autenticação multifator resistente a phishing (FIDO2, passkeys) em contas privilegiadas e corporativas — phishing foi alvo central da operação.
• Monitorar credenciais corporativas em marketplaces criminosos com serviços de threat intel especializados na região (Group-IB, Kaspersky, TrendAI são referências locais).
• Verificar se a empresa figura entre as 3.867 vítimas mapeadas pela Interpol — algumas notificações são feitas via CERT nacional, e atrasos no contato podem deixar incidentes sem resposta.
• Treinar equipes de atendimento em scripts de detecção de fraudes financeiras direcionadas a clientes — a maioria das vítimas é alcançada por canais legítimos comprometidos.
• Para times de SOC: incorporar feeds das organizações parceiras da operação (Shadowserver, Team Cymru) para enriquecer alertas com IOCs regionais.

Fonte: Infosecurity Magazine