巴西和俄羅斯的網(wǎng)絡犯罪地下市場是安全研究人員接觸最多的地下黑市，因為這些地下市場相對來說比較開放，而且活躍程度高，同時有大量在線論壇供網(wǎng)絡罪犯進行交流。歷史上，這兩個地下市場各自獨立發(fā)展，都創(chuàng)造出了適用于本區(qū)域情況的網(wǎng)絡攻擊技術（例如巴西的“Boleto”惡意軟件，或者是俄羅斯的針對手機銀行的惡意軟件）。但是，卡巴斯基實驗室研究人員經(jīng)過調查發(fā)現(xiàn)，巴西和俄羅斯的網(wǎng)絡罪犯在最近幾年已經(jīng)建立起一套合作系統(tǒng)。巴西的網(wǎng)絡罪犯會在俄羅斯地下論壇尋找惡意軟件樣本，購買最新的犯罪軟件和ATM/PoS惡意軟件，或者提供自己的服務。這種交易是雙向的，通過這種合作，加快了惡意軟件的演化和發(fā)展。

我們在一個俄羅斯網(wǎng)絡罪犯經(jīng)常使用的地下論壇上發(fā)現(xiàn)了合作的跡象。在其中的一個帖子中，一個用戶名為Doisti74的用戶表示想要購買巴西“loads”，這是網(wǎng)絡罪犯之間使用的一種黑話，意識是在位于巴西的計算機用戶的系統(tǒng)上成功安裝惡意軟件。

卡巴斯基實驗室的研究人員注意到在巴西的網(wǎng)絡犯罪地下論壇中同樣有一個使用這一名稱的用戶，而且該用戶在這些論壇上相當活躍，并最終證實該用戶正在大肆傳播用戶感染巴西用戶的勒索軟件。

另外一個案例則顯示了網(wǎng)絡罪犯是如何共享惡意基礎設施的。在一種俄羅斯的網(wǎng)銀木馬家族（Crishi）開始在烏克蘭的反濫用托管服務中使用一種算法生成域名幾個月后，巴西的Boleto惡意軟件幕后網(wǎng)絡罪犯也開始使用這種基礎設施。如果Boleto幕后的網(wǎng)絡罪犯和域名生成算法幕后的網(wǎng)絡罪犯之間沒有合作的話，研究人員和執(zhí)法機關就不可能對網(wǎng)絡罪犯所使用的命令和服務器進行定位，或者將非常難以查找。

網(wǎng)絡罪犯之間還會互相借鑒惡意技術。例如，至少在2011年之前，巴西的網(wǎng)絡罪犯一直在使用PAC技術。這是一種過時的技術，但是有些瀏覽器仍然支持這一技術，將受害者重定向到假冒的銀行網(wǎng)頁。之后過了不到半年，卡巴斯基實驗室研究人員在Capper惡意軟件檢測到同一技術。而這種Capper惡意軟件是一種網(wǎng)銀木馬，攻擊目標是俄羅斯的銀行，起編寫者很可能也是俄羅斯的網(wǎng)絡罪犯。

上述這些案例只是卡巴斯基實驗室研究人員在過去發(fā)現(xiàn)的巴西和俄羅斯網(wǎng)絡罪犯合作證據(jù)中的一小部分。

卡巴斯基實驗室安全研究院Thiago Marques說: “幾年前，巴西的網(wǎng)銀惡意軟件非常簡單，而且很容易檢測。但是隨著時間的推移，這些惡意軟件的編寫者采取了多樣的技術來躲避檢測，其中包括代碼混淆技術、rootkit和bootkit功能等，使得這些惡意軟件變得更為復雜，更加難以應對。這些進步都得利于俄羅斯網(wǎng)絡罪犯所開發(fā)的惡意技術。而且他們之間的合作是雙向的.”

“卡巴斯基實驗室在追蹤和對抗俄羅斯和拉丁美洲地下網(wǎng)絡犯罪組織方面的經(jīng)驗是不可比擬的。我們的安全專家能夠在某種威脅趨勢廣泛傳播之前就將其檢測出來，我們目前正在利用這種能力對抗全球方位的區(qū)域威脅。我們認為，要打擊這類國際性威脅，最好的手段是對這些攻擊行為進行國際調查。正如網(wǎng)絡犯罪是無國家一樣，我們所進行的調查應當也不受國界的限制。”