Maior ciberataque financeiro do Brasil aconteceu na terça-feira, 1º de julho de 2025, o sistema bancário brasileiro foi alvo de um ciberataque sem precedentes. Segundo fontes na imprensa (TV Globo), hackers conseguiram desviar pelo menos R$ 800 milhões em contas mantidas no Banco Central, caracterizando possivelmente o maior incidente do tipo já registrado no país. O ataque explorou vulnerabilidades em uma empresa de tecnologia terceirizada do setor financeiro, lançando luz sobre riscos sistêmicos em um ecossistema cada vez mais interconectado.

O que aconteceu?

 

Durante a madrugada do dia 1º, um grupo de cibercriminosos invadiu a infraestrutura da empresa C&M Software, uma prestadora de serviços que conecta bancos de médio e pequeno porte ao Banco Central por meio do Sistema de Pagamentos Brasileiro (SPB). Em vez de atacar diretamente as instituições financeiras, os hackers comprometeram as credenciais de acesso que a C&M usava para operar serviços como Pix, TED e DDA em nome de seus clientes. Com esses acessos privilegiados, eles realizaram uma série de transferências fraudulentas de alto valor para contas laranja, espalhando os recursos por mais de 40 instituições diferentes.

Uma vez de posse dos valores, os criminosos imediatamente tentaram converter o dinheiro em criptomoedas para dificultar o rastreamento. Plataformas de câmbio e pagamento foram utilizadas para comprar ativos como USDT (Tether) e Bitcoin com os fundos desviados. Essa estratégia visava encobrir os rastros e tornar a recuperação do dinheiro mais complexa. De fato, estimativas iniciais indicam que apenas cerca de 2% do montante pôde ser recuperado até agora, evidenciando a eficácia limitada de reverter transações após a conversão em criptoativos.

Como os hackers conseguiram desviar esse montante?

 

As investigações ainda estão em andamento, mas já revelam um conjunto de falhas de segurança graves que foram exploradas pelos atacantes para viabilizar o golpe. Entre os principais pontos de falha identificados estão:

  • Credenciais privilegiadas sem MFA: Os invasores obtiveram (possivelmente por vazamento interno ou phishing) credenciais de alta permissão – como logins de clientes da prestadora – e as utilizaram sem encontrar uma barreira de autenticação multifator. Em outras palavras, bastou usuário e senha para acessar áreas críticas, o que não deveria ser possível em sistemas financeiros sensíveis. Esse uso indevido de credenciais de clientes foi o gatilho inicial do ataque, um alerta vermelho para todo o setor.

  • Falta de segmentação e controles internos: Uma vez dentro da rede da C&M, os criminosos aparentemente puderam movimentar-se lateralmente e acessar diferentes sistemas sem serem imediatamente bloqueados. A ausência de uma segmentação de rede adequada e de monitoramento de comportamento permitiu que operações anômalas de grande volume não disparassem alarmes instantâneos. Os movimentos suspeitos só foram detectados tardiamente, quando o estrago já estava em curso.

  • Vulnerabilidades nas integrações via API: O modelo de banking as a service (BaaS) adotado pela C&M se baseia em integrações via API para conectar bancos ao SPB. Porém, falhas na implementação de segurança dessas APIs – seja em autenticação, tokens de acesso ou validação de operações – abriram brechas para o ataque. APIs mal gerenciadas podem conceder acesso direto a sistemas críticos, algo que ficou evidente neste caso.

  • Auditoria e resposta insuficientes: O incidente expôs a falta de observabilidade em tempo real das transações. As transferências anômalas ocorreram ao longo de horas, passando despercebidas até que volumes muito acima do normal já houvessem sido desviados. Logs e alertas em tempo real, bem como mecanismos de resposta automática (como travar contas suspeitas), não agiram a tempo de deter a fraude. Esse gap de monitoramento permitiu que os atacantes convertessem parte dos valores em cripto antes de serem contidos.

Em resumo, houve uma combinação perigosa de credenciais comprometidas, defesas internas frágeis e falta de vigilância ativa. Até o momento, sabe-se que contas de reserva de seis instituições financeiras foram acessadas indevidamente, todas elas clientes da prestadora atacada. Vale destacar que contas de reserva são mantidas no Banco Central e usadas exclusivamente para liquidações interbancárias – ou seja, os bancos guardam nessas contas parte do seu dinheiro para assegurar operações do dia a dia. Nenhum correntista individual perdeu dinheiro diretamente; o ataque envolveu recursos das próprias instituições financeiras em suas contas de liquidação.

Quais foram as consequências imediatas?

 

Assim que a fraude veio à tona, o Banco Central adotou medidas de contenção drásticas. A autoridade monetária determinou o desligamento imediato da C&M Software de todas as suas infraestruturas, para impedir novos acessos indevidos. Isso significou que os bancos clientes dessa empresa ficaram temporariamente sem acesso ao Pix e a outros serviços operados via C&M. O apagão operacional durou parte da semana, até que, sob supervisão do Banco Central, a conexão fosse restabelecida de forma controlada. Na quinta-feira (3 de julho), a empresa foi autorizada a retomar atividades gradualmente, após implementar medidas emergenciais para mitigar novos incidentes.

A Polícia Federal também foi acionada e abriu inquérito para investigar o crime cibernético. Há notícias de que um funcionário da própria C&M estaria entre os suspeitos de colaboração com os hackers, possivelmente tendo vendido credenciais de acesso aos criminosos em troca de pagamento. Uma conta bancária usada no esquema, contendo R$ 270 milhões, já foi bloqueada pelas autoridades. Essas apurações indicam que, além das falhas tecnológicas, pode ter havido falha humana deliberada – o que ressalta ainda mais a necessidade de controles internos rígidos e supervisão sobre acessos privilegiados.

Especialistas avaliam que o incidente terá desdobramentos importantes. Reguladores e o mercado devem reavaliar os requisitos de segurança para provedores terceirizados críticos, como empresas de BaaS. A confiança no modelo de outsourcing de infraestruturas bancárias foi abalada, e discussões sobre novas normas, certificações de cibersegurança e limites transacionais mais rígidos já estão em pauta. Em paralelo, o episódio reacendeu o debate sobre o uso de criptomoedas como meio de lavagem de dinheiro. Embora exchanges e integradoras cripto como a SmartPay tenham conseguido bloquear parte das operações suspeitas a tempo, a facilidade de conversão de valores roubados em ativos digitais pouco rastreáveis representa um desafio extra para a prevenção de fraudes.

O que esse ataque ensina para outras empresas?

 

Mesmo empresas fora do setor financeiro devem prestar atenção a esses acontecimentos. O ataque expôs de forma dramática o risco das cadeias de suprimentos digitais: hoje, negócios de todos os portes dependem de uma rede de fornecedores de software, serviços em nuvem, APIs de pagamento e integrações diversas. Uma vulnerabilidade em qualquer elo dessa corrente pode comprometer toda a operação. No caso da C&M, a falha de uma terceirizada impactou diversos bancos e centenas de milhões de reais – o suficiente para potencialmente abalar a confiança no sistema como um todo.

Para as empresas, fica clara a importância de avaliar criteriosamente a segurança não só da própria infraestrutura, mas também a de todos os parceiros e fornecedores tecnológicos. Políticas de due diligence em segurança da informação precisam ser rigorosas: contratos de prestação de serviço devem exigir conformidade com padrões elevados de proteção de dados, auditorias de segurança regulares e transparência total quanto a controles adotados.

Além disso, esse incidente reforça a necessidade de investir em arquiteturas de segurança em profundidade dentro da própria organização. Algumas lições práticas que executivos de TI e gestores podem extrair são:

  • Autenticação multifator obrigatória: Garanta que todo acesso privilegiado (de funcionários internos ou de fornecedores) exija MFA ou outras formas robustas de verificação. Isso dificulta o uso indevido de credenciais roubadas.

  • Segmentação de rede e princípio de menor privilégio: Separe ambientes críticos em diferentes segmentos de rede e limite rigorosamente os acessos de cada usuário/sistema ao mínimo necessário. Assim, mesmo que uma credencial seja comprometida, o invasor terá alcance limitado.

  • Monitoramento contínuo e detecção de anomalias: Implemente ferramentas de SIEM e análise comportamental que disparem alertas em tempo real diante de atividades fora do padrão (ex: grandes transferências na madrugada, acessos de locais incomuns). Respostas automáticas, como bloqueio temporário de contas suspeitas (kill switch), podem conter um ataque nos primeiros minutos.

  • Auditorias e testes periódicos: Realize pentests e auditorias regulares em integrações via API, bem como avaliações independentes da segurança dos seus fornecedores críticos. Simule cenários de ataque para identificar pontos fracos antes que criminosos o façam.

  • Planos de resposta a incidentes: Tenha um plano claro para reagir a incidentes envolvendo terceiros. Isso inclui comunicação rápida com parceiros e autoridades, redundâncias (ex: canais alternativos caso um provedor caia) e acordos prévios sobre procedimentos de emergência.

Fortalecendo a segurança com parceiros de confiança

 

Casos como o desse ataque recente deixam evidente que segurança cibernética deve ser prioridade máxima na estratégia de negócios, especialmente em setores financeiros. As empresas não podem terceirizar a responsabilidade pela segurança completamente – é vital manter vigilância ativa e exigir elevados padrões de proteção em toda a rede de parceiros.

A Kryptus, referência nacional em criptografia e cibersegurança, se posiciona como aliada das organizações nesse desafio. Com soluções de segurança certificadas e sob medida para o setor financeiro, a Kryptus ajuda instituições a implementarem medidas como as descritas acima, elevando seu nível de proteção a um patamar equivalente ao da defesa nacional. Nosso time de especialistas atua em conjunto com sua equipe de TI para fechar brechas, monitorar ameaças e garantir que tanto sua empresa quanto seus fornecedores operem dentro das melhores práticas de segurança.

Não deixe sua instituição vulnerável. Entre em contato com a Kryptus e saiba como podemos ajudar a blindar o seu negócio contra ameaças cibernéticas.

[email protected]

Whatsapp: +55 19 3112-5008

VOCÊ PODE GOSTAR:
Kryptus amplia estrutura de SOC em Brasília para reforçar segurança cibernética dos setores público e privado
Security Operations Center (SOC) da KRYPTUS em Brasília.

A Kryptus, multinacional brasileira especializada em criptografia e segurança cibernética, concluiu a reestruturação do seu Leia mais

Segurança cibernética das instituições financeiras deve começar de dentro para fora, alerta Kryptus
post blog 2024 11 19

Medidas incluem combinação de soluções tradicionais e emergentes com base no princípio de privilégio mínimo Leia mais