Brasiliens größter finanzieller Cyberangriff ereignete sich am Dienstag, 1. Juli 2025war das brasilianische Bankensystem Ziel eines beispiellosen Cyberangriffs. Pressequellen zufolge (TV Globo), gelang es Hackern, mindestens 800 Millionen R$ umleiten auf Konten bei der Zentralbank, möglicherweise der größte Vorfall dieser Art, der jemals in dem Land registriert wurde. Der Angriff nutzte Schwachstellen bei einem externen Technologieunternehmen im Finanzsektor aus und warf ein Licht auf systemische Risiken in einem zunehmend vernetzten Ökosystem.

Was ist passiert?

 

In den frühen Morgenstunden des 1. drang eine Gruppe von Cyberkriminellen in die Infrastruktur des Unternehmens ein C & M Software, ein Dienstleister, der mittlere und kleine Banken mit der Zentralbank verbindet durch Brasilianisches Zahlungssystem (SPB)Anstatt Finanzinstitute direkt anzugreifen, kompromittierten Hacker die Zugangsdaten, die C&M für den Betrieb von Diensten wie Pix, TED und DDA im Auftrag ihrer Kunden. Mit diesem privilegierten Zugang führten sie eine Reihe von betrügerische Überweisungen mit hohem Wert für orange Konten, die Verteilung der Ressourcen über mehr als 40 verschiedene Institutionen.

Sobald die Kriminellen die Wertgegenstände in ihren Besitz gebracht hatten, versuchten sie sofort, Geld in Kryptowährungen umwandeln um die Nachverfolgung zu erschweren. Börsen und Zahlungsplattformen wurden genutzt, um mit den veruntreuten Geldern Vermögenswerte wie USDT (Tether) und Bitcoin zu kaufen. Diese Strategie zielte darauf ab verwische deine Spuren und die Rückforderung des Geldes komplexer machen. Tatsächlich deuten erste Schätzungen darauf hin, dass nur etwa 2% des Betrags Bisher konnten keine Rückerstattungen erzielt werden, was die begrenzte Wirksamkeit der Rückabwicklung von Transaktionen nach der Konvertierung in Krypto-Assets unterstreicht.

Wie ist es Hackern gelungen, diesen Betrag abzuzweigen?

 

Die Untersuchungen dauern noch an, zeigen aber bereits eine Reihe von schwerwiegende Sicherheitsmängel Diese wurden von den Angreifern ausgenutzt, um den Betrug zu ermöglichen. Zu den wichtigsten identifizierten Schwachstellen gehören:

  • Privilegierte Anmeldeinformationen ohne MFA: Angreifer erlangten (möglicherweise durch internes Leaking oder Phishing) Zugangsdaten mit hohen Berechtigungen – etwa die Kundenlogins des Anbieters – und nutzten diese, ohne auf eine Sicherheitsbarriere zu stoßen. Multifaktor-AuthentifizierungMit anderen Worten: Ein Benutzername und ein Passwort reichten aus, um auf kritische Bereiche zuzugreifen, was in sensiblen Finanzsystemen nicht möglich sein sollte. Dieser Missbrauch von Kundendaten war der ursprüngliche Auslöser für den Angriff. Alarmstufe Rot für die gesamte Branche.

  • Fehlende Segmentierung und interne Kontrollen: Einmal im C&M-Netzwerk angekommen, gelang es den Kriminellen offenbar, seitlich bewegen und auf verschiedene Systeme zugreifen, ohne sofort blockiert zu werden. Mangels angemessener Netzwerksegmentierung und Verhaltensüberwachung lösten großvolumige anormale Vorgänge keinen sofortigen Alarm aus. Verdächtige Bewegungen wurden erst spät erkannt, nachdem der Schaden bereits im Gange war.

  • Schwachstellen in API-Integrationen: Ein Modelo von Banking als Dienstleistung (BaaS) Die von C&M eingeführte API-Integration zur Anbindung von Banken an SPB basiert jedoch Mängel in der Sicherheitsimplementierung dieser APIs – sei es bei der Authentifizierung, den Zugriffstoken oder der Validierung von Vorgängen – öffneten Schlupflöcher für Angriffe. Schlecht verwaltete APIs können direkten Zugriff auf kritische Systeme gewähren, was in diesem Fall deutlich wurde.

  • Unzureichende Prüfung und Reaktion: Der Vorfall enthüllte die Mangelnde Echtzeit-Beobachtbarkeit von Transaktionen. Die anomalen Überweisungen erfolgten über Stunden hinweg und blieben unbemerkt, bis bereits weit über dem Normalwert liegende Volumina umgeleitet worden waren. Protokolle und Warnungen Echtzeitüberwachung und automatische Reaktionsmechanismen (wie die Sperrung verdächtiger Konten) konnten den Betrug nicht rechtzeitig stoppen. Diese Überwachungslücke ermöglichte es den Angreifern, einen Teil der Gelder in Kryptowährungen umzuwandeln, bevor sie eingedämmt werden konnten.

Kurz gesagt, es gab eine gefährliche Kombination aus kompromittierte Anmeldeinformationen, schwache interne Abwehrmechanismen und mangelnde aktive Überwachung. Bisher ist bekannt, dass Reservekonten von sechs Finanzinstituten Auf alle Konten wurde unrechtmäßig zugegriffen, allesamt Kunden des angegriffenen Anbieters. Es ist erwähnenswert, dass Reservekonten bei der Zentralbank geführt werden und ausschließlich für den Interbankenausgleich genutzt werden – das heißt, Banken halten einen Teil ihres Geldes auf diesen Konten, um den laufenden Betrieb sicherzustellen. Kein einzelner Kontoinhaber verlor direkt Geld; der Angriff betraf die Eigenmittel der Finanzinstitute auf ihren Abwicklungskonten.

Was waren die unmittelbaren Folgen?

 

Sobald der Betrug ans Licht kam, Zentralbank drastische Eindämmungsmaßnahmen ergriffen. Die Währungsbehörde ermittelte die sofortige Abschaltung Die gesamte Infrastruktur von C&M Software wurde überprüft, um weitere unbefugte Zugriffe zu verhindern. Dies bedeutete, dass die Kundenbanken des Unternehmens vorübergehend ohne Zugriff auf Pix und andere über C&M betriebene Dienste. Die Betriebsunterbrechung dauerte einen Teil der Woche, bis die Verbindung unter Aufsicht der Zentralbank kontrolliert wiederhergestellt wurde. Am Donnerstag (3. Juli) wurde dem Unternehmen die schrittweise Wiederaufnahme des Betriebs genehmigt, nachdem Notfallmaßnahmen zur Eindämmung weiterer Störungen ergriffen worden waren.

Auch die Bundespolizei wurde eingeschaltet und leitete Ermittlungen wegen Cyberkriminalität ein. Berichten zufolge steht ein Mitarbeiter von C&M selbst unter dem Verdacht, mit den Hackern zusammengearbeitet zu haben. Möglicherweise hat er den Kriminellen gegen Bezahlung Zugangsdaten verkauft. Ein für das System verwendetes Bankkonto mit R $ 270 Millionen, wurde bereits von den Behörden blockiert. Diese Untersuchungen deuten darauf hin, dass es neben technischen Fehlern auch absichtlicher menschlicher Fehler – was die Notwendigkeit strenger interner Kontrollen und einer Überwachung des privilegierten Zugriffs weiter unterstreicht.

Experten gehen davon aus, dass der Vorfall erhebliche Auswirkungen haben wird. Regulierungsbehörden und Markt müssen die Sicherheitsanforderungen für kritische Drittanbieter wie BaaS-Unternehmen neu bewerten. Vertrauen in das Sicherheitsmodell Outsourcing Die Bankeninfrastrukturen sind erschüttert, und Diskussionen über neue Regulierungen, Cybersicherheitszertifizierungen und strengere Transaktionslimits stehen bereits auf der Tagesordnung. Gleichzeitig hat diese Episode die Debatte über den Einsatz von Criptomoedas als Mittel zur Geldwäsche. Obwohl Kryptobörsen und -integratoren wie SmartPay einige der verdächtigen Transaktionen rechtzeitig blockieren konnten, stellt die einfache Umwandlung gestohlener Gelder in schwer nachverfolgbare digitale Vermögenswerte eine zusätzliche Herausforderung für die Betrugsprävention dar.

Was können andere Unternehmen aus diesem Angriff lernen?

 

Auch Unternehmen außerhalb des Finanzsektors sollten diese Entwicklungen aufmerksam verfolgen. Der Angriff hat die Risiken der digitalen Lieferkette: Heutzutage verlassen sich Unternehmen jeder Größe auf ein Netzwerk aus Softwareanbietern, Cloud-Diensten, Zahlungs-APIs und verschiedenen Integrationen. Eine Schwachstelle in einem beliebigen Link Diese Kette kann den gesamten Betrieb gefährden. Im Fall von C&M betraf der Zusammenbruch eines Drittunternehmens mehrere Banken und Hunderte Millionen Real – genug, um das Vertrauen in das gesamte System zu erschüttern.

Für Unternehmen ist es offensichtlich, wie wichtig es ist, die Sicherheit nicht nur der eigene Infrastruktur, sondern auch das von alle Technologiepartner und LieferantenDie Sorgfaltspflichtrichtlinien für die Informationssicherheit müssen streng sein: Dienstleistungsverträge müssen die Einhaltung hoher Datenschutzstandards, regelmäßige Sicherheitsüberprüfungen und vollständige Transparenz hinsichtlich der getroffenen Kontrollen vorschreiben.

Darüber hinaus unterstreicht dieser Vorfall die Notwendigkeit von Investitionen in Sicherheitsarchitekturen im Detail innerhalb der Organisation selbst. Einige praktische Lehren, die IT-Führungskräfte und Manager daraus ziehen können, sind:

  • Obligatorische Multi-Faktor-Authentifizierung: Stellen Sie sicher, dass für alle privilegierten Zugriffe (von internen Mitarbeitern oder Lieferanten) MFA oder andere robuste Verifizierungsformen erforderlich sind. Dies erschwert den Missbrauch gestohlener Anmeldeinformationen.

  • Netzwerksegmentierung und Prinzip der geringsten Privilegien: Trennen Sie kritische Umgebungen in verschiedene Netzwerksegmente und beschränken Sie den Zugriff für jeden Benutzer/jedes System strikt auf das notwendige Minimum. So bleibt die Reichweite des Angreifers selbst bei kompromittierten Anmeldeinformationen begrenzt.

  • Kontinuierliche Überwachung und Anomalieerkennung: Werkzeuge implementieren SIEM und Verhaltensanalysen, die bei ungewöhnlichen Aktivitäten (z. B. große Überweisungen in den frühen Morgenstunden, Zugriff von ungewöhnlichen Standorten) Echtzeitwarnungen auslösen. Automatische Reaktionen, wie z. B. die vorübergehende Sperrung verdächtiger Konten (kill switch), kann einen Angriff in den ersten Minuten eindämmen.

  • Regelmäßige Audits und Tests: Realisieren Pentests Regelmäßige Audits der API-Integrationen sowie unabhängige Bewertungen der Sicherheit Ihrer wichtigsten Anbieter. Simulieren Sie Angriffsszenarien, um Schwachstellen zu erkennen, bevor Kriminelle sie entdecken.

  • Pläne zur Reaktion auf Vorfälle: Erstellen Sie einen klaren Plan für die Reaktion auf Vorfälle mit Drittparteien. Dazu gehören die umgehende Kommunikation mit Partnern und Behörden, Redundanzen (z. B. alternative Kanäle bei Ausfall eines Anbieters) und die vorherige Vereinbarung von Notfallmaßnahmen.

Stärkung der Sicherheit mit vertrauenswürdigen Partnern

 

Fälle wie dieser jüngste Angriff machen deutlich, dass Cybersicherheit muss oberste Priorität haben in der Geschäftsstrategie, insbesondere im Finanzsektor. Unternehmen können die Sicherheitsverantwortung nicht vollständig auslagern – es ist unerlässlich, aktive Wachsamkeit aufrechtzuerhalten und im gesamten Partnernetzwerk hohe Schutzstandards zu fordern.

A Kryptus, eine nationale Referenz in Kryptographie und Cybersicherheit, positioniert sich als Verbündeter von Organisationen bei dieser Herausforderung. Mit Sicherheitslösungen zertifiziert und maßgeschneidert Für den Finanzsektor unterstützt Kryptus Institutionen bei der Umsetzung der oben beschriebenen Maßnahmen und erhöht so ihr Schutzniveau auf ein Niveau, das dem der Landesverteidigung entspricht. Unser Expertenteam arbeitet mit Ihrem IT-Team zusammen, um Lücken zu schließen, Bedrohungen zu überwachen und Stellen Sie sicher, dass sowohl Ihr Unternehmen als auch Ihre Lieferanten die besten Sicherheitspraktiken anwenden.

Lassen Sie Ihre Institution nicht ungeschützt. Kontaktieren Sie Kryptus und erfahren Sie, wie wir Ihr Unternehmen vor Cyberbedrohungen schützen können.

[E-Mail geschützt]

Whatsapp: +55 19 3112-5008

DAS KÖNNTE IHNEN AUCH GEFALLEN:
Kryptus erweitert SOC-Struktur in Brasília, um die Cybersicherheit im öffentlichen und privaten Sektor zu stärken
KRYPTUS Security Operations Center (SOC) in Brasilia.

Kryptus, ein brasilianischer multinationaler Konzern, der auf Kryptographie und Cybersicherheit spezialisiert ist, hat die Umstrukturierung seines Lesen Sie mehr

Cybersicherheit für Finanzinstitute muss von innen heraus beginnen, warnt Kryptus
Blogbeitrag 2024 11 19

Zu den Maßnahmen gehört eine Kombination aus traditionellen und neuen Lösungen, die auf dem Prinzip der geringsten Privilegien basieren Lesen Sie mehr