Największy atak cybernetyczny na finanse w Brazylii miał miejsce we wtorek, 1 lipca 2025 r.Brazylijski system bankowy padł ofiarą bezprecedensowego cyberataku. Według źródeł prasowych (TV Globo), hakerom udało się przekierować co najmniej 800 milionów R$ na kontach w Banku Centralnym, co stanowi prawdopodobnie największy incydent tego typu, jaki kiedykolwiek odnotowano w tym kraju. Atak wykorzystał luki w zabezpieczeniach zewnętrznej firmy technologicznej z sektora finansowego, rzucając światło na ryzyko systemowe w coraz bardziej połączonym ekosystemie.

Co się stało?

 

Wczesnym rankiem 1. dnia grupa cyberprzestępców włamała się do infrastruktury firmy Oprogramowanie C&M, dostawca usług łączący średnie i małe banki z Bankiem Centralnym za pośrednictwem Brazylijski System Płatniczy (SPB)Zamiast bezpośrednio atakować instytucje finansowe, hakerzy zdobyli dane uwierzytelniające, których C&M używało do obsługi usług takich jak Pix, TED i DDA w imieniu swoich klientów. Dzięki temu uprzywilejowanemu dostępowi przeprowadzili szereg oszukańcze przelewy o dużej wartości dla kont pomarańczowych, rozłożenie zasobów na ponad 40 różnych instytucji.

Po wejściu w posiadanie wartościowych przedmiotów przestępcy natychmiast podjęli próbę ich kradzieży. konwertuj pieniądze na kryptowaluty aby utrudnić śledzenie. Giełdy i platformy płatnicze były wykorzystywane do zakupu aktywów takich jak USDT (Tether) i Bitcoin za przywłaszczone środki. Ta strategia miała na celu zatrzeć ślady i utrudnić odzyskanie pieniędzy. W rzeczywistości wstępne szacunki wskazują, że tylko około 2% kwoty udało się dotychczas odzyskać, co wskazuje na ograniczoną skuteczność odwracania transakcji po konwersji na aktywa kryptograficzne.

W jaki sposób hakerom udało się przywłaszczyć sobie tę kwotę?

 

Śledztwa wciąż trwają, ale już teraz ujawniono szereg poważne luki w zabezpieczeniach które zostały wykorzystane przez atakujących do ułatwienia ataku. Wśród głównych zidentyfikowanych punktów awarii znajdują się:

  • Uprzywilejowane poświadczenia bez uwierzytelniania wieloskładnikowego: Atakujący uzyskali (prawdopodobnie za pomocą wewnętrznego wycieku danych lub phishingu) dane uwierzytelniające o wysokich uprawnieniach – takie jak dane logowania klientów dostawcy – i korzystali z nich, nie napotykając żadnej bariery bezpieczeństwa. uwierzytelnianie wieloskładnikoweInnymi słowy, nazwa użytkownika i hasło wystarczyły, aby uzyskać dostęp do newralgicznych obszarów, co nie powinno być możliwe w wrażliwych systemach finansowych. To niewłaściwe wykorzystanie danych uwierzytelniających klienta było pierwotnym powodem ataku. czerwony alert dla całego sektora.

  • Brak segmentacji i kontroli wewnętrznej: Po dostaniu się do sieci C&M przestępcy byli najwyraźniej w stanie poruszać się bocznie i uzyskiwać dostęp do różnych systemów bez konieczności natychmiastowego blokowania. Brak odpowiedniej segmentacji sieci i monitorowania zachowań sprawiał, że anomalie o dużej liczbie operacji nie wywoływały natychmiastowych alarmów. Podejrzane ruchy wykrywano dopiero późno, gdy szkody były już w toku.

  • Luki w zabezpieczeniach integracji API: model Bankowość jako usługa (BaaS) Przyjęty przez C&M opiera się na integracjach API, które łączą banki z SPB. Jednakże, wady w implementacji zabezpieczeń tych interfejsów API – czy to w uwierzytelnianiu, tokenach dostępu, czy walidacji transakcji – otworzyły drogę atakom. Źle zarządzane interfejsy API mogą przyznawać bezpośredni dostęp do systemów krytycznych, co było widoczne w tym przypadku.

  • Niewystarczający audyt i odpowiedź: Incydent ten ujawnił brak możliwości obserwacji w czasie rzeczywistym transakcji. Nietypowe transfery miały miejsce w ciągu kilku godzin i pozostały niezauważone, dopóki nie przekierowano wolumenów znacznie przekraczających normę. Rejestry i alerty Monitorowanie w czasie rzeczywistym, a także mechanizmy automatycznej reakcji (takie jak blokowanie podejrzanych kont) nie zadziałały na czas, aby powstrzymać oszustwo. Ta luka w monitoringu pozwoliła atakującym na konwersję części środków na kryptowaluty, zanim zostali powstrzymani.

Krótko mówiąc, była to niebezpieczna kombinacja zagrożone dane uwierzytelniające, słabe mechanizmy obronne i brak aktywnego nadzoru. Jak dotąd wiadomo, że rachunki rezerwowe sześciu instytucji finansowych Do wszystkich z nich uzyskano nieautoryzowany dostęp, a wszystkie były klientami zaatakowanego dostawcy. Warto zauważyć, że rachunki rezerwowe są prowadzone w Banku Centralnym i wykorzystywane wyłącznie do rozliczeń międzybankowych – co oznacza, że banki przechowują część swoich środków na tych rachunkach, aby zapewnić bieżącą działalność. Żaden indywidualny posiadacz rachunku nie stracił bezpośrednio pieniędzy; atak objął środki własne instytucji finansowych na ich rachunkach rozliczeniowych.

Jakie były bezpośrednie konsekwencje?

 

Gdy tylko oszustwo wyszło na jaw, Bank Centralny przyjęto drastyczne środki powstrzymujące. Władze monetarne ustaliły natychmiastowe wyłączenie Cała infrastruktura C&M Software została zabezpieczona przed dalszym nieautoryzowanym dostępem. Oznaczało to, że banki klientów firmy były tymczasowo bez dostępu do Pix oraz inne usługi obsługiwane przez C&M. Przerwa w działaniu trwała przez część tygodnia, aż do momentu, gdy pod nadzorem Banku Centralnego połączenie zostało przywrócone w sposób kontrolowany. W czwartek (3 lipca) firma otrzymała zezwolenie na stopniowe wznawianie działalności po wdrożeniu środków nadzwyczajnych w celu złagodzenia skutków kolejnych incydentów.

Wezwano również policję federalną, która wszczęła śledztwo w sprawie cyberprzestępczości. Doniesienia sugerują, że wśród osób podejrzanych o współpracę z hakerami znajduje się pracownik C&M, który prawdopodobnie sprzedał przestępcom dane dostępowe w zamian za zapłatę. Konto bankowe wykorzystywane w tym procederze, zawierające… 270 mln BRL, został już zablokowany przez władze. Dochodzenia wskazują, że oprócz usterek technologicznych mogły wystąpić celowy błąd ludzki – co dodatkowo podkreśla potrzebę ścisłej kontroli wewnętrznej i nadzoru nad dostępem uprzywilejowanym.

Eksperci uważają, że incydent będzie miał poważne konsekwencje. Regulatorzy i rynek muszą ponownie ocenić wymogi bezpieczeństwa dla kluczowych zewnętrznych dostawców, takich jak firmy BaaS. Zaufanie do modelu bezpieczeństwa Outsourcing Infrastruktura bankowa została zachwiana, a dyskusje na temat nowych regulacji, certyfikatów cyberbezpieczeństwa i surowszych limitów transakcji są już w toku. Jednocześnie wydarzenie to ożywiło debatę na temat wykorzystania krypto-monety jako środek prania pieniędzy. Chociaż giełdy kryptowalut i integratorzy, tacy jak SmartPay, byli w stanie na czas zablokować część podejrzanych transakcji, łatwość przekształcenia skradzionych środków w trudne do wyśledzenia aktywa cyfrowe stanowi dodatkowe wyzwanie w zapobieganiu oszustwom.

Czego ten atak może nauczyć inne firmy?

 

Nawet firmy spoza sektora finansowego powinny zwrócić uwagę na te wydarzenia. Atak w dramatyczny sposób obnażył ryzyko cyfrowych łańcuchów dostaw:Dziś przedsiębiorstwa każdej wielkości polegają na sieci dostawców oprogramowania, usługach w chmurze, interfejsach API płatności i różnorodnych integracjach. Luka w dowolnym łączu Ten łańcuch może zagrozić całemu systemowi. W przypadku C&M, awaria firmy zewnętrznej wpłynęła na sytuację kilku banków i setki milionów reali – wystarczająco dużo, by potencjalnie zachwiać zaufaniem do całego systemu.

Dla firm jasne jest, jak ważne jest dokładne ocenianie bezpieczeństwa nie tylko własna infrastrukturaale także tego, wszyscy partnerzy technologiczni i dostawcyZasady należytej staranności w zakresie bezpieczeństwa informacji muszą być rygorystyczne: umowy o świadczenie usług muszą wymagać przestrzegania wysokich standardów ochrony danych, regularnych audytów bezpieczeństwa i pełnej przejrzystości w zakresie przyjętych środków kontroli.

Ponadto incydent ten wzmacnia potrzebę inwestowania w architektura bezpieczeństwa w szczegółach W samej organizacji. Oto kilka praktycznych lekcji, których mogą nauczyć się dyrektorzy i menedżerowie IT:

  • Obowiązkowe uwierzytelnianie wieloskładnikowe: Upewnij się, że wszystkie uprawnienia dostępu (zarówno dla pracowników wewnętrznych, jak i dostawców) wymagają uwierzytelniania wieloskładnikowego (MFA) lub innych niezawodnych metod weryfikacji. Utrudni to niewłaściwe wykorzystanie skradzionych danych uwierzytelniających.

  • Segmentacja sieci i zasada najmniejszych uprawnień: Podziel krytyczne środowiska na różne segmenty sieci i ściśle ogranicz dostęp dla każdego użytkownika/systemu do niezbędnego minimum. W ten sposób, nawet jeśli dane uwierzytelniające zostaną naruszone, zasięg atakującego będzie ograniczony.

  • Ciągły monitoring i wykrywanie anomalii: Wdrażanie narzędzi SIEM oraz analiza behawioralna, która uruchamia alerty w czasie rzeczywistym w przypadku nietypowej aktywności (np. dużych przelewów wczesnym rankiem, dostępu z nietypowych lokalizacji). Automatyczne odpowiedzi, takie jak tymczasowe blokowanie podejrzanych kont (Kill Switch), może powstrzymać atak w ciągu pierwszych kilku minut.

  • Audyty i testy okresowe: Realizować Pentesty oraz regularne audyty integracji API, a także niezależne oceny bezpieczeństwa kluczowych dostawców. Symuluj scenariusze ataków, aby zidentyfikować słabe punkty, zanim zrobią to przestępcy.

  • Plany reagowania na incydenty: Miej jasny plan reagowania na incydenty z udziałem podmiotów zewnętrznych. Obejmuje on szybką komunikację z partnerami i władzami, redundancję (np. alternatywne kanały w przypadku awarii dostawcy) oraz wcześniejsze ustalenia dotyczące procedur awaryjnych.

Wzmocnienie bezpieczeństwa dzięki zaufanym partnerom

 

Przypadki takie jak ten ostatni atak wyraźnie pokazują, że cyberbezpieczeństwo musi być najwyższym priorytetem w strategii biznesowej, zwłaszcza w sektorze finansowym. Firmy nie mogą całkowicie zlecać odpowiedzialności za bezpieczeństwo na zewnątrz — kluczowe jest zachowanie aktywnej czujności i wymaganie wysokich standardów ochrony w całej sieci partnerskiej.

A Kryptus, krajowy lider w dziedzinie kryptografii i cyberbezpieczeństwa, pozycjonuje się jako sojusznik organizacji w tym wyzwaniu. Dzięki rozwiązaniom z zakresu bezpieczeństwa certyfikowane i szyte na miarę W sektorze finansowym Kryptus pomaga instytucjom wdrażać środki takie jak opisane powyżej, podnosząc poziom ochrony do poziomu odpowiadającego obronności narodowej. Nasz zespół ekspertów ściśle współpracuje z Państwa zespołem IT, aby eliminować luki, monitorować zagrożenia i… upewnij się, że zarówno Twoja firma, jak i Twoi dostawcy działają zgodnie z najlepszymi praktykami bezpieczeństwa.

Nie narażaj swojej instytucji na niebezpieczeństwo. Skontaktuj się z firmą Kryptus i dowiedz się, jak możemy pomóc chronić Twoją firmę przed zagrożeniami cybernetycznymi.

[email chroniony]

WhatsApp: + 55 19 3112-5008

MOŻE CI SIĘ RÓWNIEŻ SPODOBAĆ:
Kryptus rozszerza strukturę SOC w Brasilii, aby wzmocnić cyberbezpieczeństwo w sektorze publicznym i prywatnym
Centrum Operacji Bezpieczeństwa KRYPTUS (SOC) w Brasilii.

Kryptus, brazylijska firma międzynarodowa specjalizująca się w kryptografii i cyberbezpieczeństwie, zakończyła restrukturyzację swojego Czytaj więcej

Kryptus ostrzega, że ​​cyberbezpieczeństwo instytucji finansowych musi zaczynać się od środka
wpis na blogu 2024 11 19

Środki obejmują połączenie tradycyjnych i nowych rozwiązań opartych na zasadzie najmniejszych uprawnień Czytaj więcej