No dia 30 de junho deste ano, o Brasil enfrentou o maior crime cibernético de sua história. A empresa C&M Software (CMSW), fornecedora crítica de infraestrutura financeira autorizada pelo Banco Central, foi comprometida por um grupo criminoso que desviou bilhões de reais através do sistema de pagamentos instantâneos PIX.
O incidente não apenas revela a dimensão dos riscos associados à digitalização do sistema financeiro, mas também os riscos ligados à cadeia de suprimentos e a força da engenharia social nos ataques cibernéticos.
Março de 2025 – Um funcionário da C&M Software, desenvolvedor júnior, é abordado em um bar e aceita entregar suas credenciais em troca de R$ 5.000.
Maio de 2025 – O mesmo funcionário executa comandos nos sistemas da empresa para habilitar o acesso remoto dos atacantes.
11 de junho de 2025 – É constituída a empresa de fachada Monexa Gateway de Pagamentos, que durante o ataque receberá transferências de R$ 45 milhões.
30 de junho de 2025 – O grupo criminoso lança a operação: centenas de transações fraudulentas via PIX são executadas durante a madrugada.
2 de julho de 2025 – A Polícia Federal abre investigação, com apoio do Banco Central.
Mecanismo do ataque
O vetor de intrusão teve origem no uso indevido de credenciais internas, obtidas por meio de engenharia social aplicada a um funcionário da C&M.
Uma vez dentro, os atacantes mapearam a infraestrutura da plataforma Corner, identificando artefatos críticos de autenticação e credenciais compartilhadas por instituições financeiras clientes.
O grupo obteve acesso a chaves privadas e certificados digitais necessários para assinar transações via PIX em nome das entidades afetadas. Isso permitiu injetar ordens legítimas no Sistema de Pagamentos Instantâneos (SPI) sem acionar alertas.
Os recursos desviados foram inicialmente direcionados para contas em instituições de pagamento de menor porte, com controles mais frágeis de KYC.
Em seguida, foram fragmentados e convertidos em criptomoedas, na tentativa de anonimizar o rastro financeiro.
Impacto do incidente
O valor exato ainda não foi confirmado. Estimativas preliminares variam entre USD 80 milhões e USD 800 milhões. Mesmo no cenário mais baixo, trata-se da maior fraude cibernética já registrada no Brasil.
Operação
Entre os dias 30 de junho e 3 de julho, diversas instituições que dependem da C&M Software ficaram impossibilitadas de processar transações, gerando efeitos em cadeia para empresas e usuários finais.
O ataque abalou a confiança no PIX e no ecossistema de pagamentos instantâneos, além de colocar sob escrutínio a segurança dos PSTI autorizados pelo Banco Central.
Perfil do grupo criminoso
As evidências apontam para um grupo criminoso brasileiro, composto por pelo menos cinco pessoas com:
- Conhecimento avançado do Sistema de Pagamentos Brasileiro (SPB).
- Capacidades técnicas para manipular certificados e credenciais.
- Recursos para planejar a operação durante meses.
- Por enquanto, descarta-se a participação de atores estrangeiros ou hacktivistas: o crime teve motivação claramente financeira.
Fatores estruturais que facilitaram o ataque
Dependência de terceiros críticos (PSTI): centralização de chaves e certificados em provedores externos.
Superfície de ataque ampliada: múltiplas instituições financeiras conectadas a uma mesma plataforma.
Controles internos deficientes: credenciais com privilégios excessivos e falta de monitoramento contínuo.
KYC frágil em instituições de menor porte: facilitando a lavagem e dispersão de recursos.
Recomendações estratégicas
Um dos fatores chave para evitar esses ataques é o fortalecimento proativo das defesas, incluindo a segmentação de redes internas e o controle estrito de privilégios, lembrando o princípio do mínimo privilégio, bem como a rotação frequente e a gestão segura de credenciais e certificados. Sugere-se o desenvolvimento de capacidade de detecção e resposta avançada, com monitoramento em tempo real e correlação de eventos em Centros de Operações de Segurança (SOC) e CSIRTs. Inteligência de ameaças: outra recomendação é a incorporação de fontes de Threat Intelligence sobre fraudes financeiras e modelos de hunting proativo de atividades anômalas em fornecedores.
Na gestão da cadeia de suprimentos, é fundamental realizar auditorias periódicas, garantir o cumprimento dos padrões obrigatórios de cibersegurança definidos e aplicar controles contratuais mais rigorosos sobre o armazenamento e o uso de certificados digitais e informações críticas.
Por fim, é fundamental lembrar que é essencial trabalhar com a equipe em processos de conscientização e capacitação contínua em segurança da informação. Para isso, é recomendável implementar programas de treinamento adaptados aos diferentes níveis da organização — executivos, técnicos e usuários finais —, de modo que cada perfil receba conteúdos relevantes para sua função. Da mesma forma, é crucial desenvolver campanhas periódicas de sensibilização que mantenham a atenção ativa diante de ameaças como phishing, engenharia social ou ransomware, fortalecendo assim a cultura de segurança em toda a instituição.
Conclusões
O caso C&M Software constitui um ponto de inflexão na cibersegurança financeira do Brasil.
Ele demonstra que o risco não provém apenas de vulnerabilidades técnicas, mas também da possível exploração de insiders, dos elos frágeis de certas cadeias de suprimentos e da gestão deficiente de credenciais críticas.
A sofisticação do ataque e seu impacto sistêmico exigem uma revisão profunda do modelo atual de dependência de fornecedores. A resiliência de um sistema dependerá da capacidade de segmentar riscos, aplicar controles adequados e implementar padrões de segurança atualizados.
Fonte: Acesse o relatório completo de Bttng Apura aqui.
