O Brasil acaba de registrar o maior caso de fraude cibernética de sua história, com prejuízos estimados entre R$ 800 milhões e R$ 3 bilhões. O alvo foi a C&M Software, empresa nacional que presta serviços essenciais ao sistema financeiro, utilizada por pelo menos seis instituições para operações de liquidação interbancária no Banco Central.

O ataque ocorreu na madrugada de 30 de junho e, segundo relatório da Apura Cyber Intelligence, começou com um ponto frágil: o vazamento de credenciais de um desenvolvedor júnior, identificado como João Nazareno Roque. A partir desse acesso inicial, o grupo criminoso mapeou a infraestrutura da C&M, obteve novas credenciais e certificados digitais, e realizou dezenas de transferências fraudulentas via PIX no Sistema de Pagamentos Instantâneo (SPI).

As transações foram feitas fora do horário comercial, direcionadas a contas em instituições de menor porte - mais vulneráveis em controles de prevenção a fraudes, e rapidamente convertidas em criptomoedas como USDT e Bitcoin, dificultando o rastreio.

O “mapa” do ataque

O relatório de quase 30 páginas da Apura detalha a sequência da invasão:

1. Acesso inicial – aliciamento do funcionário e uso de credenciais legítimas.

2. Reconhecimento e mapeamento – levantamento da infraestrutura e coleta de novas chaves e certificados.

   Continua após a publicidade

   

3. Execução – transações PIX fraudulentas em nome das instituições.

4. Dispersão dos fundos – envio para dezenas de contas e conversão em criptomoedas.

Lições e recomendações

A Apura classificou o caso como inédito no país pela ousadia e complexidade técnica, destacando que o episódio representa um novo nível de risco para o sistema financeiro. Entre as medidas sugeridas para prevenção, estão:

• Fortalecimento proativo das defesas para reduzir a superfície de ataque.

• Capacidade avançada de detecção e resposta para agir rapidamente diante de ameaças.

• Inteligência acionável de ameaças para antecipar e rastrear ataques.

• Gestão de riscos na cadeia de suprimentos com controles rigorosos sobre fornecedores.

Para o especialista Anchises Moraes, da Apura, a cibersegurança não se limita à tecnologia:

“Boa parte do risco está no fator humano. É preciso investir em conscientização, gestão de identidades e inteligência de ameaças para adaptar-se rapidamente a novos cenários”.

A Polícia Federal conduz as investigações com apoio do Banco Central, enquanto a Polícia Civil de São Paulo apura ramificações do crime. A C&M Software segue temporariamente desligada do Sistema de Pagamentos Brasileiro (SPB).