Mundo

Polícia Confirma 1 Preso – Tudo Que Se Sabe Até Agora Sobre O Ataque Hacker

Foto de João das Bets João das Bets4 de julho de 2025
191 10 minutos de leitura
o que se sabe sobre o ataque hacker de 1 bilhão
o que se sabe sobre o ataque hacker de 1 bilhão

Cronologia, Criptomoedas e Estratégia

O setor financeiro brasileiro foi sacudido por um terremoto cibernético no início de julho de 2025, com um ataque de proporções alarmantes à C&M Software, provedora de serviços de Banking-as-a-Service (BaaS). Este incidente, classificado por especialistas como um dos mais graves já registrados no país, expôs vulnerabilidades críticas na infraestrutura que sustenta a inovação financeira, levantando sérias questões sobre a segurança do Pix, do SPB (Sistema de Pagamentos Brasileiro) e da crescente dependência de terceiros no ecossistema bancário.

Enquanto as investigações da Polícia Federal e do Banco Central avançam, e a C&M Software luta para restabelecer a confiança, é crucial entender a magnitude do ataque, as falhas exploradas e as implicações para o futuro do setor financeiro. Neste post, compilamos todas as informações disponíveis até o momento, analisando o incidente em detalhes e apresentando as principais lições aprendidas, com base em fontes diversas, incluindo o Boletim de Segurança detalhado divulgado pela Asper e as últimas notícias da Polícia Civil de São Paulo.

O Que Aconteceu: Cronologia de um Desastre Anunciado

No dia 1º de julho de 2025, a C&M Software detectou um comportamento anômalo em seus sistemas: ordens de transferência “fora do padrão” estavam sendo originadas, direcionadas para contas de reserva junto ao Banco Central. A C&M Software, atuando como um hub BaaS, conecta diversas fintechs e bancos ao SPB e ao Pix, permitindo que essas instituições ofereçam serviços financeiros sem a necessidade de construir uma infraestrutura bancária própria.

A falha permitia que requisições maliciosas fossem tratadas como legítimas, abrindo a porta para o desvio bilionário das contas de reserva mantidas no Banco Central. Fontes indicam que mais de R$ 1 bilhão deixou a conta da BMP (Banco Money Plus) em questão de minutos, enquanto outras instituições sofreram perdas menores.

Diante da gravidade da situação, a C&M notificou o Banco Central, que agiu prontamente, desconectando a empresa de toda a infraestrutura do SPB e mobilizando sua equipe de resposta a incidentes. A Polícia Federal também foi acionada para iniciar uma investigação criminal.

Primeira Prisão: Funcionário Terceirizado do BC Envolvido no Ataque

Em um novo e alarmante desenvolvimento, a Polícia Civil de São Paulo prendeu na quinta-feira (3) um homem suspeito de envolvimento no ataque hacker. Segundo informações do G1, o preso, João Nazareno Roque, é funcionário de uma empresa terceirizada do Banco Central e teria dado acesso pela máquina dele ao sistema sigiloso do banco aos hackers que efetuaram o ataque. De acordo com a polícia, ele confirmou informalmente que entregou a sua senha.

Essa prisão levanta sérias questões sobre a segurança dos sistemas do Banco Central e a responsabilidade das empresas terceirizadas que têm acesso a informações sensíveis. Se confirmado, o envolvimento de um funcionário terceirizado no ataque demonstra a importância de medidas de segurança rigorosas, incluindo a verificação de antecedentes de funcionários e o monitoramento constante de acesso aos sistemas.

As Pistas Que Revelaram o Ataque: Um Quebra-Cabeça de Movimentações Suspeitas

Enquanto o ataque se desenrolava, um detalhe crucial chamou a atenção de uma startup de criptomoedas, a SmartPay, sediada em Santa Catarina. Na madrugada da segunda-feira, 30 de junho, a empresa detectou um volume incomum de movimentações e tentativas de compra de bitcoins, desencadeando um alerta interno.

Segundo informações do G1, a SmartPay começou a suspeitar quando uma conta recém-criada movimentou R$ 6 milhões via Pix e tentou comprar esse valor em bitcoins. Esse valor expressivo, combinado com a grande quantidade de novas contas na plataforma durante a madrugada, acionou os alertas automáticos da SmartPay e chamou a atenção dos funcionários que monitoram as transações.

Rocelo Lopes, CEO da SmartPay, relatou que a quantidade de novos usuários e os valores transferidos estavam muito acima do normal para as madrugadas. Além disso, muitos pedidos de transferência foram feitos em um curto período de tempo, cerca de duas horas.

Outro ponto de atenção foi que parte dos pedidos de compra de criptomoedas foi feita em contas de clientes antigos da SmartPay, que já tinham recebido um “sinal amarelo” nos sistemas da startup por comportamentos suspeitos no passado. Além disso, esses clientes, que normalmente negociavam a criptomoeda Tether (USDT), estavam comprando bitcoins naquele dia.

Essas pistas, combinadas, levantaram a suspeita de que algo estava errado e levaram a SmartPay a bloquear novas movimentações das contas envolvidas e acionar as instituições financeiras. Essa ação rápida pode ter evitado um prejuízo ainda maior e ajudado a revelar o golpe milionário.

Os Atores Envolvidos: Quem São e Qual o Seu Papel

Para entender o alcance do ataque, é fundamental conhecer os principais atores envolvidos:

  • C&M Software: O hub BaaS comprometido, responsável por fornecer a infraestrutura de mensageria que conecta fintechs e bancos ao Banco Central.
  • BMP (Banco Money Plus): A principal vítima do ataque, com uma perda bilionária em sua conta de reserva. O Pix de R$ 6 milhões que chamou a atenção da SmartPay partiu do sistema da BMP, confirmando que a fintech foi uma das prejudicadas no ataque hacker.
  • Banco Central do Brasil: O regulador do sistema financeiro, responsável por isolar a C&M do SPB e coordenar a resposta ao incidente. A prisão do funcionário terceirizado coloca em xeque a segurança dos sistemas do BC e a supervisão das empresas contratadas.
  • João Nazareno Roque: Funcionário de empresa terceirizada do BC, preso sob suspeita de ter dado acesso aos sistemas sigilosos do banco aos hackers.
  • Polícia Federal e PC-SP: Os órgãos responsáveis pela investigação criminal.
  • Exchanges de Criptoativos (SmartPay): A startup SmartPay desempenhou um papel crucial ao detectar as movimentações suspeitas e bloquear as contas envolvidas, contribuindo para a contenção do dano.
  • Outras Instituições Clientes da C&M: Além da BMP, outras quatro instituições não identificadas publicamente e a Credsystem foram afetadas pelo ataque.

O Vetor de Ataque: Como os Hackers Penetraram nas Defesas

Com base no Boletim de Segurança da Asper e nas informações divulgadas até o momento, as análises iniciais apontam para a seguinte cadeia de intrusão:

  1. Acesso Inicial aos Sistemas do BC (Possivelmente Facilitado pelo Funcionário Terceirizado): O envolvimento de um funcionário terceirizado, João Nazareno Roque, sugere que o acesso inicial aos sistemas do Banco Central pode ter sido facilitado por meio da entrega de senhas ou outras credenciais.
  2. Execução Remota de Código (RCE) no Middleware de Mensageria: O Boletim da Asper identifica que a C&M Software operava um message broker Java (ActiveMQ 5.x) vulnerável ao CVE-2023-46604, uma falha que permite RCE via protocolo OpenWire.
  3. Escalonamento de Privilégios e Furto de Credenciais: Com acesso ao servidor, os atacantes vasculharam o sistema em busca dos keystores (.pfx / .jks) que contêm os certificados cliente usados para autenticar cada banco no SPB. O Boletim da Asper destaca que esses arquivos estavam acessíveis no disco, sem proteção de HSM (Hardware Security Module), permitindo a extração das chaves privadas.
  4. Forja de Mensagens de Pagamento: Utilizando os certificados legítimos, os invasores geraram instruções de transferência diretamente contra as contas de reserva das instituições conectadas (principalmente a BMP). Como o SPB confia nas credenciais, as transações foram processadas sem detecção, e parte do dinheiro foi desviada e convertida em criptoativos via Pix.

Vulnerabilidades Ativas: As Portas Abertas para o Crime Cibernético

O ataque à C&M Software não foi um evento isolado. Ele expôs uma série de vulnerabilidades que persistem no ecossistema BaaS, listadas em detalhes no Boletim de Segurança da Asper, incluindo:

  • CVE-2023-46604 (Apache ActiveMQ RCE): A falha de deserialização insegura no protocolo OpenWire ainda presente em versões antigas do ActiveMQ.
  • CVE-2025-31324 (SAP Visual Composer Zero-Day): Upload arbitrário de arquivos sem autenticação, permitindo a execução de webshells internos.
  • CVE-2025-30016 (SAP Financial Consolidation): Falha de autenticação que permite o takeover de conta admin no módulo contábil.
  • Armazenamento Inseguro de Credenciais e Certificados: Chaves SPB armazenadas em arquivos sem proteção de HSM ou mTLS obrigatório.
  • Vulnerabilidades em APIs de Open Finance/FAPI: Falta de binding de token ao certificado e ausência de assinatura JWS, permitindo a modificação de payloads.

Fraquezas de Arquitetura: Amplificando o Dano

Além das vulnerabilidades técnicas, o ataque revelou fraquezas críticas na arquitetura do sistema BaaS, identificadas no Boletim da Asper:

  • Concentração de Risco: Múltiplas fintechs dependem de um único gateway (C&M) para se comunicar com o BC, transformando-o em um ponto único de falha.
  • Ausência de HSM/Token Binding: Chaves privadas armazenadas em disco, permitindo que um invasor com acesso ao sistema copie o arquivo e opere “na porta da frente”.
  • Monitoramento Insuficiente de Liquidação: Contas de reserva movimentando valores atípicos sem gatilho de verificação humana.
  • Falta de MFA nas Pontas de Mensageria: O SPB confia apenas no certificado, sem um segundo fator de autenticação para ordens de alto valor.

O Impacto Financeiro: Uma Ferida Aberta no Setor

O valor exato desviado ainda está sendo apurado, mas as estimativas variam entre R

400milho~eseR400milho~eseR

 800 milhões, de acordo com fontes da TV Globo. Seis instituições que utilizavam a C&M como gateway foram afetadas, com a BMP concentrando a maior parte do prejuízo.

Embora nenhum correntista final tenha perdido dinheiro (as quantias desviadas saíram das contas de reserva), o impacto financeiro é significativo, especialmente para a BMP. A empresa declarou possuir colaterais para cobrir 100% do valor, mas o incidente certamente abalará sua reputação e suas operações.

A ação da SmartPay em detectar e bloquear as movimentações suspeitas com criptomoedas minimizou o impacto financeiro final. No entanto, a tentativa de converter os fundos em criptomoedas demonstra a sofisticação dos criminosos e a necessidade de uma resposta coordenada entre os setores financeiro e de criptoativos.

A Resposta ao Incidente: Contendo o Dano e Buscando Soluções

A resposta ao ataque foi rápida e coordenada:

  • A C&M Software identificou as ordens de liquidação suspeitas e comunicou o fato ao Banco Central.
  • O BC determinou o desligamento imediato da C&M das infraestruturas do SPB e do Pix.
  • A Polícia Federal abriu inquérito criminal e integrou-se à força-tarefa com o BC e a Polícia Civil de SP. A prisão de um funcionário terceirizado do BC é um novo e preocupante desenvolvimento na investigação.
  • A BMP publicou nota oficial confirmando o ataque e garantindo que seus clientes não foram afetados.
  • Plataformas de criptoativos, como a SmartPay, ajudaram a conter o dano, bloqueando contas e devolvendo somas “relevantes” de dinheiro.
  • A C&M revogou todos os certificados e iniciou uma auditoria independente.
  • O Banco Central abriu processo administrativo para apurar possíveis falhas de governança na C&M e sinalizou que poderá endurecer os requisitos de cibersegurança para provedores BaaS.

Lições Aprendidas e Recomendações para o Futuro

O ataque à C&M Software serve como um catalisador para uma revisão profunda da segurança do ecossistema BaaS. As principais lições aprendidas, detalhadas no Boletim de Segurança da Asper, incluem:

  • A Segurança de Terceiros é Crucial: As instituições financeiras precisam garantir que seus provedores de serviços terceirizados adotem padrões de segurança equivalentes aos seus, incluindo HSMs, mTLS, patching ágil e monitoramento de transações em tempo real.
  • A Arquitetura BaaS Precisa Ser Reforçada: É fundamental reduzir a concentração de risco, implementar mecanismos de token binding e monitorar continuamente as contas de reserva.
  • A Regulamentação Precisa Evoluir: O Banco Central precisa endurecer os requisitos de cibersegurança para provedores BaaS, exigindo testes de invasão periódicos, uso obrigatório de HSMs e planos de contingência formalmente comprovados.
  • Segurança dos Sistemas do Banco Central: O possível envolvimento de um funcionário terceirizado expõe a necessidade de medidas de segurança mais rigorosas nos sistemas do Banco Central, incluindo verificações de antecedentes, monitoramento de acesso e autenticação multifatorial.
  • O Papel Crucial das Empresas de Criptoativos: A atuação da SmartPay demonstra a importância de empresas de criptoativos implementarem mecanismos de detecção de fraudes e colaborarem com as autoridades para combater o crime cibernético.

Com base nessas lições, o Boletim de Segurança da Asper oferece uma série de recomendações práticas para provedores BaaS, bancos/fintechs e reguladores:

  • Atualizar Imediatamente o ActiveMQ: Corrigir a vulnerabilidade CVE-2023-46604.
  • Isolar a Fila OpenWire: Restringir o acesso às portas e aplicar mutual TLS com certificados de curta duração.
  • Implementar Falco e Suricata: Detectar em tempo real a exploração RCE ou tentativas de web-shell.
  • Migrar Chaves .pfx/.jks para HSM: Impedir a exfiltração de chaves, mesmo se o host for comprometido.
  • Automatizar a Rotação de Certificados: Reduzir o tempo útil de certificados vazados.
  • Exigir MFA Forte para Acesso Administrativo: Bloquear o reuso de senhas e SSHs herdados.
  • Aplicar Patches SAP: Corrigir as vulnerabilidades CVE-2025-31324 e CVE-2025-30016.
  • Implementar FAPI 1.0 Advanced: Fortalecer as APIs de Open Finance e Pix.
  • Testar BOLA: Corrigir escopos frouxos de OAuth.
  • Implementar Rate-Limit e Dual-Control: Exigir aprovação fora da banda para ordens SPB/Pix que ultrapassem o P99 histórico do canal.
  • Utilizar Outlier Detection Baseado em ML: Identificar transações anormais por valor/destinatário.
  • Correlacionar Logs: Monitorar a execução de comandos suspeitos, leitura de keystores e tráfego egressado.
  • Ingerir Diariamente IOCs: Utilizar fontes de inteligência de ameaças para identificar atividades maliciosas.
  • Manter Backup da Rota Direta ao SPB: Assegurar a continuidade das operações em caso de falha no gateway principal.
  • Realizar Pen-Tests e Red Teams Anuais: Validar a eficácia das medidas de segurança.
  • Contratar Seguro Cibernético Específico para Conta de Reserva: Proteger contra perdas financeiras decorrentes de ataques cibernéticos.
  • Definir Runbooks RACI: Assegurar uma resposta coordenada em caso de incidente.

O Que Se Sabe Até Agora: Um Cenário em Evolução

Enquanto as investigações prosseguem, o cenário continua em evolução. No entanto, algumas informações adicionais surgiram:

  • A C&M Software Retomou as Operações: Após implementar medidas para mitigar o risco de novos incidentes, a C&M Software obteve autorização do Banco Central para retomar suas operações sob um “regime de produção controlada”.
  • A C&M Nega Responsabilidade: A empresa alega ter sido vítima de uma “ação criminosa externa”, originada a partir da violação do ambiente de um cliente.
  • Mais Instituições Financeiras Foram Afetadas: Além da BMP, a Credsystem e o Banco Paulista também confirmaram terem sido afetadas pelo ataque.
  • Prisão de Funcionário Terceirizado do BC: A Polícia Civil prendeu João Nazareno Roque, funcionário de uma empresa terceirizada do Banco Central, sob suspeita de ter dado acesso aos sistemas sigilosos do banco aos hackers.

Conclusão: Um Despertar para a Cibersegurança no Setor Financeiro

O ataque à C&M Software é um divisor de águas para o setor financeiro brasileiro. Ele demonstrou de forma inequívoca que o modelo Banking-as-a-Service pode se transformar em um ponto único de falha, expondo todo o sistema financeiro a riscos significativos.

A resposta rápida e coordenada das autoridades e das empresas envolvidas evitou um impacto potencialmente sistêmico. No entanto, o incidente serve como um alerta: a próxima tentativa pode ser ainda mais destrutiva se as mesmas vulnerabilidades permanecerem ativas.

A adoção imediata das correções críticas listadas neste artigo, com base nas recomendações do Boletim de Segurança da Asper, somada a auditorias periódicas, planos de contingência e requisitos regulatórios mais rígidos para gateways de mensageria, é o caminho mais curto para restaurar a confiança e fortalecer a resiliência do SPB, do Pix e de todo o mercado BaaS brasileiro. O futuro do setor financeiro depende da capacidade de aprender com este incidente e investir em uma cibersegurança robusta e proativa. A revelação do possível envolvimento de um funcionário terceirizado do Banco Central intensifica a necessidade de reavaliação da segurança dos sistemas do BC e da supervisão das empresas contratadas. Este não é o fim da história, mas sim o início de uma nova era de conscientização e ação no combate ao crime cibernético no setor financeiro.

Continuaremos a atualizar este post com novas informações à medida que estiverem disponíveis.

Créditos: Este artigo foi elaborado com base em informações de diversas fontes, incluindo o Boletim de Segurança da Asper, notícias do G1 e outras fontes de notícias especializadas no setor financeiro.

Etiquetas
Foto de João das Bets João das Bets4 de julho de 2025
191 10 minutos de leitura
Foto de João das Bets

João das Bets

"Sou um escritor movido pela paixão por tecnologia, apostas e inteligência artificial. Adoro explorar e compartilhar conhecimentos, traduzindo ideias complexas em conteúdo acessível e inspirador. Sempre em busca de novas formas de conectar pessoas com inovação."

Artigos relacionados

bs2 comprou a paag

BS2 Anuncia Compra da Paag: Expansão no Mercado de Bets em 2025

8 de abril de 2025
imagem mostrando que é proibido menor de idade fazer apostas

Apostas no Brasil: A Crescente Epidemia entre Adolescentes e Adultos!

9 de abril de 2025
conor mcgregor

Conor McGregor perde aposta de R$ 3 milhões no UFC 314: Entenda o que aconteceu

15 de abril de 2025
imagem de um hacker que comete crimes financeiros

Polícia Federal Inverte Posicionamento Sobre Legalização de Cassinos no Brasil| Impacto, Controvérsia e Impulsione o Turismo

24 de maio de 2025
Botão Voltar ao topo