[Segurança] O maior crime cibernético da história do Brasil

Sim, como alguns portais de notícias já disseram, estamos frente ao maior caso de crime cibernético da história do Brasil, um ciberataque que pode ter gerado perdas na casa de alguns bilhões de reais.

O portal Brazil Journal foi o primeiro a noticiar, no final da terça-feira (01 de julho), que "um criminoso explorou a vulnerabilidade de um prestador de serviços e roubou mais de R$ 1 bilhão da conta de uma empresa que oferece soluções de conta transacional ao sistema financeiro".

A título de comparação, no famoso assalto ao cofre do Banco Central do Brasil em Fortaleza, em 2005, foram roubados "apenas" 164 milhões de reais (o equivalente a 75 milhões de dólares, na cotação da época).

Na fraude bilionária em questão, um típico caso de ataque à cadeia de suprimentos ("supply chain attack"), os criminosos invadiram os sistemas da empresa C&M Software e tiveram acesso não autorizado a plataforma de seis instituições financeiras, a partir das quais acessaram as contas de reserva delas no Banco Central do Brasil. A partir daí, eles conseguiram sacar o dinheiro para contas de laranjas.

A C&M Software, no caso, é uma empresa que presta serviços financeiros a bancos e fintechs, autorizada e supervisionada pelo Banco Central do Brasil - no jargão do mercado, ela é uma "Provedora de Serviços de Tecnologia da Informação" (PSTI). Segundo o Brazil Journal, ela é uma das "sete empresas deste tipo, autorizadas e supervisionadas pelo BC, que conectam 293 instituições à autoridade monetária". Ela disponibiliza acesso ao Sistema de Pagamentos Brasileiro (SPB), através de APIs e webservices, para realizar o processamento de transações financeiras entre bancos - como transferências via Pix, emissão e pagamento de boletos, DDAs, TEDs, etc. Segundo as reportagens sobre o caso, a empresa mais afetada pelo golpe foi a BMP, uma fintech que fornece serviços de "banking as a service", entre eles um sistema bancário "white label".

Tudo indica que o ataque ocorreu na madrugada do dia 30 de junho, foi detectado e contido no mesmo dia. Uma nota da BMP, compartilhada posteriormente em alguns grupos de whatsapp, indicou que nesse dia houve a interrupção temporária nas transações PIX em função de um ataque cibernético a um provedor de serviços - a C&M Sistemas, no caso. Assim que o ataque foi detectado, o Banco Central desligou a C&M do sistema, paralisando as transações PIX de alguns de seus clientes. A Polícia de São Paulo e a Polícia Federal foram acionadas.

Segundo reportagens da Brazil Journal e da Cointelegraph:

• Às 00:18 do dia 30 de junho as plataformas da SmartPay e Truther identificaram um movimento atípico de compra de criptomoedas;
• Às 04:00 do dia 30 de junho um executivo da BMP é notificado, por um executivo de outro banco, sobre um PIX de R$ 18 milhões realizados naquele momento.

No dia seguinte (01/07) a notícia surgiu primeiro no portal Brazil Journal e na sequencia pipocou em vários jornais país afora, e surgiram novos relatos de que o prejuízo estimado seria de R$ 400 milhões, um número bem abaixo do que foi apontado inicialmente. Entretanto, uma reportagem do UOL, citando fontes ligadas a investigação, disse que os números ainda estão sendo auferidos, mas especula-se que o prejuízo seja ainda maior, de até R$ 3 bilhões.

Uma reportagem do Brazil Journal dá uma luz melhor sobre essas estimativas: apenas da fintech BMP foram extraviados R$ 400 milhões, e na ocasião, a matéria destacou que as estimativas do Banco Central eram de que a estimativa do total roubado, de todas as instituições financeiras envolvidas, seria de R$ 800 milhões. A BMP alega que conseguiu recuperar R$ 160 milhões.

O vazamento do dinheiro se deu via PIX para diversas contas de laranja, que na sequencia foram enviados para exchanges de criptomoedas. O Banco Central identificou e suspendeu do Pix três instituições de pagamento que receberam a maior parte dos fundos roubados e não bloquearam os valores: Transfeera, Nuoro Pay e Soffy.

Segundo a Cointelegraph, os criminosos tentaram converter o dinheiro roubado em Bitcoin e USDT, mas em alguns casos não tiveram sucesso e chegaram a ter o dinheiro retido e retornado às vítimas. A matéria destaca que "após roubar o dinheiro, o hacker começou a movimentar os valores para diferentes provedores de criptomoedas que trabalham com Pix, como exchanges, gateways, sistemas de swap para cripto integrados com pix e mesas OTC, para comprar USDT e Bitcoin" - mas muitas delas negaram o cadastro e as transações. Citando o CEO da SmartPay e Truther, as duas plataformas identificaram um movimento atípico às 00:18 do dia 30 de junho - o que dá uma boa pista do horário do ataque: na madrugada de domingo para segunda-feira!

A Polícia Civil de São Paulo prendeu na noite de quinta-feira (03/07) o homem suspeito de facilitar ataque ao sistema financeiro. Segundo o Departamento Estadual de Investigações Criminais (Deic), o preso, João Nazareno Roque, é funcionário da empresa de tecnologia C&M Software, atuando como desenvolvedor back-end júnior, e deu acesso pela máquina dele ao sistema da empresa para os criminosos que efetuaram o ataque. Segundo a polícia, ele vendeu por R$ 5 mil a sua senha de acesso e depois, por mais R$ 10 mil, realizou comandos nos sistemas à mando dos crimnosos para permitir os desvios. Ele relatou ainda que só se comunicava com os criminosos por celular e não os conhece pessoalmente. O primeiro contato aconteceu em março desse ano, quando foi abordado na saída de um bar. Os comandos foram executados em maio desse ano.

Pela característica do ataque, essa foi uma operação que foi cuidadosamente planejada e exigiu participação de pessoas com conhecimento especializado do funcionamento do sistema financeiro brasileiro - tanto do ponto de vista técnico como processual. é um ataque que envolveu o acesso irregular ao "coração" do SPB, injetando transações fraudulentas diretamente nos sistemas. Tal ataque dificilmente poderia ser realizado por um grupo criminoso de fora, por exigir tanto conhecimento das particularidades de um sistema que só funciona no Brasil. As investigações mostram que o ataque estava sendo planejado desde, pelo menos, março desse ano. Além do mais, eles escolheram a dedo o horário do "bote": a madrugada de domingo para segunda-feira, 30/06, um horário que provavelmente haveria menor monitoramento dos sistemas.

Vale lembrar que o sistema financeiro, por dentro, é extremamente complexo, com muitas partes envolvidas e tecnologias distintas. Para um simples PIX ou um pagamento de boleto ocorrer, diversas empresas são envolvidas, com papéis distintos.

A grosso modo, o Banco Central possui uma rede que interconecta todos os bancos, a Rede do Sistema Financeiro Nacional (RSFN), utilizada para a troca de informações das transações entre os bancos. Essa rede é quem faz a comunicação do Sistema de Pagamentos Brasileiro (SPB). Os bancos se conectam à RSFN diretamente ou através de empresas que vendem o serviço de conectividade, outras que possuem plataformas que fazem a troca de mensagens ("messageria"), e por aí vai.

Segundo o Banco Central, o problema foi contido. A BMP declarou que nenhum cliente foi afetado e que o impacto se restringiu aos próprios fundos operacionais.

Vale destacar, com um pequeno tom de sarcasmo, o posicionamento da comunidade de segurança. Felizmente não vi qualquer profissional realmente sério e conhecido dando depoimentos imprecisos na imprensa. Mas, nos grupos de whatsapp, pipocavam os comentários mais aleatórios possíveis, com muito palpite e adivinhação, uma pitada de fofoca ("conheço alguém envolvido na investigação que disse que...") mas pouca base real. Como sempre, nosso mercado se alimenta e retroalimenta de muito FUD e desinformação.

Rapidamente logo nos primeiros dias alguns "especialistas" apontaram que o ataque teria sido realizado pelo grupo "Plump Spider", e que todo o modus operandi condizia com o grupo (detalhe: na ocasião, não havia qualquer indicação de como o ataque teria ocorrido).

Ou seja, dentre centenas (ou milhares?) de grupos cibercriminosos brasileiros, alguns com ligações com o crime organizado, existem apenas 2 ou 3 catalogados pela gringolândia. Será que essa pressa de algumas pessoas ao atribuir o ataque ao Plump Spider é fruto de análise precisa, ou puro comodismo?

Para saber mais:

• Principais notícias sobre o incidente:
• EXCLUSIVO: Hackers levam mais de R$ 1 bilhão de ‘banking as a service’
• Ataque ao sistema financeiro
• Hackers roubam R$ 1 bilhão em contas do sistema financeiro nacional e tentam converter em Bitcoin e USDT
• Ataque hacker à C&M: prejuízo pode ser ainda maior
• Na madrugada, um PIX de R$ 18 milhões. Começava o assalto
• A anatomia de um crime: CEO da BMP conta, passo a passo, os bastidores do roubo que fez R$ 400 milhões sumirem da conta da empresa
• Horário, foco em bitcoin, insistência: as pistas que ajudaram a revelar ataque contra empresa que liga bancos ao PIX
• BC suspende do Pix os participantes Transfeera, Nuoro Pay e Soffy (atualização)
• Sobre a prisão do funcionário da C&M Software que teria facilitado o acesso dos criminosos:
• Polícia Civil prende em SP suspeito de ataque hacker ao sistema que liga bancos ao PIX
• Preso por ataque ao sistema financeiro vendeu por R$ 15 mil senha a hackers e trocava de celular a cada 15 dias
• De eletricista a pivô de um golpe milionário no sistema financeiro: saiba quem é o operador de TI que vendeu senha a hackers
• Hackers desviam ao menos R$ 400 milhões após invadirem empresa que conecta instituições ao Pix
• Hackers invadem empresa ligada ao Pix e desviam ao menos R$ 400 milhões
• Ataque hacker ao sistema financeiro: o que se sabe sobre o golpe e quais os próximos passos
• PF investiga ataque hacker a empresa de tecnologia que presta serviço a bancos nacionais
• PF abre inquérito para apurar ataque a sistemas de instituições financeiras; BC não foi afetado
• Nota do Banco Central: A suspensão cautelar da C&M foi substituída por uma suspensão parcial

• O Roubo Cibernético C&M/BMP: Anatomia de uma Falha Sistémica e o Novo Paradigma para a Segurança Financeira no Brasil
• Ibovespa cai 0,36% com recuo de bancos após ataque hacker à C&M Software
• Veja a lista dos maiores ataques cibernéticos ao sistema financeiro do país
• Merece o prêmio de melhor título sensacionalista: 'Como Casa de Papel': como hacker roubou R$ 3 bilhões de 'cofre reserva'
• Como algumas pessoas correram em atribuir o ataque ao grupo brasileiro "Plump Spider", seguem algumas informações sobre eles:
• Análise da Crowdstrike sobre o grupo (acesso restrito a clientes): Plump Spider
• Reportagem no Tecmundo: Plump Spider, o grupo hacker que ataca brasileiros com golpes sofisticados
• Plump Spider: Análise Técnica e Estratégica de um Grupo de Ameaça Avançada Contra o Setor Financeiro Brasileiro
• Informações interessantes sobre a Rede do Sistema Financeiro Nacional (RSFN) e o SPB:
• Comunicação eletrônica de dados no sistema financeiro
• Sistema de Pagamentos Brasileiro (SPB)
• Sistema de Pagamentos Instantâneos (SPI)
• Infraestruturas do mercado financeiro
• Manual da C&M Software (PDF): Homologação do plano de negócio do PSTI C&M Software
• Piloto de Reservas
• Notas oficiais da BMP:

PS: A Apura, Axur e Tempest produziram relatórios de inteligência sobre o incidente, que foram compartilhados com a comunidade.