setembro 01, 2025

[Segurança] Novo golpe milionário contra o sistema financeiro brasileiro! (com meme)

Déjà vu???

Na tarde de sexta-feira, 29/08 começou a circular em alguns grupos de WhatsApp da galera de cibersegurança uma mensagem supostamente enviada pelo Banco Central, direcionada às instituições financeiras, alertando sobre um suposto novo ataque ao sistema financeiro, aparentemente direcionado ao banco HSBC:
#URGENTE#
Ataque ao Banco HSBC BANCO 269 ISPB 53518684
Após às 11:00 saíram PIX de valores expressivos
Devido ataque a essa instituição
O PIX foi tirado do ar com isso não será possível devolução via MED nesse momento
Peço pfv a todos comunicar ao monitoramento para bloqueio dos valores recebidos Observação Bradesco adquiriu o HSBC que se tornou Kirton Bank
#sextafeiradamaldade

Muita preocupação começou a surgir na sexta-feira e logo no sábado de manhã veio a bomba!!! Conforme reportado primeiro pelo portal Neofeed, cibercriminosos invadiram os sistemas da Sinqia, uma das principais provedoras de sistemas de core bancário, e conseguiram desviar milhões de reais via diversas transferências via PIX. Até aquele momento, foram identificados desvios em contas do banco HSBC. A reportagem compartilhou uma nota oficial da Sinqia, que dizia entre outras coisas:
No dia 29 de agosto, a Sinqia detectou atividade suspeita no ambiente Pix. Nossa equipe agiu rapidamente e iniciou uma investigação para determinar a causa do incidente. Estamos trabalhando com o apoio dos melhores especialistas forenses nisto. Já estamos em contato com clientes afetados, que compreendem um número limitado de instituições financeiras.
Neste momento, verificamos que o incidente se limita apenas ao ambiente Pix. Não há evidências de atividade suspeita em nenhum outro sistema da Sinqia além do Pix e esse problema afeta apenas a Sinqia no Brasil. Além disso, neste momento, não temos indicação de que quaisquer dados pessoais tenham sido comprometidos.
Enquanto nossa investigação ainda está em andamento, colocamos em prática um plano detalhado para alcançar uma restauração completa. Primeiro, isolamos o ambiente Pix de todos os outros sistemas da Sinqia e o desconectamos proativamente do Banco Central, enquanto conduzimos nossa análise.
Em segundo lugar, por precaução, estamos trabalhando ativamente para reconstruir os sistemas afetados em um novo ambiente com monitoramento e controles aprimorados. Também estamos trabalhando com especialistas externos adicionais para nos ajudar a acelerar esse processo e complementar os recursos de nossa própria equipe. Depois que o ambiente for reconstruído e estivermos confiantes de que está pronto para ser colocado de volta em funcionamento, o Banco Central irá revisá-lo e aprová-lo antes de colocá-lo novamente online. (...)
Sim, prestes a completar 2 meses após o caso da C&M Software, o golpe bilionário ocorrido no final de julho, vemos o cenário se repetir! Esse novo ataque envolvendo a Sinqia em muito se assemelha ao ataque à C&M software - embora ainda não há informações suficientes para conectar os dois casos.

Mais esse caso de ataque milionário às empresas que fornecem tecnologia para o sistema financeiro está deixando a galera da área desesperada!

O HSBC confirmou o incidente em nota oficial:

Os relatos variam entre 400 milhões de reais, R$ 670 milhões, 800 milhões ou até 1 bilhão de reais. Olha que curioso: em 2023 a Sinqia foi comprada pela porto-riquenha Evertec, em uma transação de R$ 2,5 bilhões - ou seja, o prejuízo do golpe pode representar quase metade do valor da compania!

Segundo uma reportagem no G1, o ataque provocou o desvio de cerca de R$ 420 milhões por meio de transferências realizadas via Pix, sendo desviados R$ 380 milhões do banco HSBC e outros R$ 40 milhões da instituição financeira Artta. O Banco Central conseguiu bloquear R$ 350 milhões desse total desviado.

Nota oficial da Artta, divulgada em 30/08:


Mas uma matéria publicada no portal Neofeed, o primeiro a noticiar esse novo grande golpe milionário contra o sistema financeiro brasileiro, "há indícios de que pelo menos R$ 800 milhões estiveram no alvo dos criminosos e 20 instituições foram afetadas."

Provando que não existe nada sigiloso que não apareça nos grupos de whatsapp, já circulou inclusive uma suposta lista com as instituições financeiras que foram roubadas!

As investigações ainda estão em andamento e vou atualizar esse post sempre que surgir alguma novidade relevante.

Em paralelo, o Banco Central está prometendo aumentar a eficiência do MED e e a Receita Federal vai aumentar os controles sobre as Fintechs. O MED, na verdade, nunca teve utilidade prática mesmo pois os criminosos movimentam o dihneiro mais rápido do que a vítima consegue denunciar e o banco consegue investigar. Nem mesmo o próprio Banco Central conseguiu usar o MED para recuperar o dinheiro roubado no ataque da C&M Software, rs.

Uma matéria publicada em 02/09 no jornal Valor traz novas informações baseadas em uma nota oficial da Sinqia, que começam a trazer mais luzes sobre o ocorrido:
  • Aproximadamente R$ 710 milhões em transações foram processadas indevidamente, impactando duas instituições financeiras clientes da Sinqia;
  • Os resultados preliminares da investigação forense da empresa indicam que as transações não autorizadas foram introduzidas ao ambiente Pix por meio da exploração de credenciais legítimas de fornecedores de tecnologia da informação da Sinqia;
  • A empresa acredita que o incidente se limitou ao ambiente Pix da Sinqia e não identificou nenhuma atividade não autorizada em nenhum outro sistema.
Essas informações constam no Relatório "8-K" enviado pela Evertec à SEC em 02/09.

Como resumiu muito bem o InfoMoney: "O volume de recursos desviados do Pix no ataque hacker à empresa de tecnologia Sinqia já chega a cerca de R$ 710 milhões — inicialmente, estimava-se R$ 420 milhões. Foram R$ 669 milhões desviados do HSBC e R$ 41 milhões da sociedade de crédito direto (SCD) Artta. Desse montante, R$ 589 milhões já foram bloqueados pelo Banco Central, o que corresponde a 83% do valor."

O InfoMoney também destaca algo interessante: "Em relação ao destino das transferências, no caso da Sinqia, ao contrário do ataque via C&M, a maioria dos valores foi para contas em grandes bancos, um indicativo de que é necessário apertar as regras para todos, e não apenas para fintechs, explicam interlocutores."

A Apura divulgou um mapeamento baseado no MITRE ATT&CK:



O Felipe Pr0teus fez um questionamento bem provocativo em seu Linkedin: se duas das 7 PSTIs ativas, segundo o Banco Central, já foram invadidas e causaram prejuízos milionários, será que as demais também já não estão comprometidas?


Meme? Já temos!


Referências:
PS: Pequena atualização em 01/09. Atualizado com dados relevantes em 02/09. Nova atualização em 03/09.

PS/2: O Banco Central tem uma página com as informações técnicas sobre o sistema financeiro, que inclui também a lista com as 7 PSTIs aprovadas e as 2 homologadas pela instituição: ABBC, C&M Software, cokei, JD Consultores, MAPS, Sinqia, Stark, Tivit e Topaz.

PS3: Em 02/09 soubemos de mais um golpe contra uma instituição financeira, envolvendo desvios da conta reserva, mas que aparentemente não está relacionado à invasão da C&M Software nem da Sinqia. Veja aqui no blog: Terceiro ataque ao sistema financeiro brasileiro!
#corramparaasmontanhas

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.