setembro 01, 2025

[Segurança] Novo golpe milionário contra o sistema financeiro brasileiro! (com meme)

Déjà vu???

Na tarde de sexta-feira, 29/08 começou a circular em alguns grupos de WhatsApp da galera de cibersegurança uma mensagem supostamente enviada pelo Banco Central, direcionada às instituições financeiras, alertando sobre um suposto novo ataque ao sistema financeiro, aparentemente direcionado ao banco HSBC:
#URGENTE#
Ataque ao Banco HSBC BANCO 269 ISPB 53518684
Após às 11:00 saíram PIX de valores expressivos
Devido ataque a essa instituição
O PIX foi tirado do ar com isso não será possível devolução via MED nesse momento
Peço pfv a todos comunicar ao monitoramento para bloqueio dos valores recebidos Observação Bradesco adquiriu o HSBC que se tornou Kirton Bank
#sextafeiradamaldade

Muita preocupação começou a surgir na sexta-feira e logo no sábado de manhã veio a bomba!!! Conforme reportado primeiro pelo portal Neofeed, cibercriminosos invadiram os sistemas da Sinqia, uma das principais provedoras de sistemas de core bancário, e conseguiram desviar milhões de reais via diversas transferências via PIX. Até aquele momento, foram identificados desvios em contas do banco HSBC. A reportagem compartilhou uma nota oficial da Sinqia, que dizia entre outras coisas:
No dia 29 de agosto, a Sinqia detectou atividade suspeita no ambiente Pix. Nossa equipe agiu rapidamente e iniciou uma investigação para determinar a causa do incidente. Estamos trabalhando com o apoio dos melhores especialistas forenses nisto. Já estamos em contato com clientes afetados, que compreendem um número limitado de instituições financeiras.
Neste momento, verificamos que o incidente se limita apenas ao ambiente Pix. Não há evidências de atividade suspeita em nenhum outro sistema da Sinqia além do Pix e esse problema afeta apenas a Sinqia no Brasil. Além disso, neste momento, não temos indicação de que quaisquer dados pessoais tenham sido comprometidos.
Enquanto nossa investigação ainda está em andamento, colocamos em prática um plano detalhado para alcançar uma restauração completa. Primeiro, isolamos o ambiente Pix de todos os outros sistemas da Sinqia e o desconectamos proativamente do Banco Central, enquanto conduzimos nossa análise.
Em segundo lugar, por precaução, estamos trabalhando ativamente para reconstruir os sistemas afetados em um novo ambiente com monitoramento e controles aprimorados. Também estamos trabalhando com especialistas externos adicionais para nos ajudar a acelerar esse processo e complementar os recursos de nossa própria equipe. Depois que o ambiente for reconstruído e estivermos confiantes de que está pronto para ser colocado de volta em funcionamento, o Banco Central irá revisá-lo e aprová-lo antes de colocá-lo novamente online. (...)
Sim, prestes a completar 2 meses após o caso da C&M Software, o golpe bilionário ocorrido no final de julho, vemos o cenário se repetir! Esse novo ataque envolvendo a Sinqia em muito se assemelha ao ataque à C&M software - embora ainda não há informações suficientes para conectar os dois casos.

Mais esse caso de ataque milionário às empresas que fornecem tecnologia para o sistema financeiro está deixando a galera da área desesperada!

O HSBC confirmou o incidente em nota oficial:

Os relatos variam entre 400 milhões de reais, R$ 670 milhões, 800 milhões ou até 1 bilhão de reais. Olha que curioso: em 2023 a Sinqia foi comprada pela porto-riquenha Evertec, em uma transação de R$ 2,5 bilhões - ou seja, o prejuízo do golpe pode representar quase metade do valor da compania!

Segundo uma reportagem no G1, o ataque provocou o desvio de cerca de R$ 420 milhões por meio de transferências realizadas via Pix, sendo desviados R$ 380 milhões do banco HSBC e outros R$ 40 milhões da instituição financeira Artta. O Banco Central conseguiu bloquear R$ 350 milhões desse total desviado.

Nota oficial da Artta, divulgada em 30/08:


Mas uma matéria publicada no portal Neofeed, o primeiro a noticiar esse novo grande golpe milionário contra o sistema financeiro brasileiro, "há indícios de que pelo menos R$ 800 milhões estiveram no alvo dos criminosos e 20 instituições foram afetadas."

Provando que não existe nada sigiloso que não apareça nos grupos de whatsapp, já circulou inclusive uma suposta lista com as instituições financeiras que foram roubadas!

As investigações ainda estão em andamento e vou atualizar esse post sempre que surgir alguma novidade relevante.

Em paralelo, o Banco Central está prometendo aumentar a eficiência do MED e e a Receita Federal vai aumentar os controles sobre as Fintechs. O MED, na verdade, nunca teve utilidade prática mesmo pois os criminosos movimentam o dihneiro mais rápido do que a vítima consegue denunciar e o banco consegue investigar. Nem mesmo o próprio Banco Central conseguiu usar o MED para recuperar o dinheiro roubado no ataque da C&M Software, rs.

Uma matéria publicada em 02/09 no jornal Valor traz novas informações baseadas em uma nota oficial da Sinqia, que começam a trazer mais luzes sobre o ocorrido:
  • Aproximadamente R$ 710 milhões em transações foram processadas indevidamente, impactando duas instituições financeiras clientes da Sinqia;
  • Os resultados preliminares da investigação forense da empresa indicam que as transações não autorizadas foram introduzidas ao ambiente Pix por meio da exploração de credenciais legítimas de fornecedores de tecnologia da informação da Sinqia;
  • A empresa acredita que o incidente se limitou ao ambiente Pix da Sinqia e não identificou nenhuma atividade não autorizada em nenhum outro sistema.
Essas informações constam no Relatório "8-K" enviado pela Evertec à SEC (a Comissão de Valores Mobiliários dos Estados Unidos) em 02/09. A Evertec é controladora da Sinqia.

Como resumiu muito bem o InfoMoney: "O volume de recursos desviados do Pix no ataque hacker à empresa de tecnologia Sinqia já chega a cerca de R$ 710 milhões — inicialmente, estimava-se R$ 420 milhões. Foram R$ 669 milhões desviados do HSBC e R$ 41 milhões da sociedade de crédito direto (SCD) Artta. Desse montante, R$ 589 milhões já foram bloqueados pelo Banco Central, o que corresponde a 83% do valor."

O InfoMoney também destaca algo interessante: "Em relação ao destino das transferências, no caso da Sinqia, ao contrário do ataque via C&M, a maioria dos valores foi para contas em grandes bancos, um indicativo de que é necessário apertar as regras para todos, e não apenas para fintechs, explicam interlocutores."

A Apura divulgou um mapeamento baseado no MITRE ATT&CK:


Uma reportagem do jornal Valor, publicada em 04/09, entre outras coisas disse que, segundo o Banco Central, as credenciais de autenticação das instituições financeiras, necessárias para aprovar as transações PIX, estavam em poder das PSTIs (aparentemente, no caso da C&M e da Sinqia).

O portal O Bastidor listou os 11 bancos que receberam o dinheiro desviado no ataque da Sinqia. A lista inclui grandes bancos como Itaú, Caixa, Banco do Brasil, Bradesco, Safram, Santander e C6 Bank.

O Felipe Pr0teus fez um questionamento bem provocativo em seu Linkedin: se duas das 7 PSTIs ativas, aprovadas e homologadas pelo Banco Central, já foram invadidas e causaram prejuízos milionários, será que as demais também já não estão comprometidas? Elas seriam as próximas vítimas?


OBS: Quem olhar o post dele lá no Linkedin, vai ver que o nome de uma dessas empresas foi omitido, rs. Eu tirei o screenshot antes dessa atualização no post!

No dia 12 de setembro a Polícia Federal prendeu em flagrante oito suspeitos pelos ataques recentes contra o sistema financeiro nacional, envolvendo a C&M Software e a Sinqia. Segundo relatado pela imprensa, as investigações indicam que, no momento da prisão, os acusados se preparavam para praticar outro golpe, desta vez envolvendo a Caixa Econômica Federal. Todos são jovens, com idades entre 22 e 46 anos: o preso apontado como líder do grupo tem 39 anos.

Segundo a imprensa, a PF chegou aos suspeitos após um funcionário da agência da Caixa Econômica Federal no Largo da Concórdia, no Brás (São Paulo), avisar que um computador da agência contendo uma senha de acesso à VPN (Rede Privada Virtual) seria furtado. Os agentes identificaram e seguiram os suspeitos.


Em resposta a esses ataques recentes ao sistema financeiro nacional, no dia 05/09 o Banco Central anunciou uma série de medidas para reforçar os processos e protocolos de segurança das instituições financeiras. Entre as novas regras, o BC aumentou as exigências regulatórias, e também estabeleceu um limite de R$ 15 mil no valor das operações de TED e Pix para instituições de pagamento não autorizadas e para as instituições que se conectam ao sistema financeiro por meio das PSTIs (Prestadores de Serviços de Tecnologia da Informação). Além disso, o BC passou a obrigar as instituições financeiras a rejeitar pagamentos para contas suspeitas de envolvimento em fraudes. (isso não é obvio? precisava de uma orientação do Banco Central para isso!?)

Resultado imediato: 3 bancos foram atacados no dia seguinte!!!

No dia 23/09 a Apura Cyber Intelligence fez uma live sobre todos esses incidentes: Ameaças cibernéticas ao sistema financeiro 2025. Ela também disponibilizou um relatório detalhado, que pode ser baixado gratuitamente: Ameaças cibernéticas ao sistema financeiro 2025: análise e perspectiva.



Meme? Já temos!


Referências:
PS: Pequena atualização em 01/09. Atualizado com dados relevantes em 02/09. Nova atualização em 03, 05, 08, 16, 19, 24 e 25/09.

PS/2: O Banco Central tem uma página com as informações técnicas sobre o sistema financeiro, que inclui também a lista com as 7 PSTIs aprovadas e as 2 homologadas pela instituição: ABBC, C&M Software, cokei, JD Consultores, MAPS, Sinqia, Stark, Tivit e Topaz.

PS3: Em 02/09 soubemos de mais um golpe contra uma instituição financeira, envolvendo desvios da conta reserva, mas que aparentemente não está relacionado à invasão da C&M Software nem da Sinqia. Veja aqui no blog: Terceiro ataque ao sistema financeiro brasileiro!
#corramparaasmontanhas

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.