A recente invasão aos sistemas da C&M Software está sendo considerada o maior ataque hacker já registrado contra instituições financeiras no Brasil. Essa situação está impactando diretamente as operações de diversas empresas, trazendo preocupações ao setor.
No último sábado, o Banco Central decidiu suspender as operações do Pix em três instituições financeiras que, segundo as investigações, podem ter recebido valores desviados durante o ataque. As empresas afetadas são a Transfeera, a Soffy e a Nuoro Pay. O objetivo dessa medida é proteger o sistema de pagamentos enquanto se apuram os detalhes sobre o desvio de aproximadamente R$ 800 milhões de oito entidades que utilizavam os serviços da C&M Software.
A Transfeera confirmou que a funcionalidade do Pix foi desativada na sua plataforma, mas que os demais serviços continuam ativos. Já as fintechs Soffy e Nuoro Pay ainda não deram retorno sobre o caso.
Relembre o caso
Para entender a gravidade do ataque, é bom voltar a 30 de junho, quando a C&M Software sofreu uma invasão significativa. A empresa, que conecta bancos menores e fintechs à infraestrutura do Banco Central, viu os hackers conseguirem acesso às contas reservas de várias instituições. Durante um curto espaço de tempo, eles desviaram cerca de R$ 800 milhões.
O delegado Paulo Barbosa, da Polícia Civil de São Paulo, mencionou em uma coletiva que esse é um caso sem precedentes de fraude online contra instituições financeiras. A investigação revelou que o esquema começou em março, quando João Nazareno Roque, um operador de TI da C&M, foi abordado por criminosos que se interessaram por suas credenciais. Ele acabou sendo preso e confessou que vendeu essas informações por R$ 5 mil, além de ter recebido R$ 10 mil para ajudar a criar o software utilizado na invasão.
Na manhã do dia 30 de junho, entre 4h e 7h, os invasores se passaram pelas instituições financeiras e emitiram ordens fraudulentas de transferência via Pix. A BMP, uma empresa de banking-as-a-service, foi uma das mais prejudicadas, com perdas superiores a R$ 400 milhões de sua conta no Banco Central. Essa foi a primeira empresa a registrar um boletim de ocorrência, revelando a escala do ataque.
Assim que o dinheiro foi roubado, os criminosos correram para convertê-lo em criptomoedas, visando dificultar o rastreamento. Um estudo feito pelo analista de blockchain ZachXBT indica que entre US$ 30 milhões e US$ 40 milhões foram trocados por Bitcoin, Ethereum e Tether (USDT) antes que as autoridades pudessem congelar as contas. Até agora, uma carteira com cerca de R$ 270 milhões (próximo a US$ 50 milhões) já foi bloqueada.
