A C&M, uma prestadora de serviços que atende diversas instituições financeiras, sofreu um ataque hacker no último fim de semana, que foi confirmado publicamente pela companhia na quarta-feira, 2.

+ IOF: Moraes suspende decisões do governo e do Congresso e marca audiência de conciliação

O roubo ganhou grande notoriedade porque os valores chegam a centenas de milhões. Uma das instituições atingidas, a BMP, diz que suas perdas passam de R$ 500 milhões.

A C&M foi desconectada dos sistemas do Banco Central (BC) imediatamente após o caso, mas teve os serviços reestabelecidos na quinta-feira,3.

A companhia atendia clientes grandes, como Banco Carrefour, XP e Minerva – dos quais nenhum destes foi afetado.

Veja abaixo as informações mais recentes sobre o caso.

De quanto foi o prejuízo

O valor total exato no qual as contas atreladas à C&M foram lesadas ainda não foi definido. Até então, conforme detalhado em entrevista coletiva de imprensa feita pela Polícia Civil, o prejuízo de apenas uma empresa foi confirmado, da BMP.

O valor confirmado é de R$ 541 milhões. As outras empresas com contas atreladas à C&M ainda apuram prejuízo.

Estimativa preliminares do Banco Central apontam que foram mais de R$ 800 milhões drenados de oito contas de instituições financeiras e também não-financeiras.

Em um primeiro momento, fontes chegaram a apontar ao Brazil Journal que o montante desviado poderia chegar a R$ 1 bilhão.

Prisão de suspeito

Na noite de quinta-feira, 3, a Polícia de São Paulo prendeu um suspeito envolvido na invasão. Segundo informações da Polícia Civil, o suspeito detido é João Nazareno Roque, trabalhava na C&M como Operador de TI terceirizado. “Ele foi um facilitador do golpe, ajudando outros integrantes do esquema a invadir o sistema. Agora estamos atrás dos outros envolvidos”, afirmou o delegado.

As investigações apontam que ele teria facilitado a ação criminosa permitindo o uso de suas credenciais ‘por demais indivíduos’ que fizeram transferências eletrônicas em grande volume.

João Nazareno Roque, de 48 anos, trabalhava como operador de TI da C&M, uma empresa de tecnologia que conecta bancos menores e fintechs aos sistemas Pix do Banco Central, segundo a GloboNews.

Ele foi preso no bairro City Jaraguá, zona norte de São Paulo.

Em depoimento ao DEIC, o funcionário relatou que o primeiro contato ocorreu em março, quando um homem o abordou na rua e demonstrou conhecer detalhes sobre seu trabalho.

Dias depois, ele teria recebido uma ligação via WhatsApp com a proposta de entregar suas credenciais em troca de R$ 5 mil. Depois do pagamento, João Nazareno forneceu login e senha corporativos. Cerca de duas semanas depois, criou uma conta na plataforma Notion para receber instruções sobre como operar o sistema remotamente e, em seguida, passou a executar comandos a partir do próprio computador.

Segundo relatou em depoimento, João recebeu dois pagamentos:

  • R$ 5 mil pelo fornecimento do login e senha corporativos da empresa C&M. O pagamento foi feito via motoboy, que também recolheu os dados de acesso;
  • R$ 10 mil por continuar inserindo comandos no sistema a partir do próprio computador. Esse segundo valor também foi pago em notas de R$ 100,00, novamente por meio de um motoboy.

Como medida de cunho reparatório, foi deferido o bloqueio de R$ 270 milhões de uma conta utilizada para recepcionar os valores milionários desviados, segundo a nota.

A C&M Software informou nesta sexta que segue colaborando com as autoridades competentes nas investigações sobre o incidente. “Reforçamos que a CMSW não foi a origem do incidente e permanece plenamente operacional, com todos os seus produtos e serviços funcionando normalmente”, diz a nota da empresa (veja a íntegra abaixo).

A C&M Software foi criada na década de 1990, e é especializada em sistemas que conectam bancos e fintechs ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix.

Quem foi afetado

Até então, três instituições confirmaram que sofreram impacto do ataque hacker: credsystem, Banco Paulista e BMP. A credsystem sofreu impactos diretos e seus clientes perderam acesso ao sistema Pix.

Isso ocorre porque as empresas afetadas ficaram sem acesso ao sistema de pagamentos instantâneo assim que o BC retirou a C&M dos seus sistemas.

O Banco Paulista também teve intercorrências com o Pix, por conta de uma interrupção temporária, mas a falha não gerou movimentações indevidas.

A BMP informou que o ataque envolveu exclusivamente recursos depositados na sua conta reserva no Banco Central, e que já adotou todas as medidas operacionais e legais cabíveis.

O Banco Central foi afetado?

Uma fonte próxima ao Banco Central disse ao Brazil Journal que os sistemas do BC estão íntegros e não foram atacados.

Em nota enviada à imprensa, o BC disse que ‘nem a C&M, nem os seus representantes e empregados, atuam como seus terceirizados ou com ele mantêm vínculo contratual de qualquer espécie’.

“A empresa é uma prestadora de serviços para instituições provedoras de contas transacionais”, declarou a autarquia.

O que aconteceu?

Os sistemas da C&M foram invadidos e diversas contas foram acessadas, incluindo uma conta da BMP, uma operadora de Banking as a Service (BaaS).

Hackers invadiram os sistemas da companhia usando credenciais válidas e exploraram uma vulnerabilidade no sistema de comunicação entre a C&M e o Sistema de Pagamentos Brasileiro (SPB).  O BC frisou que os sistemas administrados pela instituição não foram afetados.

Dinheiro pode ter sido convertido em criptomoedas

A investigação vai apurar se os criminosos teriam convertido o dinheiro roubado em criptomoedas.

Nesse caso, os valores teriam sido movimentados para diferentes plataformas de criptomoedas usando exchanges, sistemas de swap e mesas OTC integradas ao Pix.

Em ao menos um desses casos de envio de remessas, um dos provedores considerou a movimentação atípica, bloqueou transações e alertou a BMP.

Segundo apuração da Folha de S. Paulo, a Smartpay considerou uma movimentação de R$ 100 mil para comprar USDT, algo anormal, dado que a companhia foi criada recentemente. A criptomoeda em específico tem o dólar como âncora.

A movimentação foi percebida ainda na madrugada de segunda-feira, 30. A companhia então entrou em contato com a BMP para averiguar o caso do ataque hacker.

Leia a íntegra da nota da C&M

Desde o primeiro momento, foram adotadas todas as medidas técnicas e legais cabíveis, mantendo os sistemas da empresa sob rigoroso monitoramento e controle de segurança.

A estrutura robusta de proteção da CMSW foi decisiva para identificar a origem do acesso indevido e contribuir com o avanço das apurações em curso.

Até o momento, as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso, e não de falhas nos sistemas ou na tecnologia da CMSW.

Reforçamos que a CMSW não foi a origem do incidente e permanece plenamente operacional, com todos os seus produtos e serviços funcionando normalmente.

Em respeito ao trabalho das autoridades e ao sigilo necessário às investigações, a empresa manterá discrição e não se pronunciará publicamente enquanto os procedimentos estiverem em andamento.

A CMSW reafirma seu compromisso com a integridade, a transparência e a segurança de todo o ecossistema financeiro do qual faz parte princípios que norteiam sua atuação ética e responsável ao longo de 25 anos de história