Na última terça-feira, 1º, uma invasão hacker atingiu uma empresa que presta serviços para diversas instituições financeiras, a C&M Software. Os responsáveis pelo ataque conseguiram desviar valores depositados em contas reservas da C&M no Banco Central (BC), e, segundo o Brazil Journal, as cifras podem ter chegado a até R$ 1 bilhão.

+ Após ataque hacker, C&M Software recebe autorização para retomar serviços parcialmente

A empresa afirmou que ‘executou todas as medidas previstas nos protocolos de segurança’, incluindo comunicação direta com os clientes afetados.

Em um artigo publicado no seu site, a a C&M nega responsabilidade pelo incidente e diz que foi vítima de uma “ação criminosa externa”, originada a partir da violação do ambiente de um cliente, cujas credenciais de integração foram indevidamente utilizadas.

“A CMSW é vítima da ação criminosa, tanto pelo uso fraudulento de seus serviços quanto pela exposição gerada por credenciais externas comprometida”, diz a empresa. “Não houve invasão direta aos sistemas da CMSW. Os sistemas críticos seguem íntegros e operacionais.”

Segundo a prestadora de serviços, o ataque foi executado a partir de uma simulação fraudulenta de integração, em que um terceiro usou as credenciais legítimas de um cliente para acessar os serviços como se fosse uma instituição financeira autorizada.

Mas afinal, qual é a engenharia por trás de um ataque dessa escala e quais medidas são tomadas para evitá-los?

Setor financeiro na mira

Mesmo com forte investimento em segurança, companhias que atuam no ecossistema financeiro continuam entre os principais alvos de grupos cibercriminosos.

Os casos simples envolvem o uso de deepfake para fazer reconhecimento facial e de voz nos bancos, ou disparo de SMS para enganar clientes e colaboradores visando acesso privilegiado (tática conhecida como phishing).

Já grupos mais experientes e ambiciosos preferem evitar as barreiras de segurança dos grandes bancos e acabam se infiltrando ‘pelas bordas’. 

“Hoje em dia, prestadores de serviço, fintechs, integradores ou empresas que mantêm conexões operacionais com os sistemas bancários centrais entraram na mira dos invasores”, explica Marcos Tadeu, diretor de Engenharia da Cohesity, consultoria de proteção e gerenciamento de dados corporativos.

O caso da C&M é um exemplo emblemático dessa abordagem, que envolveu o uso indevido de credenciais para acessar contas no Banco Central. 

“[A C&M] É um fornecedor terceirizado, que provavelmente possuía pontos de entrada com menor defesa, mas que tinha acesso privilegiado ao sistema financeiro”, detalha.

Matheus Jacyntho, diretor de Cybersecurity na Protiviti, consultoria especializada em gestão de riscos e compliance, destaca que o ataque revela falhas críticas na gestão de credenciais e no controle de fornecedores terceirizados.

“Caso se confirme que o criminoso utilizou credenciais vazadas, reforçamos a máxima: ‘o atacante não invade, ele apenas faz login’”, afirma.

Segundo ele, é possível que algum colaborador tenha sido vítima de um golpe de engenharia social, como um e-mail de phishing, e tenha inserido seu login e senha em um site malicioso.

Jacyntho ressalta que, de acordo com as primeiras informações, ainda não está claro se esses dados foram obtidos por meio de vazamentos anteriores ou ataques de engenharia social. “O fato é que, com essas credenciais em mãos, os hackers conseguiram se passar por operadores legítimos”.

A invasão às contas reserva do Banco Central, viabilizada por uma falha crítica na infraestrutura da integradora C&M Software, é um alerta severo — talvez o mais contundente dos últimos anos — sobre a fragilidade dos bastidores técnicos que sustentam o sistema financeiro nacional.

Para Alexander Coelho, sócio do Godke Advogados e especialista em Direito Digital e Cibersegurança, não se trata de um erro pontual em uma fintech ou de uma falha de aplicativo. “Estamos falando de uma brecha explorada dentro do próprio ecossistema de liquidação do BC, algo que deveria ser blindado por camadas rigorosas de segurança, governança e supervisão”, alerta.

Corrida contra o tempo

Durante um ataque, o tempo é o recurso mais crítico, já que a contenção de danos exige desligamento de sistemas, ou como no caso da C&M, um isolamento total feito pelo Banco Central.

Segundo Tadeu, a resposta ideal nesse tipo de situação segue quatro etapas essenciais:

  • Isolar sistemas afetados e revogar credenciais
  • Preservar evidências e checar vazamento de dados
  • Restauração a partir de backups seguros
  • Aprender e fortalecer os sistemas com base nos erros

O último ponto pode ser considerado um dos mais importantes e mostra que o prejuízo causado por um ataque também pode ensinar.

Aprendendo com os erros

Em 2024, a prefeitura de Itu foi alvo de um ataque cibernético devastador que comprometeu todos os sistemas hospedados nos servidores internos. Como não havia um plano de recuperação validado, os danos se estenderam por dias, exigindo reconstrução do zero.

Poucos meses depois, foi a vez da prefeitura de Pirajuí, onde os hackers exigiram R$ 1 milhão e criptografaram todos os sistemas críticos do município, com uma diferença: os erros de Itu ajudaram a solidificar novos métodos de defesa, como backups isolados, além do uso de IA para detecção comportamental.

Graças ao time de cibersegurança, a prefeitura conseguiu restabelecer seus sistemas em poucas horas porque mantinha backups atualizados e segregados.

Portanto, mesmo com o prejuízo quase bilionário, o ataque a C&M pode ter sido determinante para que empresas do setor financeiro aprendam com os erros e evitem prejuízos futuros.

“A grande lição é simples, mas crítica: não basta ter backup. É preciso garantir que ele esteja protegido, imutável, validado e disponível em tempo real. Isso define a diferença entre um incidente e uma crise sistêmica”, finaliza Marcos.

*Com informações de Estadão Conteúdo