Ataque hacker ao sistema financeiro: o que se sabe sobre o golpe e quais os próximos passos

BC ainda não informou o nome das instituições afetadas. Não há confirmação oficial sobre os valores envolvidos, mas as fontes da TV Globo estimam que o valor pode atingir R $ 800 milhões. “É muito preocupante”, diz um especialista em ataques de hackers à empresa que conecta o PIX System da BC um ataque cibernético que afetou pelo menos seis instituições financeiras fez com que o mercado financeiro se mexesse na quarta -feira passada (2). De acordo com o Banco Central do Brasil (BC), a C&M Software (CMSW) – uma empresa de tecnologia que conecta bancos menores aos sistemas BC Pix – relatou um ataque a suas infraestruturas. Segundo a empresa, os criminosos usavam credenciais como senhas de seus clientes para tentar acessar seus sistemas e serviços de forma fraudulenta. Isso permitiu acesso inadequado a informações e contas de reserva de pelo menos seis instituições financeiras. O BC ainda não relatou o nome de todas as instituições afetadas. Também não há confirmação oficial sobre os valores envolvidos no ataque, mas as fontes da TV Globo estimam que o valor pode atingir US $ 800 milhões. Entenda neste relatório o que é conhecido e o que ainda está faltando sobre o ataque de hackers. O que o software C&M faz? O que aconteceu? Quem foi afetado? Como esse ataque aconteceu? Como os criminosos agem? Qual foi o impacto do ataque? Esse tipo de ataque é comum no Brasil? O que deve acontecer agora? O que o software C&M faz? A C&M Software é uma empresa brasileira de tecnologia da informação (TI) focada no mercado financeiro. Entre os serviços prestados pela Companhia está a conectividade com o Banco Central e a integração com o Sistema de Pagamento Brasileiro (SBP). Na prática, isso significa que a empresa atua como uma ponte para que as instituições financeiras menores possam se conectar aos sistemas BC e executar operações – como o PIX, por exemplo. A empresa possui desempenho nacional e internacional e foi aprovada pelo BC para esta função desde 2001. Atualmente, oito outras empresas também são aprovadas no país. Retornar ao índice. O que aconteceu? O software C&M relatou ao banco central um ataque às suas infraestruturas digitais. O incidente permitiu acesso inadequado a contas de reserva de pelo menos seis instituições financeiras conectadas à empresa. Contas de reserva são contas que os bancos e as instituições financeiras mantêm no BC. Essas contas atuam como uma conta corrente e são usadas para processar os movimentos financeiros das instituições. Essas contas ainda servem como um recurso de recursos que os bancos precisam manter no BC para garantir que cumpram suas obrigações financeiras. Eles também trabalham para que as empresas possam participar de operações com o próprio BC – como empréstimos de liquidez, títulos do governo e depósitos obrigatórios (valores obrigatórios mantidos pelos bancos no BC). Ainda não há confirmação oficial sobre os valores envolvidos no ataque, mas as fontes da TV Globo estimam que o valor pode atingir US $ 800 milhões. Retornar ao índice. Quem foi afetado? O BC ainda não relatou o nome de todas as instituições afetadas. Um dos conhecidos é a BMP, uma empresa que fornece infraestrutura para plataformas bancárias digitais e é um cliente do software C&M. O BMP foi quem emitiu uma nota sobre o incidente. “O incidente de segurança cibernética comprometeu a infraestrutura da C&M e permitiu que a má conduta reserve contas de seis instituições financeiras, incluindo o BMP”, diz a nota da empresa. O jornal “Valor Econônico” indicou que Credsystem e Banco Paulista também estavam entre as instituições afetadas. Retornar ao índice. Como esse ataque aconteceu? A C&M Software (CMSW) informou que os criminosos usaram as credenciais de clientes mal utilizadas para acessar seus sistemas e serviços de maneira fraudulenta. Com isso, eles tiveram acesso às contas de reserva de instituições financeiras e possivelmente a outras informações. Esse ataque é conhecido pelo mercado como um ataque da cadeia de suprimentos. Nele, os invasores acessam sistemas de terceiros usando credenciais (como senhas) privilegiadas para executar operações financeiras. “Os criminosos exploraram a confiança estabelecida entre os bancos e seus fornecedores para se infiltrar indiretamente no ecossistema financeiro”, explica Hiago Kin, presidente do Instituto Brasileiro de Resposta a Incidentes Cibernéticos (IBRINC). De acordo com Micaella Ribeiro, especialista em identidades e acessos de Iam Brasil, o ataque ocorreu em várias fases. Fase 1: Compromisso de acesso De acordo com a Ribeiro, o compromisso do acesso ao CMSW provavelmente aconteceu por meio de engenharia social com funcionários ou suporte técnico, no qual foi induzida a instalação de software de acesso remoto ou entrega de credenciais. Engenharia social é quando os criminosos usam influência ou persuasão para manipular as vítimas para revelar senhas ou instalar aplicativos maliciosos. Fase 2: Persistência e reconhecimento interno O especialista explica que os invasores exploraram o ambiente comprometido, coletando usuários, senhas, estruturas do sistema e acesso ao acesso com scripts automatizados, mas ainda sem gerar alarmes. Fase 3: Exploração de sistemas de produção Com os acessos certos, os criminosos teriam obtido a entrada administrativa em sistemas financeiros sensíveis, especialmente contas de liquidação, contas de reserva ou ambientes com permissões de movimento. Fase 4: execução rápida e monetização As transações foram realizadas de maneira rápida e externa. Além disso, diz o especialista, os valores provavelmente foram convertidos em criptografia e redistribuídos. “Esse movimento foi feito por vários agentes, indicando um ecossistema criminal estruturado”, diz Micaella Ribeiro. Retornar ao índice. Como os criminosos agem? Em vez de atacar diretamente cada instituição financeira, os criminosos concentram os esforços em vulnerabilidades ou falhas de segurança na infraestrutura do provedor de serviços. Também é possível que eles tenham explorado falhas conhecidas, mas ainda não corrigidas (as chamadas “vulnerabilidades não atribuídas” ou dia zero), ou até acessadas por métodos físicos ou por meio de engenharia social, quando alguém é manipulado para fornecer informações confidenciais. A obtenção dessas credenciais pode ter ocorrido através do phishing, um tipo de golpe em que os criminosos enviam e-mails ou mensagens falsas, mas personalizadas, para enganar os funcionários do provedor de serviços, explica Hiago Kin. Retornar ao índice. Qual foi o impacto do ataque? Embora as instituições indiquem que não houve danos às contas e informações de seus clientes, os especialistas alertam sobre impactos significativos no próprio sistema financeiro. Além da perda financeira estimada de R $ 800 milhões, Micaela também destaca três tipos de impacto: reputação, com a exposição de empresas usando sistemas CMSW; Sistêmico, que acendeu um aviso por falhas no gerenciamento do acesso privilegiado e à segurança da cadeia de suprimentos; Operacional, que destacou a “necessidade urgente” de revisão dos acessos. Retornar ao índice. Esse tipo de ataque é comum no Brasil? Segundo Hiago Kin, esse tipo de crime, em larga escala, geralmente ocorre duas ou três vezes por ano. “Geralmente, os casos são abafados pelas instituições porque decidem absorver os danos e interromper as informações sob investigação”, diz ele. Segundo ele, desta vez a repercussão foi maior porque mais de uma instituição foi afetada. “Geralmente, essas instituições têm seguro cibernético milionário que o cobre”, acrescenta. Retornar ao índice. O que deve acontecer agora? Após o incidente, na quarta-feira, o BC disse que determinou a demissão de acesso a instituições financeiras afetadas às infraestruturas operadas por CMSW. Essa suspensão de precaução imposta pelo BC à empresa foi substituída por uma suspensão parcial na quinta -feira (3). “A decisão foi tomada depois que a empresa adotou medidas para mitigar a possibilidade de novos incidentes”, disse o BC. Após a divulgação do ataque, a polícia federal abriu um inquérito para investigar o que aconteceu. As informações foram confirmadas ao Globonews na quarta -feira pelo diretor geral da organização, Andrei Rodrigues. Procurado, o PF relatou apenas que “não fala sobre investigações em andamento”. A Polícia Civil de São Paulo também iniciou uma investigação através da Delegacia de Polícia da Divisão de Crimes Cibernéticos do Departamento de Investigações Criminais (Deic). “A investigação está em andamento e tem como objetivo identificar os responsáveis ​​pelo crime, além de rastrear os valores subtraídos”, disse a polícia civil. “As etapas técnicas e operacionais estão em andamento e, devido à complexidade e natureza do caso, mais detalhes não serão divulgados neste momento. A Polícia Civil de São Paulo reforça seu compromisso com a luta contra crimes cibernéticos e age para garantir a segurança das operações digitais no estado”. Micaella Ribeiro, do IAM Brasil, acredita que o incidente também deve atrair atenção dos reguladores, como o BC e o Conselho Monetário Nacional, que seguem o risco sistêmico associado à transformação digital do setor. Entenda o ataque de hackers que afetou as instituições financeiras do ART G1 de volta ao índice. Banco Central do Brasil (BC). Adriano Machado/ Reuters



g1