Brasiliens 140 Millionen Dollar Bankraub für nur 2.700 Dollar durchgeführt

In einem atemberaubenden Vertrauens- und Sicherheitsbruch stahlen Hacker schätzungsweise 140 Millionen Dollar (rund 800 Millionen R$) von sechs brasilianischen Banken, nachdem sie einen IT-Mitarbeiter für lächerliche 2.700 Dollar bestochen hatten. Der Cyberangriff, der am 30. Juni 2025 stattfand, zielte auf C&M Software ab, einen wichtigen Vermittler, der Banken mit der Zentralbank von Brasilien und ihrem beliebten PIX- Sofortzahlungsnetzwerk verbindet.

Der digitale Raub begann, als die Angreifer João Nazareno Roque, einen 48-jährigen IT-Techniker bei C&M Software, bezahlten, um ihm seine Unternehmensanmeldedaten zu übergeben. Mit diesen erlangten die Hacker Zugang zur Infrastruktur, die Finanzinstitute mit den Reservesystemen der Zentralbank verbindet. Der Angriff betraf sechs Banken, darunter Banco BMF und andere, und wurde am selben Tag ausgeführt.

Ein Komplott, das bei Drinks geschmiedet wurde

Laut brasilianischen Medienberichten wurde Roque im März von den Cyberkriminellen vor einer Bar in São Paulo angesprochen. Was als lässiger Ansatz begann, verwandelte sich in eine Operation mit hohen Einsätzen. Die Polizei sagt, Roque wurde 5.000 R$ (rund 920 Dollar) bezahlt, um seine Unternehmensanmeldung und sein Passwort für die Firma C&M zu übergeben.

Später erhielt er weitere 10.000 R$ (rund 1.850 Dollar), die in 100-R$-Scheinen bezahlt wurden, um spezifische Befehle im System auszuführen. Dies ermöglichte es den Hackern, ihren Diebstahl unentdeckt durchzuführen.

Roque kommunizierte angeblich nur über das Handy mit den Cyberkriminellen, während er versuchte, der Entdeckung zu entgehen, indem er alle 15 Tage häufig das Telefon wechselte. Auch seine Zahlung wurde Berichten zufolge durch Motorradkuriere geliefert. Trotz der Vorsichtsmaßnahmen wurde er am 3. Juli 2025 von der Polizei in São Paulo festgenommen.

Kein technischer Fehler, sondern ein menschlicher

C&M Software betonte, dass der Vorfall nicht auf eine Schwachstelle in seinen Systemen zurückzuführen sei, sondern das Ergebnis von Social Engineering – der Manipulation eines vertrauenswürdigen Insiders, um den Angreifern den Zugang zu Systemen und Prozessen zu ermöglichen, anstatt durch Firewalls zu brechen – um Gelder von institutionellen Reservekonten abzuzweigen.

Sobald sie im System waren, zapften die Hacker Geld von Reservekonten ab – die von Finanzinstituten verwendet werden, um Gelder untereinander zu bewegen – anstatt von einzelnen Kundenkonten. Während keine einzelnen Kundenkonten betroffen waren, haben das Ausmaß und die Geschwindigkeit des Angriffs sowohl Cybersecurity-Experten als auch Finanzregulierungsbehörden alarmiert.

Sofortige Folgen und Reaktion

Sobald der Vorfall entdeckt wurde, ordnete die Zentralbank von Brasilien an, dass C&M Software sich von allen Bankensystemen trennt. Die mit PIX verbundenen Dienste wurden vorübergehend als Sicherheitsmaßnahme ausgesetzt.

Berichten zufolge haben die brasilianischen Behörden etwa 55 Millionen Dollar (270 Millionen R$) an gestohlenen Geldern eingefroren und Roque festgenommen. Ein Teil des gestohlenen Geldes – zwischen 30 Millionen und 40 Millionen Dollar – wurde bereits in Kryptowährung gewaschen – einschließlich Bitcoin (BTC), Ethereum (ETH) und Tether (USDT) – unter Verwendung lateinamerikanischer Krypto-Börsen und unregulierter OTC-Märkte, so der Blockchain-Ermittler ZachXBT.

ZachXBT, bekannt für seine Arbeit zur Verfolgung von krypto-basierten Verbrechen, arbeitet nun mit den brasilianischen Strafverfolgungsbehörden zusammen, um die gewaschenen Vermögenswerte, die mit dem Raub verbunden sind, zurückzuverfolgen und die gestohlenen Gelder, wo immer möglich, einzufrieren.

Was kommt als Nächstes?

C&M Software behauptet, dass ihre Systeme jetzt wieder online sind und dass die Schutzstruktur von CMSW entscheidend war, um den Ursprung des unrechtmäßigen Zugriffs zu identifizieren und den Vorfall schnell zu isolieren.

„Bisher deuten die Beweise darauf hin, dass der Vorfall das Ergebnis der Verwendung von Social Engineering-Techniken war, um unrechtmäßig Zugangsberechtigungen zu teilen, und nicht auf Fehler in den Systemen oder der Technologie von CMSW zurückzuführen ist. Wir möchten betonen, dass CMSW nicht der Ursprung des Vorfalls war und weiterhin voll funktionsfähig ist, mit allen Produkten und Dienstleistungen, die normal funktionieren“, sagte C&M in einer Erklärung.

In der Zwischenzeit sagt die Zentralbank, dass sie die Aufsicht über PIX-Transaktionen verstärkt hat und eng mit den Ermittlern zusammenarbeitet, um weitere Gelder zurückzuverfolgen und zu recoverieren.