Il furto in banca da 140 milioni di dollari in Brasile realizzato per soli 2.700 dollari

In una violazione incredibile della fiducia e della sicurezza, gli hacker hanno rubato un importo stimato di 140 milioni di dollari (circa 800 milioni di R$) da sei banche brasiliane dopo aver corrotto un dipendente IT per soli 2.700 dollari. L’attacco informatico, avvenuto il 30 giugno 2025, ha preso di mira C&M Software, un intermediario chiave che collega le banche alla Banca Centrale del Brasile e alla sua popolare rete di pagamenti istantanei PIX.

Il furto digitale è iniziato quando gli aggressori hanno pagato João Nazareno Roque, un tecnico IT di 48 anni presso C&M Software, per consegnare le sue credenziali di accesso aziendale. Con queste, gli hacker hanno ottenuto accesso all’infrastruttura che collega le istituzioni finanziarie ai sistemi di riserva della Banca Centrale. L’attacco ha colpito sei banche, tra cui Banco BMF e altre, ed è stato eseguito lo stesso giorno.

Un complotto ordito tra un drink

Secondo i rapporti dei media brasiliani, Roque è stato avvicinato per la prima volta dai criminali informatici fuori da un bar di São Paulo a marzo. Quello che è iniziato come un approccio informale si è trasformato in un’operazione ad alto rischio. La polizia afferma che a Roque sono stati pagati 5.000 R$ (circa 920 dollari) per aver consegnato il suo accesso aziendale e la password per la società C&M.

In seguito ha ricevuto altri 10.000 R$ (circa 1.850 dollari) che sono stati pagati in banconote da 100 R$ per eseguire comandi specifici all’interno del sistema. Questo ha permesso agli hacker di portare a termine il loro furto senza essere rilevati.

Roque avrebbe comunicato con i criminali informatici solo tramite cellulare, cercando di evitare il rilevamento cambiando frequentemente telefono ogni 15 giorni. Inoltre, il suo pagamento è stato presumibilmente consegnato tramite corrieri in moto. Nonostante le precauzioni, è stato arrestato dalla polizia di São Paulo il 3 luglio 2025.

Non un difetto tecnico ma umano

C&M Software ha sottolineato che la violazione non è derivata da una vulnerabilità nei suoi sistemi, ma è stata il risultato di ingegneria sociale: manipolare un insider fidato per aiutare gli aggressori ad accedere ai sistemi e ai processi piuttosto che forzare i firewall, per deviare fondi dai conti di riserva istituzionali.

Una volta all’interno del sistema, gli hacker hanno drenato denaro dai conti di riserva, utilizzati dalle istituzioni finanziarie per trasferire fondi tra di loro, piuttosto che dai conti dei singoli clienti. Sebbene nessun conto cliente individuale sia stato colpito, la scala e la velocità dell’attacco hanno allarmato esperti di cybersecurity e regolatori finanziari.

Conseguenze immediate e risposta

Non appena la violazione è stata scoperta, la Banca Centrale del Brasile ha ordinato a C&M Software di disconnettersi da tutti i sistemi bancari. I servizi legati a PIX sono stati temporaneamente sospesi come misura di sicurezza.

Le autorità brasiliane hanno congelato circa 55 milioni di dollari (270 milioni di R$) in fondi rubati e arrestato Roque. Una parte del denaro rubato, tra i 30 milioni e i 40 milioni di dollari, è già stata riciclata in criptovalute, tra cui Bitcoin (BTC), Ethereum (ETH) e Tether (USDT), utilizzando scambi di criptovalute dell’America Latina e mercati OTC non regolamentati, secondo l’investigatore blockchain ZachXBT.

ZachXBT, noto per il suo lavoro nel monitorare crimini legati alle criptovalute, sta ora collaborando con le forze dell’ordine brasiliane per rintracciare gli asset riciclati legati al furto e congelare i fondi rubati dove possibile.

Cosa succederà dopo?

C&M Software afferma che i suoi sistemi sono ora tornati online e che la struttura di protezione di CMSW è stata decisiva nell’identificare l’origine dell’accesso improprio e isolare rapidamente la violazione.

“Fino ad ora, le prove suggeriscono che l’incidente è stato il risultato dell’uso di tecniche di ingegneria sociale per condividere impropriamente le credenziali di accesso, e non di fallimenti nei sistemi o nella tecnologia di CMSW. Vorremmo sottolineare che CMSW non è stata l’origine dell’incidente e rimane pienamente operativa, con tutti i suoi prodotti e servizi funzionanti normalmente”, ha dichiarato C&M in un comunicato.

Nel frattempo, la Banca Centrale afferma di aver rafforzato la supervisione sulle transazioni PIX e sta lavorando a stretto contatto con gli investigatori per rintracciare e recuperare ulteriori fondi.