O Roubo de Banco de $140M no Brasil Realizado por Apenas $2,7K

Em uma violação de confiança e segurança de cair o queixo, hackers roubaram cerca de $140 milhões (aproximadamente R$800 milhões) de seis bancos brasileiros após subornar um funcionário de TI por meros $2,700. O ciberataque, que ocorreu em 30 de junho de 2025, teve como alvo a C&M Software, um intermediário chave que liga os bancos ao Banco Central do Brasil e sua popular rede de pagamentos instantâneos PIX.

O roubo digital começou quando os atacantes pagaram a João Nazareno Roque, um técnico de TI de 48 anos na C&M Software, para entregar suas credenciais de login corporativo. Com isso, os hackers ganharam acesso à infraestrutura que conecta as instituições financeiras aos sistemas de reserva do Banco Central. O ataque impactou seis bancos, incluindo o Banco BMF e outros, e foi executado no mesmo dia.

Um Plano Tramado Durante Bebidas

De acordo com relatos da mídia brasileira, Roque foi abordado pela primeira vez pelos cibercriminosos do lado de fora de um bar em São Paulo em março. O que começou como uma abordagem casual se transformou em uma operação de alto risco. A polícia afirma que Roque foi pago R$5,000 (cerca de $920) por entregar seu login e senha corporativos da empresa C&M.

Ele recebeu posteriormente mais R$10,000 (cerca de $1,850) que foram pagos em notas de R$100 para executar comandos específicos dentro do sistema. Isso permitiu que os hackers realizassem seu roubo sem serem detectados.

Roque supostamente se comunicou com os cibercriminosos apenas por celular, enquanto tentava evitar a detecção trocando de telefone a cada 15 dias. Além disso, seu pagamento foi supostamente entregue por meio de mensageiros de motocicleta. Apesar das precauções, ele foi preso pela polícia de São Paulo em 3 de julho de 2025.

Não Uma Falha Técnica, Mas Uma Humana

A C&M Software enfatizou que a violação não decorreu de uma vulnerabilidade em seus sistemas, mas foi resultado de engenharia social—manipulando um insider de confiança para ajudar os atacantes a obter acesso aos sistemas e processos, em vez de quebrar firewalls—para desviar fundos de contas de reserva institucionais.

Uma vez dentro do sistema, os hackers desviaram dinheiro de contas de reserva—usadas pelas instituições financeiras para mover fundos entre si—em vez de contas de clientes individuais. Embora nenhuma conta de cliente individual tenha sido afetada, a escala e a velocidade do ataque alarmaram especialistas em cibersegurança e reguladores financeiros.

Consequências Imediatas e Resposta

Assim que a violação foi descoberta, o Banco Central do Brasil ordenou que a C&M Software se desconectasse de todos os sistemas bancários. Os serviços relacionados ao PIX foram brevemente suspensos como uma precaução de segurança.

As autoridades brasileiras supostamente congelaram cerca de $55 milhões (R$270 milhões) em fundos roubados e prenderam Roque. Uma parte do dinheiro roubado—entre $30 milhões e $40 milhões—já foi lavada em criptomoedas—including Bitcoin (BTC), Ethereum (ETH) e Tether (USDT)—usando exchanges de criptomoedas da América Latina e mercados OTC não regulamentados, de acordo com o investigador de blockchain ZachXBT.

ZachXBT, conhecido por seu trabalho rastreando crimes baseados em criptomoedas, está agora trabalhando com a polícia brasileira para rastrear os ativos lavados ligados ao roubo e congelar os fundos roubados sempre que possível.

E Agora?

A C&M Software afirma que seus sistemas estão agora online novamente e que a estrutura de proteção da CMSW foi decisiva para identificar a origem do acesso inadequado e isolar a violação rapidamente.

“Até agora, as evidências sugerem que o incidente foi resultado do uso de técnicas de engenharia social para compartilhar inadequadamente credenciais de acesso, e não de falhas nos sistemas ou tecnologia da CMSW. Gostaríamos de enfatizar que a CMSW não foi a origem do incidente e permanece totalmente operacional, com todos os seus produtos e serviços funcionando normalmente,” disse a C&M em um comunicado.

Enquanto isso, o Banco Central afirma que fortaleceu a supervisão sobre transações PIX e está trabalhando em estreita colaboração com os investigadores para rastrear e recuperar mais fundos.