02/07/2025 – C&M: Hacker invadem parceira do
Banco Central e roubam R$ 1 bilhão
Na madrugada de 1º de julho de 2025, hackers invadiram os sistemas da C&M Software, que abastece diversas instituições financeiras para operações de liquidação com o Banco Central.
Houve movimentação de R$ 18 milhões via Pix pouco antes das 4h, seguida por transferências adicionais — estima-se que entre R$ 400 milhões e R$ 1 bilhão tenham sido desviados.
O Banco Central ordenou o bloqueio imediato do acesso da C&M às infraestruturas críticas.
A BMP, cliente da C&M, teve prejuízo estimado em R$ 400 milhões, mas afirmou que nenhum cliente final foi afetado — utiliza colaterais para cobrir perdas e já devolveu parte dos valores.
Os invasores exploraram brechas na integração de mensagens da C&M com fintechs, operando rapidamente em contas-reserva dentro do Banco Central.
O dinheiro foi convertido em criptomoedas (USDT, Bitcoin) via Pix para dificultar o rastreamento, embora parte dessas transações tenha sido bloqueada por exchanges.
Análise da ZenoX indica que o golpe foi planejado por meses e envolveu recrutamento de funcionários, possivelmente via Telegram, para acesso privilegiado.
Um técnico da C&M, identificado como insider e com acesso às senhas, teria cobrado R$ 5 mil (e valores adicionais posteriormente) para facilitar o desvio.
Se confirmados, os valores desviados transformam esse ataque no maior golpe financeiro via sistema bancário brasileiro.
Especialistas ressaltam a fragilidade na cadeia de fornecedores, reforçando a necessidade de auditoria contínua e supervisão rigorosa de terceiros.
Atualização – 02/07/2025
Os especialistas Renato Borbolla e Arthur Igreja destacam que a invasão foi direcionada apenas às contas reserva interbancárias, sem comprometer dados ou recursos de correntistas.
A C&M confirmou que o ataque foi uma simulação fraudulenta, utilizando credenciais de bancos para efetivar transferências, mas sem extração de dados de clientes ou invasão a outros sistemas internos.
O Banco Central desligou temporariamente os sistemas da C&M, retomando o serviço sob regime restrito, com limite de horário — dias úteis entre 6h30 e 18h30 — e operação somente com autorização expressa dos bancos envolvidos.
A C&M implementou auditoria externa e reforçou controles internos, respeitando a autonomia dos bancos na ativação de protocolos de segurança.
O episódio expôs vulnerabilidades na cadeia de fornecedores do sistema financeiro brasileiro — especialmente em empresas que integram bancos ao SPB e ao Pix —, gerando alerta sobre a necessidade de supervisão rigorosa e investimentos em resiliência cibernética.
Clientes bancários e correntistas não foram impactados diretamente — não houve perda de saldo, dados ou investimentos.
O ataque destacou falhas graves nas interfaces de infraestrutura financeira, reforçando a importância de auditorias, governança e protocolos de autenticação aprimorados junto a prestadores de serviços como a C&M.
Atualização – 03/07/2025
Na madrugada de 30 de junho para 1º de julho de 2025, por volta das 4h, foi registrado um Pix de R$ 18 milhões saindo da conta reserva da BMP — uma das instituições afetadas — para um banco, disparando o alarme do fundador Carlos Eduardo Benitez.
Em questão de minutos, hackers realizaram múltiplas transações via Pix para esvaziar contas reserva de pelo menos seis instituições, totalizando um prejuízo estimado entre R$ 800 milhões e R$ 1 bilhão.
A porta de entrada foi uma falha na C&M Software — intermediária do Banco Central — responsável pela conexão via APIs para Pix, TED e outras operações.
Com credenciais legítimas (chip + senha), as transações foram consideradas válidas pelo sistema central, que não desconfiou da origem.
Após o primeiro Pix de R$ 18 milhões, os hackers usaram criptomoedas (USDT, Bitcoin) via plataformas como SmartPay para tentar camuflar os valores.
A empresa SmartPay conseguiu congelar grandes quantias e devolvê-las às instituições.
A BMP bloqueou transações e suspendeu atividades com a C&M; recuperou cerca de R$ 130 milhões até agora, mas ainda enfrenta um déficit de aproximadamente R$ 270 milhões.
A C&M suspendeu o serviço de Pix suspeito na segunda-feira e voltou a operar apenas após aval do Banco Central, que conduziu investigação e reforçou controles.
O incidente expôs falhas na “mensageria” de PSTIs — empresas que integram bancos e fintechs ao Banco Central — sem monitoramento inteligente de volume, horário ou comportamento suspeito.
Sem sistemas ativos que detectem transações fora do padrão — como as que ocorreram durante a madrugada — o risco de repetição é alto.
O Pix de R$ 18 milhões foi a chama inicial de um ataque que desviou cerca de R$ 800 milhões a R$ 1 bilhão, tornando o evento o maior golpe financeiro via sistema bancário do Brasil.
A recuperação parcial de R$ 130 milhões não elimina o risco de escassez de liquidez para a BMP (cerca de R$ 270 milhões ainda em aberto) e agrava a preocupação com pontos cegos na estrutura de pagamentos interbancários.
Atualização – 04/07/2025
A Polícia Civil de São Paulo capturou João Nazareno Roque, 48 anos, técnico de TI da C&M — empresa que integra bancos ao Banco Central via Pix — em sua casa na zona norte da capital, na última quinta-feira (3).
Roque admitiu que vendeu sua senha de acesso por R$ 5.000, seguido de outros R$ 10.000 para implementar um sistema que permitiu o desvio de valores.
A negociação dos pagamentos foi feita em espécie, via motoboy, e ele trocava de celular a cada 15 dias para dificultar o rastreamento.
O acesso indevido às credenciais permitiu aos hackers desviar cerca de R$ 541 milhões da BMP e de outras instituições, entre 30 de junho e o início de julho, durante transações via Pix.
O caso é descrito pela polícia como o maior golpe do tipo no país até hoje.
Já foram confiscados R$ 270 milhões em contas ligadas ao esquema, além da recuperação de R$ 5,5 milhões em criptoativos pela Polícia Federal e pelo Ministério Público.
As investigações continuam em andamento, com ações da PF em Goiás, Pará e São Paulo, e busca por outros envolvidos no grupo.
João Roque confessou que o contato com os hackers começou em março, quando foi abordado pessoalmente, na saída de um bar, por alguém que já conhecia sua função.
A C&M e o Banco Central reforçam que o incidente foi resultado de engenharia social, e não de falhas nos sistemas, mas reconhecem que isso evidenciou fragilidades no controle de credenciais internas.
A prisão de Roque representa um passo importante na responsabilização dos insiders que facilitaram o maior ataque cibernético financeiro do Brasil.
A investigação segue ativa, com foco em identificar o papel de demais envolvidos e recuperar os recursos desviados.
Atualização – 07/07/2025
A Polícia Civil de São Paulo identificou 29 empresas responsáveis por 166 transações via Pix, recebendo montantes que variam entre R$ 200 mil e R$ 271 milhões em valores desviados na operação hacker que roubou aproximadamente R$ 541 milhões entre 30 de junho e o início de julho de 2025.
Essas ligações suspeitas surgiram após o rastreamento dos fluxos de dinheiro oriundos da C&M Software, incluindo movimentações que esvaziaram contas reserva de várias instituições financeiras.
A investigação procura determinar se tais empresas receberam o dinheiro de forma consciente, como parte do esquema, ou se foram usadas apenas como “lavagem” dos recursos, sendo vítimas de uso indevido de suas contas.
Algumas dessas empresas tiveram o serviço de Pix suspenso pelo Banco Central por até 60 dias, como medida cautelar.
A polícia continuará analisando dispositivos digitais, extratos e comunicações como e-mails e mensagens para entender a participação dessas empresas.
Caso comprovada conivência, as empresas podem responder por crimes como lavagem de dinheiro e receptação.
A amplitude de empresas envolvidas destaca a complexidade do esquema e reforça a urgência em melhorar mecanismos de monitoramento e controle do Pix, especialmente em grandes volumes e transferências corporativas.
O episódio também sinaliza que, além de proteger sistemas bancários, é crucial acompanhar o destino dos valores desviados para fechar a cadeia criminal.
A investigação das 29 empresas está em curso e pode desvendar uma nova etapa do golpe: quem realmente estava por trás do recebimento dos valores.
A responsabilização das empresas, conscientes ou não, é essencial para encerrar o ciclo de criminalidade e recuperar recursos.
Atualização – 11/07/2025
De acordo com relatório da ZenoX, o ataque foi meticulosamente planejado por vários meses no Brasil, sem exploração técnica de sistemas, mas sim por meio de falhas na cadeia de fornecedores da C&M Software.
Os criminosos usaram o Telegram para recrutar insiders com acesso a contas-reserva do Banco Central, oferecendo subornos e solicitando colaboração prévia.
A ZenoX afirmou que o golpe só foi possível graças à atuação de insiders, e não apenas de agentes externos, com planejamento ativo em canais públicos do Telegram para corromper funcionários ligados à tesouraria.
As mensagens revelavam planos declarados para operações que poderiam chegar a R$ 1 bilhão, indicando alto nível de coordenação e intenção.
Apesar de possível presença de agentes internacionais, a complexidade do golpe — como a navegação dentro do SPB e PSTIs — indica um caráter essencialmente nacional, com elevado conhecimento interno.
O relatório destaca o ataque como um exemplo de fraude sofisticada e da profissionalização do cibercrime financeiro, apontando falhas sistêmicas como a confiança excessiva na cadeia de fornecedores, a cultura de silêncio no setor e a falta de inteligência centralizada.
A ZenoX conclui que não se trata de um caso isolado, mas de uma síndrome de fragilidade no sistema financeiro brasileiro, reforçada por múltiplos ataques menores anteriores que exploravam as mesmas brechas.
As quatro vulnerabilidades detectadas são: falta de monitoramento de fraudes, confiança cega em fornecedores, cultura de sigilo entre instituições e ausência de um sistema unificado de inteligência.
O ataque ao Pix foi muito mais do que uma simples invasão digital — foi uma operação corrupta e bem articulada, viabilizada por recrutamento via Telegram e por falhas graves na governança e na inteligência do sistema financeiro. Um verdadeiro case de ciberfraude institucional.
O delegado Paulo Eduardo Barbosa, da DCCiber da Polícia Civil de São Paulo, informou ao Valor Econômico que o prejuízo causado pelo ataque à C&M Software pode já ter ultrapassado R$ 1 bilhão.
A BMP reportou perda de R$ 541 milhões, enquanto outras instituições relataram valores adicionais de R$ 104 milhões e R$ 49 milhões, elevando o total estimado para mais de R$ 1 bilhão.
Conforme a investigação avança, outras instituições financeiras começam a revelar seus prejuízos, embora algumas ainda hesitem em denunciar por receio de danos reputacionais.
Em conjunto com o Ministério Público, a polícia bloqueou cerca de R$ 15 milhões em criptoativos.
02/07/2025 Quase 700 tipos de impressoras têm falhas
A Rapid7 identificou 8 falhas críticas de segurança em 689 modelos de impressoras da Brother. Também foram afetados 59 modelos de marcas como Fujifilm, Toshiba, Ricoh e Konica, embora nem todas as brechas atinjam esses aparelhos.
A falha mais grave é a CVE-2024-51978, que recebeu escore 9,8/10 no CVSS. Essa vulnerabilidade não pode ser corrigida via firmware — a única solução é revisitar o hardware nos próximos lotes.
Se explorada, a CVE-2024-51978 permite:
- Explorar outras 7 falhas, desde que o invasor tenha a senha e o número de série.
- Recuperar dados confidenciais da impressora e da rede.
- Travar o dispositivo, abrir conexões TCP arbitrárias, executar requisições HTTP maliciosas e até expor senhas de serviços conectados.
Para as falhas atribuídas ao firmware: recomenda-se atualizar regularmente o firmware pelo site oficial da Brother.
No caso da CVE-2024-51978: como não há correção via firmware, recomenda-se alterar imediatamente a senha padrão e, se possível, fazer isso periodicamente. Também é indicado contatar o suporte técnico da Brother. Para alguns modelos afetados, pode haver possibilidade de troca do equipamento por versões mais seguras.
A presença de múltiplas falhas — especialmente uma sem correção via software — evidencia a importância da manutenção preventiva e da segurança em hardwares conectados.
Usuários e administradores devem monitorar as listas oficiais de modelos vulneráveis, fornecidas pela Brother, para garantir que nenhum aparelho corra risco.
02/07/2025 Ataque Hacker ao Banco da Amazô nia no
Pará
O crime ocorreu entre os dias 30 de junho e 1º de julho de 2025, mas só foi divulgado em 9 de julho. O ataque foi facilitado por um dispositivo de rede da marca Mikrotik, instalado por um gerente da agência em Santa Inês (MA).
Inicialmente, acreditava-se que o ataque envolvia um simples dispositivo USB, mas depois foi esclarecido que o equipamento era mais sofisticado, com capacidade de capturar senhas e dados sensíveis remotamente.
O dinheiro desviado foi distribuído para contas em 10 estados. Até o momento, R$ 66 milhões foram recuperados.
O envolvimento de um funcionário interno foi essencial para burlar os sistemas de segurança do banco.
Dois homens, Yuri Moraes (24 anos) e Bruno Marques (28 anos), foram presos em Belo Horizonte ao tentarem sacar R$ 2 milhões de uma agência bancária. Eles são suspeitos de integrar o grupo criminoso responsável pelo ataque ao Banco da Amazônia.
A polícia já monitorava a movimentação e sabia que o dinheiro era parte do valor desviado. Um dos presos confessou que receberia R$ 50 mil pela participação e que usou a conta do outro para receber o depósito.
Cerca de R$ 35 milhões foram enviados para 21 contas bancárias em Minas Gerais, supostamente de “laranjas”.
A operação foi possível graças à troca de informações de inteligência entre as polícias civis do Pará e de Minas Gerais. Além dos dois suspeitos presos em Minas, o gerente do banco foi preso no Maranhão.
As polícias civis do Pará e de Minas Gerais atuaram em conjunto na operação, que já conseguiu recuperar R$ 66 milhões do total desviado.
Modus Operandi Repetido
O caso chamou atenção por sua semelhança com o ataque à empresa C&M Software, ocorrido anteriormente em São Paulo. Em ambos os casos, um funcionário foi cooptado para facilitar o acesso aos sistemas internos, levantando preocupações sobre a segurança cibernética em instituições financeiras brasileiras.
Ameaça Interna
Especialistas em segurança digital destacaram que o envolvimento de um colaborador interno foi crucial para o sucesso do ataque. “A ameaça interna é uma das mais difíceis de detectar, pois o funcionário conhece os sistemas e pode contornar os mecanismos de proteção”, afirmou Hiago Kin, presidente do Instituto Brasileiro de Resposta a Incidentes Cibernéticos (Ibrinc).
10/04/2025 Jogador de basquete russo é preso por
suspeita de envolvimento com grupo de ransomware
Daniil Kasatkin, de 26 anos, atleta do MBA Moscow e ex-jogador da Penn State, foi detido em 21 de junho no aeroporto Charles de Gaulle, em Paris, atendendo a um mandado de prisão emitido pelos EUA.
Ele é acusado de atuar como negociador de resgates (ransomware), supostamente ligado a um grupo que atacou cerca de 900 organizações, incluindo duas agências federais dos EUA, entre 2020 e 2022.
A defesa de Kasatkin afirma que ele é “iletrado tecnologicamente”: teria comprado um computador usado infectado e não o utilizou nem configurou, sendo uma possível vítima de crime cibernético.
Um tribunal francês negou liberdade provisória em 8 de julho. Kasatkin permanece detido enquanto aguarda o processo de extradição, que prevê até 60 dias para o envio da documentação pelas autoridades norte-americanas.
Segundo advogados, sua saúde física piorou na prisão — ele teria perdido cerca de 6 kg e reclama da falta de acesso a cadeira e áreas esportivas.
A Embaixada da Rússia em Paris exige acesso consular, mas enfrenta atrasos das autoridades francesas.
As autoridades dos EUA ainda não identificaram publicamente o grupo por trás dos ataques, embora a descrição lembre operações de gangues como a Conti.
O caso chama atenção por envolver um atleta profissional acusado de facilitar um esquema de ransomware, prisão internacional e questionamentos sobre sua real participação ou possível uso indevido do computador.
A extradição para os EUA e os resultados das investigações serão decisivos. Vale acompanhar os próximos passos legais e as declarações oficiais.
Considerações Finais
O panorama das ameaças cibernéticas em junho de 2025 evidenciou uma escalada significativa na sofisticação, frequência e impacto dos ataques digitais. Casos como a técnica de phishing com noVNC, os ataques DDoS ao setor público, o malware Crocodilus e a atuação do grupo Lazarus revelam que o cibercrime opera com estrutura semelhante à de grandes corporações, explorando falhas humanas, técnicas e institucionais.
Tais eventos reforçam que o cibercrime hoje funciona com estrutura empresarial, utilizando infraestrutura global, estratégias de engenharia social refinadas e modelos de monetização distribuída. Essa realidade demanda uma abordagem integrada e proativa por parte de organizações públicas e privadas, combinando tecnologia, governança, inteligência e capacitação contínua.
Este relatório tem como objetivo sintetizar os principais acontecimentos do período, destacar riscos emergentes e apresentar recomendações práticas para mitigar impactos, fortalecer defesas e promover uma postura resiliente frente ao novo padrão de ameaças.
O Brasil, em destaque nos rankings de ataques, demanda uma resposta coordenada que vá além da área de tecnologia: requer integração entre equipes de segurança, jurídica, compliance, comunicação e inteligência de ameaças. A antecipação, a detecção precoce e a resposta rápida serão diferenciais para reduzir impactos operacionais, financeiros e reputacionais. Investir em resiliência, capacitação e inteligência de ameaças não é mais uma opção — é um imperativo estratégico.
Fonte: tecmundo.com.br, uol.com.br, g1.globo.com e principais fontes jornalísticas on-line
Elaboração: Cycletech Tecnologia e Prevenção
