Vazamento de 392 GB expõe bastidores do maior ataque cibernético já registrado no sistema financeiro brasileiro
Resumo do incidente
Documentos e arquivos totalizando 392 GB foram disponibilizados na Dark Web pelo grupo criminoso Dragonforce após o fim de um prazo de seis dias de negociação com a C&M Software, intermediária de tecnologia para o Pix. O vazamento ocorre meses depois de um ataque que possibilitou o desvio coordenado de valores que podem ultrapassar R$ 1 bilhão, configurando o episódio como o maior incidente cibernético já registrado contra o sistema financeiro brasileiro.
- Quem é a C&M Software e por que ela é estratégica para o Pix
- Como o ataque foi viabilizado
- Desvio de mais de R$ 1 bilhão e resposta imediata
- Publicação dos 392 GB: do ultimato ao vazamento
- Estrutura do repositório na Dark Web
- Riscos derivados da exposição
- Pronunciamento oficial da C&M Software
- Ponto de vista das equipes de segurança que analisam o vazamento
- Como o consumidor pode mitigar ameaças potenciais
- Importância sistêmica do caso para o setor financeiro
- Situação atual e próximos desdobramentos
Quem é a C&M Software e por que ela é estratégica para o Pix
A C&M Software atua como provedora de soluções que conectam instituições financeiras à infraestrutura do Pix e a outros serviços de pagamento instantâneo. Como elo técnico entre bancos, fintechs e o Banco Central, a empresa mantém ambientes que trafegam dados sensíveis de autenticação, roteamento de transações e liquidação financeira. Por essa posição, seus sistemas são considerados alvo de alto valor por cibercriminosos especializados em fraudes bancárias.
Como o ataque foi viabilizado
O comprometimento dos ambientes teve origem em junho, quando integrantes do Dragonforce adquiriram, de um funcionário terceirizado, credenciais válidas de acesso interno. De posse desses dados, o grupo penetrou nos sistemas corporativos e passou a mapear rotinas críticas. A ação clandestina incluiu a criação de canais próprios de administração, a movimentação lateral entre servidores e o levantamento de permissões que seriam usadas no desvio posterior de recursos.
Esse percurso dentro da infraestrutura da companhia permitiu aos invasores não só visualizar informações operacionais, mas também capturar arquivos confidenciais que agora integram o pacote de 392 GB publicado.
Desvio de mais de R$ 1 bilhão e resposta imediata
Com o controle de contas e rotinas de liquidação, os criminosos iniciaram um desvio coordenado de fundos que, segundo estimativas internas, pode ter superado R$ 1 bilhão. Boa parte das transferências ilícitas foi bloqueada ou revertida em operação conduzida pela Polícia Federal, mas ainda não há divulgação oficial sobre o montante efetivamente recuperado.
Tão logo o incidente foi detectado, a C&M Software aplicou correções emergenciais, redefiniu políticas de credencial, reforçou camadas de autenticação e passou a seguir novas determinações de segurança emitidas pelo Banco Central. Mesmo assim, os arquivos capturados durante a janela de comprometimento permaneceram em posse do Dragonforce, que passou a usar o material como instrumento de extorsão.
Publicação dos 392 GB: do ultimato ao vazamento
No dia 22 de novembro, o Dragonforce estabeleceu um prazo de seis dias para receber pagamento não especificado. Como a exigência não foi atendida, o grupo disponibilizou o conteúdo na noite de 28 de novembro, data em que a pasta apareceu em fóruns clandestinos de comércio de dados. A perda de controle sobre o acervo marca a escalada definitiva do incidente, convertendo um ataque já bilionário em ameaça prolongada à confidencialidade de diversas operações.
Estrutura do repositório na Dark Web
Especialistas que acessaram o endereço relataram encontrar uma interface de navegação bem organizada, dotada de filtros e visualização hierárquica. Esse arranjo facilita a seleção de diretórios antes do download e reduz barreiras técnicas para interessados em explorar o material.
Entre os itens identificados aparecem:
• Apresentações corporativas que expõem fluxos de integração;
• Modelos de relatórios e planilhas de desempenho;
• Atas de reuniões internas e documentos estratégicos;
• Configurações de VPN que descrevem hosts, chaves e parâmetros de túnel.
Riscos derivados da exposição
A facilidade de navegação, somada ao volume de informações, eleva o potencial de abuso por parte de fraudadores. Combinando dados técnicos a diagramas de processo, golpistas podem criar campanhas de phishing mais convincentes, produzir malwares direcionados ou até empreender espionagem corporativa contra parceiros da C&M Software.
Embora o arquivo não pareça incluir dados pessoais de consumidores, a divulgação de rotinas internas e credenciais históricas amplia a superfície de ataque para quem mantém relacionamento tecnológico com a empresa.
Pronunciamento oficial da C&M Software
Em comunicado público, a companhia declarou não ter detectado qualquer acesso indevido após 30 de junho. Segundo a nota, todo o conjunto disponibilizado pelo grupo criminoso refere-se a arquivos obtidos antes das correções implementadas nas semanas subsequentes ao ataque. A empresa afirma que o ambiente opera normalmente, sob monitoramento contínuo, e que mantém diálogo transparente com clientes, reguladores e parceiros de negócio.
Ponto de vista das equipes de segurança que analisam o vazamento
Especialistas do TecMundo Security, que tiveram acesso a amostras dos arquivos, apontam evidências de autenticidade, mas seguem validando a totalidade do pacote. A verificação inclui checagem de integridade, comparação de metadados e correlação com registros de log preservados pela empresa. A análise busca medir a extensão real do risco tanto para instituições financeiras integradas quanto para usuários finais do Pix.
Como o consumidor pode mitigar ameaças potenciais
Ainda não há indicativos de impacto direto sobre correntistas ou usuários comuns, porém as recomendações de cibersegurança permanecem válidas:
• Empregar senhas longas, únicas e ativar autenticação em dois fatores para todas as contas;
• Manter sistemas operacionais e aplicativos permanentemente atualizados;
• Tratar mensagens inesperadas com cautela, evitando clicar em links sem verificação;
• Evitar redes Wi-Fi públicas desconhecidas ou, se necessário, recorrer a VPN confiável;
• Realizar cópias de segurança periódicas para enfrentar eventuais incidentes de ransomware.
Importância sistêmica do caso para o setor financeiro
O episódio estabelece precedente inédito em escala de prejuízo e vazamento, coincidindo com a maturação do Pix como principal meio de pagamento instantâneo no Brasil. Por envolver uma empresa de integração, a ocorrência ressalta a necessidade de controles robustos não apenas nas instituições financeiras, mas também nos fornecedores tecnológicos que conectam o ecossistema.
Para reguladores, o caso reforça discussões sobre confiabilidade de terceiros, exigências de governança cibernética e mecanismos de responsabilização em cadeia. Já para o mercado, o incidente serve de alerta quanto à aquisição e gestão de credenciais de colaboradores externos, vetor inicial que possibilitou a invasão.
Situação atual e próximos desdobramentos
Até o momento, não foram registradas novas tentativas de intrusão nos ambientes da C&M Software. A empresa continua auditando sistemas, enquanto equipes independentes avaliam se as informações expostas podem favorecer outras formas de fraude. A Polícia Federal prossegue na investigação sobre o desvio de recursos, apurando rotas de lavagem de dinheiro e participação de eventuais financiadores.
Do lado ofensivo, o Dragonforce já divulgou que considera encerrada a fase de negociação relativa a esse alvo específico, direcionando esforços a novos projetos criminosos. Apesar disso, os 392 GB permanecem acessíveis a qualquer interessado em fóruns especializados, perpetuando a ameaça de longo prazo aos processos ali detalhados.
Conteúdo Relacionado