No dia 2 de julho de 2025, o Brasil foi surpreendido por um dos maiores ataques cibernéticos já registrados no sistema de pagamentos instantâneos Pix. O incidente resultou no desvio de centenas de milhões de reais, com informações a serem apuradas pelas autoridades e que levou a interrupção dos serviços por diversas instituições financeiras
O incidente acendeu alertas sobre a segurança do sistema, mas a sociedade sobre a profissionalização de crimes cibernéticos, com sofisticação para desvio e acesso a conta de reserva (conta de compensação/liquidação[1]) do sistema PIX/TED. Não obstante, temos uma realidade com incremento de ações de grupos altamente especializados e o entendimento dos riscos corporativos e governamentais.
Este artigo explora, as informações sobre o ataque, conceitos que possam ser utilizadas por quaisquer entidades, afinal temos um evento relacionado a “indústria” mais madura no tocante a proteção cibernética e as lições sobre o tema.
O ataque de 2 de julho de 2025
O incidente atingiu a C&M Software, plataforma utilizada como Serviço (SaaS) que possibilita a conexão com a infraestrutura de pagamentos do Banco Central, afetando ao menos seis instituições, incluindo o fintech BMP, Banco Paulista e Credsystem. A plataforma possui APIs (Interfaces de Programação de Aplicações) com conexão ao Sistema de Pagamento Brasileiro (SPB), e segundo o comunicado da empresa, a mesma indicou que não houve exploração por meio de falhas de software ou vulnerabilidades conhecidas, comumente denominadas CVE[2], mas por meio de credenciais de acesso.
Entretanto, como um ataque utilizado por credenciais em um sistema que é composto por diversas camadas de proteção, pode ter passado despercebido? Ou seja, as camadas básicas em sistemas maduros não foram avaliadas? Tais camadas vão desde Firewalls de Aplicações (WAF – Web Application Firewall), API com Token, Sistemas de Monitoramento de Ataques e demais camadas de controle, poderiam ter identificado o risco em potencial, sem contar os sistemas de Gestão Credenciais – IAM[3] – que possibilitam a ratificação de regras para credenciais e seu gerenciamento. Todavia, todo a modelagem protetiva, não impediu que o êxito ocorresse, sem contar com a operação de uma conta de reserva que possui as peculiaridades operacionais.
Dentro deste contexto, nota-se que o invasor detinha perícia e conhecimento acumulado no negócio, sendo no mínimo um elemento que já utilizou o sistema em questão. Adicionalmente, mesmo que um invasor que tivesse acesso privilegiado a conta com o token(ou outro mecanismo) e não soubesse operar o sistema, este teria dificuldades para realizar as ações que geraram o prejuízo milionário, por conseguinte a hipótese de um “insider”[4] não pode ser descartada, porém, tal fato será corroborado pelos órgãos competentes em breve.
Outrossim, há também a possibilidade de escalação de privilégio[5] ou mesmo tentativas de Brute Force[6] e sistemas de persistência, com acessos remotos, com métodos de ofuscação, comando e controle, assim como sofisticação para a aplicação do desvio de uma conta de reserva, com a monta transferida para um ator externo voltado a lavagem de dinheiro, de fato é algo, extremamente bem elaborado. Ademais, há artigos técnicos que mencionam a probabilidade de um grupo especializado avançado, como destacado na publicação do APT[7] “Plump Spider: Análise Técnica e Estratégica de um Grupo de Ameaça Avançada Contra o Setor Financeiro Brasileiro”[8], sendo que a informação no futuro poderá vir a público.
O resultado estimado foi o desvio da monta estimada de R$ 400 milhões a R$ 1 Bilhão, conforme reportagem “Isto é Dinheiro: Roubo de R$ 1 bilhão? O que se sabe sobre o ataque hacker à C&M, prestadora de serviços de instituições financeiras[9]”. Salientando a repercussão e o impacto no mercado financeiro.
A Cyber Kill Chain (cadeia de ataque cibernético)
Um dos modelos adotado para entender o ciclo de vida de um ataque é a “Cyber Kill Chain” ou “Cadeia da Morte Cibernética” (tema de um futuro artigo), isto é, a estruturação das fases de um ataque e que descreve todos os estágios pelos quais os agressores realizam para alcançar o seu objetivo.
As fases relacionadas a seguir podem ser vistas como um processo de entendimento do ataque ocorrido, por meio de observações e reflexões:
- Reconhecimento (reconnaissance) – os invasores escolhem um alvo[10] e realizam uma análise detalhada, começam a coletar informações (endereços de e-mail, informações de conferências etc.) e avaliam as vulnerabilidades para determinar como explorá-las;
Observação: Reconhecimento (reconnaissance): notou-se no incidente que a obtenção de informações foi fundamental para o êxito, visto que o principal elemento foi o uso de credenciais.
- Armamento (weaponization) – durante essa etapa, os cibercriminosos desenvolvem uma “arma” podendo ser malware que visa explorar as vulnerabilidades descobertas.
Observação: Armamento (weaponization): esta fase será vista na investigação, já que não havia, segundo o posicionamento da empresa, uma vulnerabilidade explicita.
- Entrega (delivery) – após o entendimento de qual “arma” poderá ser empregada, o atacante utiliza diversas táticas para que esta “arma” funcione como uma espécie de armadilha como phishing, drives USB infectados etc.
Observação: Entrega (delivery): pelo visto a entrega foi uma das táticas avançadas para o acesso aos sistemas, caso haja dados na investigação para entendimento dos métodos adotados.
- Exploração (exploitation) – neste estágio, os invasores conseguiram entregar e começam a aproveitar as vulnerabilidades para a execução de códigos no sistema alvo.
- Instalação (installation) – após a exploração, de fato a “arma” é empregada e instalada no sistema.
Observação sobre Exploração e Instalação: a exploração pode ter sido utilizada para que acesso remoto despercebido como objetivo as últimas fases para acesso a conta. Um insider pode proporcionar acesso sem a necessidade de instalação de algo.
- Comando & Controle (command & control) – em um servidor remoto de C&C executa-se o acesso ou mesmo ações no sistema.
- Ações ativas ao Objetivo (Actions on Objectives) – por fim, os atacantes completam seus objetivos.
Observação sobre C&C e Ações Ativas: as ações de uso das contas e acesso ao sistema proporcionou o resultado do ataque.
A ideia de entendermos as fases de um ataque, proporciona a conscientização das variáveis envolvidas e como há minucias e ações que vão sendo delineadas pelos atacantes, consequentemente, as camadas necessárias para diminuir os riscos de um ataque sofisticado, como este em questão.
Lições sobre o Incidente
O ataque de 2 de julho de 2025 expôs fragilidades profundas na infraestrutura de pagamentos brasileiros. No limite, haverá uma reavaliação acerca dos modelos de “Cadeia de Suprimentos Tecnológica como Serviços”, assim como quais mecanismos as entidades governamentais poderiam ter monitorado ou mesmo mitigado ações que possibilitaram a transferência cifras gigantescas.
A ideia sobre programas de avaliação de vulnerabilidades ou mesmo testes sobre a resiliência de sistemas deve ser vista como um instrumento estratégico com cenários que possam simular ataques, visto que, ninguém imaginaria que ocorre um ataque como este, logo, os temas como pentest e bug bounty[11] avançados virão à tona como temas fundamentais para manutenção do negócio.
Os temas de credenciais vieram como gatilho ou causa do Incidente, mas há variáveis a serem investigadas, assim como grupos altamente especializados, com a reflexão de que a guerra assimétrica pode impactar um sistema financeiro de um país, ou um grupo criminoso gerar instabilidade e precariedade a serviços essenciais.
Cabe a reflexão: qual nível de maturidade e quais mecanismos as organizações com negócios no Brasil possuem contra os ataques cibernéticos mais elaborados? Quais ferramentas protetivas as empresas e governos possuem em sua estrutura tecnológica?
O Brasil viveu, em julho de 2025, um dos capítulos mais complexos da sua história digital. O ataque ao Pix não é apenas um alerta — é uma convocação. A resiliência cibernética precisa deixar de ser uma promessa e se tornar prática cotidiana. Empresas, governos e cidadãos estão no mesmo barco: ou reforçamos o casco, ou afundamos juntos.
