Ataque hacker à C&M: prejuízo pode ser ainda maior

O golpe cibernético se deu em uma modalidade conhecida como "Supply Chain": o hacker ataca uma empresa visando os clientes e os clientes dos clientes da empresa. A C&M é uma empresa de software para o setor bancário registrada no Banco Central que faz a comunicação entre instituições financeiras e o Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente de liquidação do Pix. O principal cliente afetado foi a BMP, empresa que atua no modelo de banking as a service. Ela fornece contas digitais e outros serviços financeiros para empresas ou instituições não bancárias oferecerem esses serviços ao cliente.

Em nota, a BMP disse que o incidente comprometeu a infraestrutura da C&M e permitiu acesso indevido à sua conta reserva e de mais outras cinco instituições financeiras. A empresa diz que nenhum cliente da BMP foi impactado ou teve seus recursos afetados. "As contas reserva são mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária — sem qualquer relação com as contas de clientes finais ou com os saldos mantidos dentro da BMP", explicou a empresa.

Movimentação na deepweb

Uma fonte em uma empresa de cibersegurança informou à coluna que nas últimas duas semanas foi detectada uma movimentação "muito acima do normal" na deep web — o submundo da internet — de pessoas buscando contas laranja e querendo comprar criptoativos. Acredita-se que essa movimentação possa estar ligada aos ataques à C&M, dado o volume bilionário do roubo.

A preferência dos hackers hoje é por Monero, uma criptomoeda anônima e não rastreável.

Victor Solla Jorge, sócio do Jorge Advogados e especialista em criptoativos, diz que mesmo que não seja possível rastrear os recursos depois de convertidos em criptomoeda, as etapas anteriores são passíveis de rastreamento. "As remessas via Pix ou TED deixam rastros bancários claros. As empresas que venderam os criptoativos a esses criminosos, sem cumprir diligências mínimas de combate à lavagem de dinheiro e verificação da identidade do cliente, também podem ser responsabilizadas civil e penalmente, especialmente se for comprovado que agiram com dolo eventual ou negligência grave", diz o advogado.

Ataques dessa proporção costumam levar seis meses ou mais de preparação. A avaliação preliminar é de que os hackers já estivessem dentro do sistema da C&M há meses, preparando para o grande ataque, que aconteceu na madrugada de segunda para terça-feira.

A C&M tem entre os clientes a XP e a corretora Rico, que pertence ao XP. Procurada, a XP disse que não foram alvo dos ataques. Igualmente cliente, o banco Carrefour também disse não ter sido atacado.

Na nota, a BMP diz que "adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais". A empresa diz ainda que "segue operando normalmente, com total segurança, e reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações".