Veja a lista dos maiores ataques cibernéticos ao sistema financeiro do país
O ataque cibernético à empresa de software C&M, provedora de tecnologia de integração com o Banco Central, e que afetou as contas reserva da BMP e outras cinco instituições financeiras foi o maior já enfrentado pelo sistema financeiro nacional. Um levantamento feito por uma empresa de cibersegurança a pedido do UOL mostra quais foram os maiores ataques à bancos e instituições financeiras do país.
1. C&M Software (Pix) - junho 2025
Instituições afetadas: C&M Software (provedora de tecnologia de integração com o Banco Central), BMP e outras cinco instituições
Valor desviado: entre R$ 400 milhões e R$ 3 bilhões
Técnica: Comprometimento de fornecedor (supply chain) com uso indevido de credenciais de instituições financeiras para acessar e movimentar contas de reserva no Banco Central via Pix. Valores eram retirados da conta reserva das instituições.
2. Operação "DeGenerative AI" - 2024
Instituições afetadas: Diversos bancos brasileiros
Valor desviado: Cerca de R$ 110 milhões movimentados
Técnica: Uso de deepfake com inteligência artificial para fraudar validações faciais e habilitar dispositivos bancários em nome de correntistas reais. Grupo utilizava inteligência artificial para contornar autenticações e acessar contas reais, lavando os recursos via laranjas.
3. Invasão ao Banco do Brasil (redes internas) - 2023 - 2024
Instituição afetada: Banco do Brasil
Valor desviado: Aproximadamente R$ 40 milhões
Técnica: Comprometimento físico e lógico — com instalação de dispositivos clandestinos em cabos de dados, acesso a tráfego sensível, e aliciamento de funcionários terceirizados para obtenção de credenciais.
Desfecho: A quadrilha foi desmantelada após auditoria e ação da Polícia Federal.
4. Grandoreiro (Trojan Bancário) - 2016-2024
Instituições afetadas: Clientes de bancos na América Latina e Europa
Valor desviado: Estimado em US$ 3,5 milhões (R$ 20 milhões)
Técnica: Trojan bancário (Grandoreiro) distribuído por phishing, capaz de capturar tela, senhas e movimentar contas remotamente
Desfecho: Descobriu-se uma quadrilha que oferecia serviços de phishing para terceiros, ou malware-as-a-service, com prisões no Brasil em ação conjunta com a Interpol.
5. Invasão ao SIAFI - 2024
Instituição afetada: SIAFI (Sistema Integrado de Administração Financeira do Governo Federal)
Valor desviado: R$ 14 milhões, dos quais apenas cerca de R$ 2 milhões foram recuperados
Técnica: Phishing com roubo de credenciais e uso de certificados digitais falsos para autorizar pagamentos indevidos a contas de laranjas.
Desfecho: O ataque expôs falhas em autenticação e levou o governo a adotar autenticação multifator (MFA) e revisões de segurança no sistema.
6. Bizarro (Trojan Bancário) - 2021-presente
Instituições afetadas: Clientes de cerca de 70 bancos (no Brasil, América Latina e Europa)
Valor desviado: Não divulgado publicamente, mas o grupo de hackers Bizarro (parte do cluster "Tetrade") está ativo desde 2021 com objetivo claro de esvaziar contas
Técnica: Trojan bancário via spam que captura credenciais e simula páginas falsas para roubo de fundos; também monitora carteiras de Bitcoin. Grupo com ampla atuação internacional, com recrutamento de "mulas" para saque e movimentação do dinheiro roubado.
7. Ransomware LockBit - 2022
Instituição afetada: BRB (Banco de Brasília)
Valor do pedido de resgate: 50 bitcoins (R$ 5,2 milhões na época) para não vazarem dados confidenciais acessados durante a invasão. O banco não confirmou se pagou o resgate.
Técnica: Foi utilizado o ransomware LockBit, uma das ferramentas mais populares para extorsão em crimes cibernéticos. O grupo adquiriu o software de outros hackers que alugam o Lockbit ("ransomware as a service").
Reportagem
Texto que relata acontecimentos, baseado em fatos e dados observados ou verificados diretamente pelo jornalista ou obtidos pelo acesso a fontes jornalísticas reconhecidas e confiáveis.
Deixe seu comentário
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Leia as Regras de Uso do UOL.