Um grupo cibercriminoso que se autodenomina Dragon Force indicou hoje, em seu site de vazamentos, ter aberto para download um total de 394 GB de dados que o grupo sugere ter sido roubado da empresa brasileira C&M Software, especializada em software para o mercado financeiro. No dia 22 de Novembro, sábado da semana passada, o grupo publicou, nesse site, um post com a alegação de havia se apoderado desses dados. A publicação foi ilustrada com uma cópia do logotipo da empresa, e contém uma descrição sobre ela, além de seu endereço físico. Numa barra vermelha, o grupo publicou a frase “Publication: 4 Days” e um contador regressivo de tempo, indicando quanto tempo falta para a publicação dos dados. Ao lado de um ícone de pasta de arquivos foi publicada a anotação “393.92 GB”, supostamente indicando que esse seria o volume de dados em poder dos cibercriminosos.
Agora, a barra é verde e contém a frase “Publicated files: click here to go”, indicando onde os arquivos podem ser encontrados. Um clique leva a uma página onde há uma versão ampliada do mesmo post, mas um clique no “click here to go” abre uma nova tela, onde há quatro links, sendo um de retorno à página anterior (Back to other clients), um chamado “CMSW/” e um chamado “search_index.gz”. Este último permite o download de um arquivo em formato txt onde está listada uma árvore de diretórios com 467.736 linhas – supostamente atribuída ao conjunto de arquivos que estaria em poder dos cibercriminosos.
O CISO Advisor não conseguiu confirmar se a alegação dos cibercriminosos contém algum fato: no momento em que esta reportagem foi escrita, havíamos conseguido baixar apenas o arquivo contendo a árvore de diretórios. Todas as tentativas de baixar o arquivo maior se encerravam com timeout, indicando, possivelmente, excesso de solicitações de download.



No dia 24 de Novembro, depois de tomar conhecimento da existência do post, o CISO Advisor pediu informações à CMSW, que respondeu com o seguinte comunicado:
Nas últimas horas circularam publicações sugerindo a existência de um novo vazamento envolvendo a CMSW. Após análise interna e revisão dos logs de segurança, confirmamos que não há qualquer evidência de novo acesso indevido aos nossos ambientes.
O material mencionado nessas postagens corresponde a arquivos que concluímos estarem relacionados ao incidente de 30 de junho, antes das correções profundas, da implementação das novas resoluções do Banco Central do Brasil e dos reforços de segurança realizados nas semanas seguintes.
Nosso ambiente permanece íntegro, monitorado e operando normalmente. Seguimos em total transparência com clientes, reguladores e parceiros, mantendo os mesmos padrões de
segurança, disponibilidade e governança que norteiam nossas operações”.
A CMSW, empresa que fornece software de BaaS para o sistema financeiro do Brasil, foi vítima, em 30 de Junho deste ano, de um ataque cibernético iniciado com o compartilhamento de credenciais por parte de um funcionário da empresa. Nesse incidente, recursos de transferência de valores da CMSW foram utilizados ilegalmente por agentes de uma organização criminosa. As transferências teriam somado cerca de R$ 800 milhões.






