A empresa brasileira ZenoX AI, especializada em pesquisa e desenvolvimento de inteligência artificial generativa para criar soluções inovadoras em IA que impactam setores como cibersegurança, comunicação, varejo e marketing, publicou um relatório indicando que o ataque à empresa C&M Software foi planejado meses atrás e contou com uma série de tentativas de contato via Telegram com funcionários dessa e de outras empresas que têm acesso aos sistemas do Banco Central do Brasil.
Leia também
Roubo bilionário em supply chain financeiro do Brasil
Banco regional americano sofre ataque cibernético
O relatório afirma que “aparentemente, houve um recrutamento ativo em canais abertos meses
antes do incidente, com o objetivo de corromper funcionários bancários com acesso às tesourarias. As mensagens indicavam planos explícitos para executar operações no BACEN que poderiam atingir o valor de R$ 1 bilhão. Além disso, nossa análise revela que este não foi um evento isolado, mas a culminação de uma série de ataques de menor escala que, ao longo do tempo, vinham explorando a mesma fragilidade processual em contas reserva em diversas instituições financeiras no Brasil. O sucesso deste ataque foi catalisado por quatro falhas sistêmicas fundamentais:
1. A ausência de um monitoramento estratégico do submundo da fraude no Brasil, que ignorou os sinais claros de planejamento;
2. A confiança cega na segurança da cadeia de suprimentos, sem a devida verificação contínua;
3. Uma cultura de silêncio no setor financeiro, que impede o compartilhamento de inteligência entre as vítimas e fortalece os criminosos;
4. A falta de uma inteligência centralizada para conectar os pontos entre incidentes aparentemente isolados e transformá-los em um alerta preditivo.
A conclusão é inequívoca: a era da segurança reativa chegou ao fim“.
Desenvolvido em conjunto com o portal Tecmundo, o estudo acrescenta que “o colapso foi menos resultado de uma vulnerabilidade de software e mais consequência da exploração de falhas sistêmicas: o risco não gerenciado da cadeia de suprimentos, a ameaça apresentada por insiders e, acima de tudo, a incapacidade de operacionalizar informações de inteligência já disponíveis”.
O documento mostra que em canais abertos do Telegram monitorados pela Vydar Intelligence, plataforma da Zenox, “já em maio de 2025, identificamos agentes de ameaça
conduzindo um recrutamento explícito e alarmante:
• Busca por insiders em posições-chave: Os recrutadores procuravam abertamente por “gerentes bancários de grandes bancos físicos com acesso direto às contas da tesouraria”.
•Capacidade operacional definida: O objetivo era claro, realizar transferências (TEDs) de valores extremamente elevados, “a partir de R$ 50 milhões” e “capacidade de até R$ 1 bilhão”.
• Conexão com o Banco Central: Em tom ainda mais ousado, os recrutadores demonstravam “interesse em trabalhos diretamente ligados ao pessoal do Banco Central (Bacen)” e prometiam uma “operação rápida e discreta junto com o
pessoal do Bacen”.
• Ofertas de pagamento milionárias: A proposta para corromper os insiders era direta e agressiva: “Pagamento 30 milhões. Exemplo: 5 milhões pro intermediário e 25 milhões pro gerente”.
O estudo afirma que independentemente de uma ligação direta com este caso, “essa inteligência é irrefutável: a estratégia de recrutar funcionários de alto escalão em bancos e, possivelmente, no próprio órgão regulador para a execução de fraudes bilionárias não é mera especulação. Trata-se de um plano real, que já estava em fase de recrutamento no ambiente underground. O ataque de 30 de junho pode ter sido, ou não, a concretização bem-sucedida de um desses esquemas que vinham sendo articulados de forma aberta“.
A análise da ZenoX, com base em fontes de inteligência cujas informações ainda aguardam validação oficial, indica que “o ataque de 30 de junho, apesar de sua escala sem precedentes, não foi um evento isolado nem a primeira vez que este modus operandi foi utilizado no Brasil: “Ao contrário, tudo indica que ele seja a culminação de uma série de ataques menores que vêm sendo executados nos últimos meses“.
“Nossas pesquisas e inteligências apontam que incidentes com características semelhantes foram reportados às autoridades em diferentes estados do país. Somente em São Paulo, teriam ocorrido pelo menos três ataques recentes a instituições financeiras distintas, todos explorando a mesma brecha fundamental: a transferência de valores a partir de contas reserva.
O que torna esse padrão ainda mais preocupante é a diversidade dos vetores de entrada observados nos casos anteriores. Alguns exploraram falhas técnicas em sistemas, outros utilizaram meios distintos de acesso não autorizado. A semelhança entre eles não estava no modo de entrada, mas no objetivo final: uma vez dentro da rede, o foco era sempre o mesmo. Isso nos leva a uma hipótese crítica: um ou mais grupos de ameaça teriam identificado — e começado a explorar sistematicamente — uma possível fragilidade nas regras de negócio que regulam as transferências a partir de contas reserva no Brasil“.
