No começo de julho deste ano (02/07), o mercado financeiro brasileiro recebeu a notícia de um dos maiores ataques cibernéticos relacionado ao sistema de transferências via Pix e TED no país. Milhões de reais foram desviados em transferências fraudulentas, causando alvoroço e preocupação. Mas como exatamente isso aconteceu e o que sabemos sobre os responsáveis?
Insider Threat
Apesar de diversas teorias divulgadas nos últimos dias, o ataque foi uma ação de uma ameaça interna, que, ao receber uma oferta do cibercrime, forneceu acesso e acatou instruções para executar o ataque. De acordo com a investigação da Polícia Civil de São Paulo, por meio do Departamento Estadual de Investigações Criminais (Deic), o incidente não foi resultado de falhas nos sistemas ou na tecnologia, mas sim do uso de técnicas de engenharia social na qual um funcionário-chave facilitou a invasão.
O ponto de entrada para o ataque foi uma empresa de tecnologia que conecta bancos menores e fintechs aos sistemas do Pix operados pelo Banco Central. Dessa forma, esse ataque cibernético se tornou um dos, se não o maior caso de supply chain attack já registrado no Brasil.
Supply Chain attack, ou ataque de cadeia de suprimentos, em tradução literal, é o tipo de ataque na qual uma empresa prestadora de serviço ou uma tecnologia é utilizada como meio para atingir seus clientes ou concluir qualquer outro objetivo de quem está por trás do ataque.
A empresa é uma “prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão próprios”, isto é, ela é o elo tecnológico que permite que bancos menores e fintechs se conectem e operem dentro do sistema Pix do Banco Central.
A importância da empresa citada é tanta que, como destacado pelas autoridades, vulnerabilidades na tecnologia dessas empresas são, na prática, vulnerabilidades no sistema financeiro nacional, mesmo que não sejam falhas diretas do governo ou do Banco Central. O caso demonstra o quão interconectado e, portanto, vulnerável o sistema pode ser a partir de pontos de entrada de terceiros.
Apesar de não sabermos quem está por trás desse ataque e não ser possível determinar qual era o objetivo dos atacantes com as informações concretas que temos até o momento, a empresa acabou servindo como um meio para que atacantes realizassem ações fraudulentas nas instituições financeiras que utilizavam o serviço prestado.
Dinâmica do ataque
O operador de TI da empresa foi abordado por criminosos que demonstraram conhecer detalhes sobre seu trabalho. Em troca de pagamentos, o operador entregou credenciais de uso interno que permitiram o desvio de dinheiro. Ele confessou informalmente à polícia ter entregue a senha de acesso a terceiros que cometeram a fraude. Inicialmente, ele recebeu R$5 mil pelo fornecimento do login e senha corporativos da companhia.
Duas semanas depois, ele criou uma conta na plataforma Notion para receber instruções e passou a executar comandos remotamente a partir do próprio computador, recebendo mais R$10 mil por isso, totalizando R$15 mil em pagamentos via motoboy.
Após obterem acesso aos sistema, os criminosos conseguiram acesso indevido a outra plataforma: a da BMP Instituição de Pagamentos S/A. A BMP é uma das principais empresas de “banking as a service” do Brasil, fornecendo tecnologia para bancos e fintechs. De lá, o dinheiro foi sacado para contas de “laranjas”.
O desvio inicial estimado foi de R$541 milhões, mas fontes posteriores indicaram que o valor roubado poderia ser de mais de R$800 milhões. Pelo menos seis instituições financeiras podem ter sido afetadas por este ataque cibernético.
Atualizações e consequências do caso
Desde a descoberta do ataque, as autoridades e as empresas envolvidas agiram rapidamente para a prisão do suspeito.
Resposta da empresa: a empregadora do suspeito, emitiu um comunicado afirmando que está colaborando com as autoridades. A empresa também declarou que adotou todas as medidas técnicas e legais cabíveis para monitorar e controlar seus sistemas de segurança. Reforçou que as evidências apontam para engenharia social e não para falhas em seus sistemas, e que a empresa não foi a origem do incidente, permanecendo plenamente operacional.
O Banco Central confirmou o ataque e, como contenção do incidente, determinou o desligamento do acesso das fintechs à plataforma da empresa ao sistema nacional do Pix para conter o problema. Essa suspensão imposta pelo BC foi substituída pela suspensão parcial nesta quinta.
Em comunicados anteriores, a empresa também já havia reforçado que nenhum de seus clientes foi impactado ou teve seus recursos acessados, indicando que teria recursos suficientes para manter suas operações normalmente.
Esses recursos, chamados pelo mercado de “capital colateral”, são uma exigência do BC e servem como garantia para proteger o sistema financeiro e evitar riscos sistêmicos — risco que o problema de um banco se espalhe e afete outras instituições, causando um “efeito dominó”.
Linha do tempo do incidente
Como se proteger desses ataques?
O caso do operador de TI, que entregou senhas e executou comandos por pagamentos, ilustra perfeitamente o perigo das ameaças internas. Ameaças internas podem possuir inúmeras motivações para executar ataques e prejudicar empresas, seja por motivos emocionais, financeiros ou até mesmo alguém que entrou na empresa com essas intenções.
Essas ações são silenciosas e difíceis de diferenciar, pois são executadas por pessoas com acesso autorizado. No entanto, é possível ter ações que consigam ter rastreabilidade e mitigar possíveis riscos, entre eles:
- Controle rígido de acesso e boas políticas de IAM (Gestão de Identidade e Acesso): é fundamental garantir que cada funcionário tenha acesso apenas aos sistemas e dados estritamente necessários para sua função (“princípio do privilégio mínimo”). Credenciais, como as entregues pelo operador de TI, devem ser protegidas com camadas adicionais de segurança, como autenticação multifator, e ter suas permissões revisadas regularmente. Além disso, também é de extrema importância garantir a rastreabilidade das ações executadas internamente.
- Monitoramento e logs no ambiente: manter registros detalhados (logs) de todas as atividades realizadas nos sistemas é vital para a rastreabilidade. A capacidade de monitorar e auditar acessos, como os comandos executados remotamente pelo operador de TI, pode ajudar a identificar comportamentos anômalos. A própria C&M afirmou que sua estrutura de proteção foi decisiva para identificar a origem do acesso indevido.
- Monitoramento de credenciais e conscientização em segurança: logo no começo das investigações, foi divulgado pela C&M que o ataque ocorreu através do uso indevido de credenciais. Dessa forma, por mais que não tenha sido este o caso, ataques podem acontecer através de credenciais obtidas por atacantes de múltiplas formas, sendo a principal delas através do uso de malware e táticas de engenharia social, como phishing.
Segurança é sobre barreiras e envolve tanto tecnologia e processos quanto pessoas, trabalhando em conjunto para garantir o máximo possível de proteção ao ambiente.
E para evitar casos de ataque à Cadeia de Suprimentos (Supply Chain Attacks)?
Este tipo de ataque, que se aproveita da vulnerabilidade de um fornecedor para atingir outras empresas, exige uma abordagem colaborativa:
- Segurança compartilhada e processos robustos: tanto quem fornece o serviço quanto quem o contrata devem ter preocupações e processos de segurança robustos. Para os prestadores de serviço, é imperativo implementar medidas de segurança que previnam que seu negócio seja usado como vetor de ataque aos seus clientes. Além das consequências de segurança, esse tipo de ataque pode causar danos de imagem irreparáveis à reputação da empresa prestadora.
- Avaliação de terceiros e auditorias constantes: as instituições devem realizar avaliações de segurança rigorosas de seus fornecedores de tecnologia antes, durante e depois da contratação, independente do nicho em que se enquadra. Auditorias regulares e a exigência de certificações de segurança podem assegurar que os parceiros mantenham um alto nível de proteção.
- Planos de Resposta a Incidentes colaborativos: é crucial que as empresas fornecedoras tenham planos de resposta a incidentes que envolvam a comunicação e colaboração entre todos os elos. O fato de o Banco Central ter determinado o desligamento do acesso das fintechs à plataforma afetada demonstra uma resposta rápida e coordenada para conter o problema.
- Processos de AppSec, DevSecOps e Pentests: apesar de o ataque não ter sido uma falha tecnológica, conforme o divulgado até o momento, muitos casos de ataques de supply chain também são causados por falhas em software, em que atacantes se aproveitam de falhas de regras de negócio, APIs ou vulnerabilidades no código das aplicações para executar ações fraudulentas, além de abusar de casos de misconfiguration em ambientes na nuvem. Dessa forma, ter processos de AppSec e DevSecOps, além de Pentests regulares, ajudam a identificar e corrigir vulnerabilidades tecnológicas previamente, evitando que atacantes consigam encontrá-las e explorá-las.
Conclusão
Apesar de inúmeras teorias e múltiplas possibilidades divulgadas informando possíveis causas para o incidente, uma ação de um insider acabou passando despercebida até para a grande mídia. Isso nos mostra que, mesmo que ciberataques possam acontecer por múltiplas frentes, a falha tecnológica é só uma delas e nem sempre a causa de incidentes. Processos fracos e pessoas mal intencionadas também podem causar grandes estragos.
Muitos detalhes técnicos sobre o incidente não foram divulgados até o momento, porém analisando o que temos, já é possível compreender que incidentes grandes possuem causas complexas e nem sempre estão ligadas ao que pode parecer mais óbvio. O cuidado com a segurança vai muito além da tecnologia.
Estamos monitorando o caso e, ao sinal de qualquer novidade concreta, prontamente atualizaremos o caso.
