Der brasilianische Finanzsektor wurde Opfer einer der verheerendsten Cyberattacken seiner Geschichte. Cyberkriminelle erbeuteten etwa 140 Millionen US-Dollar aus sechs Bankinstituten durch eine raffinierte Kombination aus Social Engineering und Insider-Korruption. Der Vorfall verdeutlicht die wachsende Bedrohung durch interne Akteure in kritischen Infrastrukturen.
Anatomie der Attacke: Korruption als Einfallstor
Die Angreifer konzentrierten sich auf das Unternehmen C&M, einen Softwareentwickler für Finanzdienstleistungen, der kritische Verbindungen zwischen brasilianischen Banken und der Zentralbank bereitstellt. Am 30. Juni 2025 gelang es den Kriminellen, einen Mitarbeiter zu rekrutieren und dessen Zugangsdaten zu kompromittieren.
João Nazareno Roque, ein C&M-Angestellter, wurde zum Schlüsselelement der kriminellen Operation. Die Cyberkriminellen kontaktierten ihn in ungezwungener Atmosphäre außerhalb einer Bar und überzeugten ihn, seine Unternehmenszugangsdaten für lediglich 920 US-Dollar zu verkaufen – ein erschreckend niedriger Preis für den Zugang zu kritischen Finanzsystemen.
Moderne Koordination über Cloud-Plattformen
Besonders bemerkenswert ist die Nutzung der Kollaborationsplattform Notion zur Koordination der Insider-Aktivitäten. Roque erhielt über diesen Dienst spezifische Anweisungen für Aktionen innerhalb der C&M-Systeme und kassierte zusätzlich etwa 1.850 Dollar für seine Mitwirkung.
Trotz seiner Bemühungen, die kriminellen Aktivitäten zu verschleiern – einschließlich des regelmäßigen Wechsels von Mobiltelefonen alle 15 Tage – wurde der Insider am 3. Juli 2025 in São Paulo verhaftet.
Auswirkungen auf das PIX-Zahlungssystem
Die Attacke hatte schwerwiegende Folgen für das PIX-Sofortzahlungssystem, das von 76,4% der brasilianischen Bevölkerung aktiv genutzt wird. Dieses Zahlungssystem wurde zum primären Kanal für die Ausführung betrügerischer Transaktionen durch die Angreifer.
Das Ausmaß des Schadens ist beträchtlich: Allein eine der betroffenen Finanzinstitutionen, die mit C&M zusammenarbeitete, erlitt Verluste in Höhe von 100 Millionen US-Dollar.
Geldwäsche durch Kryptowährungen
Laut Blockchain-Analyst ZachXBT haben die Kriminellen bereits 30-40 Millionen Dollar der gestohlenen Gelder in Kryptowährungen umgewandelt, darunter Bitcoin, Ethereum und USDT. Für die Geldwäsche nutzten sie verschiedene Börsen und anonyme Over-the-Counter-Plattformen in Lateinamerika.
Diese Strategie zeigt die wachsende Bedeutung von Kryptowährungen als Instrument zur Verschleierung illegaler Finanzströme und unterstreicht die Notwendigkeit verstärkter Überwachung digitaler Vermögenswerte.
Stellungnahme des betroffenen Unternehmens
C&M-Vertreter betonen, dass ihre Sicherheitssysteme weiterhin robust sind und die Attacke ausschließlich durch Social-Engineering-Methoden erfolgte. Das Unternehmen behauptet, dass keine Sicherheitslücken in den Systemen ausgenutzt wurden und der Vorfall ausschließlich auf menschliches Versagen zurückzuführen sei.
Die Unternehmensleitung hebt hervor, dass interne Schutzmaßnahmen eine entscheidende Rolle bei der Identifizierung der Quelle des unbefugten Zugriffs spielten und zur Aufklärung des Vorfalls beitrugen.
Aktueller Stand der Ermittlungen
Die brasilianische Polizei führt drei parallele Untersuchungen zu dieser groß angelegten Cyberattacke durch. Detaillierte Informationen über andere Mitglieder der kriminellen Gruppe werden von den Strafverfolgungsbehörden jedoch noch nicht preisgegeben.
Dieser Vorfall unterstreicht die kritische Bedeutung des Schutzes vor Insider-Bedrohungen im Finanzsektor. Organisationen müssen umfassende Systeme zur Überwachung von Mitarbeiteraktivitäten implementieren, insbesondere für Personen mit Zugang zu kritischen Systemen. Regelmäßige Cybersicherheitsschulungen und die Schaffung einer robusten Informationssicherheitskultur bleiben wesentliche Elemente zum Schutz vor ähnlichen Angriffen. Die Kombination aus technischen Kontrollen und menschlicher Wachsamkeit ist entscheidend für die Abwehr moderner Cyber-Bedrohungen.
