Финансовый сектор Бразилии столкнулся с одной из крупнейших кибератак в своей истории. Злоумышленники похитили около 140 миллионов долларов из шести банковских учреждений страны, используя классическую схему социальной инженерии и подкупа инсайдера.
Механизм атаки: подкуп сотрудника критически важной ИТ-компании
Кибератака была осуществлена через компромиссию учетных данных сотрудника компании C&M — разработчика программных решений для взаимодействия финансовых учреждений с Центральным банком Бразилии. Инцидент произошел 30 июня 2025 года, когда хакеры успешно завербовали инсайдера.
Жоан Назарено Роке (João Nazareno Roque), сотрудник C&M, стал ключевым звеном в реализации преступной схемы. Злоумышленники установили с ним контакт в неформальной обстановке возле бара и убедили продать корпоративные учетные данные всего за 920 долларов США.
Координация атаки через современные сервисы
Особенно примечательным является использование преступниками платформы Notion для координации действий с инсайдером. Роке получал через этот сервис конкретные команды для выполнения в корпоративных системах C&M, за что получил дополнительно около 1850 долларов.
Несмотря на попытки скрыть свою преступную деятельность, включая регулярную смену мобильных телефонов каждые 15 дней, инсайдер был арестован 3 июля 2025 года в Сан-Паулу.
Воздействие на систему мгновенных платежей PIX
Атака серьезно затронула систему мгновенных платежей PIX, которой активно пользуется 76,4% населения Бразилии. Эта платежная система стала основным каналом для реализации мошеннических операций злоумышленников.
Масштаб ущерба впечатляет: только одно из пострадавших финансовых учреждений, сотрудничавшее с C&M, понесло убытки в размере 100 миллионов долларов США.
Отмывание средств через криптовалютные биржи
Согласно данным блокчейн-аналитика ZachXBT, преступники уже успели конвертировать 30-40 миллионов долларов украденных средств в криптовалюты, включая Bitcoin, Ethereum и USDT. Для легализации денежных средств использовались различные биржи и анонимные внебиржевые площадки Латинской Америки.
Официальная позиция компании C&M
Представители компании C&M подчеркивают, что их системы безопасности остаются надежными, а атака была осуществлена исключительно методами социальной инженерии. Компания утверждает, что уязвимости в системе безопасности не были использованы, а инцидент стал результатом человеческого фактора.
Руководство C&M также отмечает, что внутренние системы защиты сыграли решающую роль в выявлении источника несанкционированного доступа и способствовали расследованию инцидента.
Текущее состояние расследования
Бразильская полиция ведет три параллельных расследования, связанных с этой масштабной кибератакой. Однако детальная информация о других участниках преступной группы пока не разглашается правоохранительными органами.
Данный инцидент наглядно демонстрирует критическую важность защиты от инсайдерских угроз в финансовом секторе. Организациям необходимо внедрять комплексные системы мониторинга действий сотрудников, особенно имеющих доступ к критически важным системам. Регулярное проведение тренингов по кибербезопасности и создание культуры информационной безопасности остаются ключевыми элементами защиты от подобных атак.
