Análise sobre riscos cibernéticos da C&M

11/07/2025 mindsecblog Notícias 0

Fabio Maia, coordenador do CISSA/CESAR faz análise sobre riscos cibernéticos da C&M

Mesmo sem um laudo forense definitivo, os elementos públicos já bastam para apontar que a C&M falhou em vários pilares da segurança moderna: identidade e acesso, proteção de ativos críticos, detecção de anomalias, resposta a incidentes e segurança de software.

O caso recente envolvendo a C&M, uma provedora de Banking-as-a-Service (BaaS), evidencia uma falha sistêmica grave em diversos níveis da arquitetura de segurança e governança tecnológica. A C&M atua como intermediária entre pequenas instituições financeiras e os sistemas do Banco Central, operando transações como o Pix. Justamente por ocupar esse ponto central na cadeia de pagamentos, a exposição a riscos cibernéticos é amplificada — e, neste caso, concretizada com danos reais.

A origem do acesso – Comprometimento interno

Tudo indica que o vetor inicial do ataque foi um insider threat: um funcionário da área de TI da C&M, preso pela Polícia Civil de São Paulo, teria vendido suas credenciais aos atacantes. Embora seja impossível impedir totalmente atos de má-fé, este incidente levanta uma questão crítica: as credenciais desse funcionário estavam excessivamente privilegiadas?

Esse é o primeiro ponto técnico que deve ser investigado. Se um colaborador de baixo escalão tinha acesso direto — ou mesmo indireto, mas escalável — a sistemas sensíveis, trata-se de uma falha básica de princípio do menor privilégio, um pilar essencial em qualquer política de segurança.

Movimento lateral e exploração de vulnerabilidades

Uma vez com acesso inicial à rede da C&M, os atacantes provavelmente realizaram movimentações laterais, mapeando o ambiente interno em busca de vulnerabilidades. A hipótese mais plausível é que eles tenham explorado uma falha conhecida (e não corrigida) em algum componente de software da infraestrutura da empresa — um erro grave em se tratando de uma fintech.

O ataque parece ter explorado brechas na supply chain de software, ou seja, em bibliotecas e componentes de terceiros utilizados pela C&M. Isso reforça a necessidade de processos rigorosos de atualização de componentes e análise de vulnerabilidades, algo básico, mas negligenciado em muitos ambientes corporativos.

Se foi utilizada uma vulnerabilidade conhecida, isso indica ausência de uma rotina eficaz de patch management. Caso tenha sido um zero-day, o cenário muda, mas a evidência até agora não sustenta essa hipótese.

Acesso às máquinas críticas e chaves criptográficas

O objetivo final dos criminosos parece ter sido o acesso a uma máquina crítica, responsável por assinar transações com chaves criptográficas privadas da C&M — chaves que validam a legitimidade de transferências junto ao Banco Central.

Este ponto é crucial: se essas chaves estavam armazenadas como arquivos em disco, e não em Hardware Security Modules (HSMs), isso representa um erro estratégico gravíssimo. HSMs são projetados para proteger chaves de acesso, exigindo que qualquer assinatura ocorra dentro do próprio hardware, sem exposição da chave.

A ausência de HSMs ou a má configuração de custódia de chaves torna qualquer comprometimento de sistema um risco de assinatura fraudulenta em nome de múltiplos clientes — o que aparentemente ocorreu.

Detecção falha e resposta tardia

Mais alarmante ainda: nem a C&M, nem o Banco Central detectaram o ataque inicialmente. A primeira instituição a identificar o comportamento suspeito foi uma corretora de criptomoedas, a SmartBuy, que percebeu uma movimentação anômala de fundos tentando ser convertida em criptoativos.

Isso revela outra lacuna crítica: falta de monitoramento transacional em tempo real. Assim como sistemas de cartões de crédito bloqueiam operações atípicas com base em perfil de uso, o mesmo deveria existir no sistema financeiro B2B. O fato de terceiros identificarem a fraude mostra que a detecção de anomalias transacionais da C&M (e, potencialmente, do próprio Banco Central) é inexistente ou ineficaz.

Arquitetura monolítica e falta de segmentação

O ataque impactou diversos clientes da C&M simultaneamente, o que indica ausência de segmentação por domínio de segurança. Em ambientes bem estruturados, diferentes clientes e suas transações deveriam estar isolados logicamente e tecnicamente. Isso impediria que o comprometimento de uma máquina comprometesse múltiplos entes.

Embora exista uma tensão natural entre eficiência operacional e segregação de ambientes, a arquitetura adotada pela C&M — ao menos com base nos indícios — não respeitou práticas mínimas de contenção de danos.

Com base nas informações públicas até o momento, a análise sugere que o incidente foi viabilizado por uma cadeia de falhas humanas e técnicas:

  1. Credenciais privilegiadas indevidamente acessíveis a um funcionário de baixo nível.
  2. Ausência de segmentação de sistemas por cliente ou domínio de segurança.
  3. Infraestrutura com vulnerabilidades conhecidas não corrigidas.
  4. Chaves criptográficas armazenadas sem HSM.
  5. Ausência de sistemas de detecção de fraude em tempo real.
  6. Falta de resposta rápida e visibilidade da própria instituição afetada.

Mesmo sem um laudo forense definitivo, os elementos públicos já bastam para apontar que a C&M falhou em vários pilares da segurança cibernética moderna: identidade e acesso, proteção de ativos críticos, detecção de anomalias, resposta a incidentes e segurança de software.

Mais que um ataque isolado, esse caso deve servir como alerta para o setor financeiro nacional, em especial para fintechs e empresas de infraestrutura crítica. A confiança no sistema depende da resiliência das suas pontas mais frágeis — e o elo fraco, como vimos, ainda pode ser explorado com métodos relativamente simples.

Por: Fabio Maia Engenheiro Eletrônico e Doutor em Engenharia de Software, com mais de 30 anos de experiência em pesquisa e desenvolvimento de sistemas intensivos em software. Atualmente é Principal Technical Manager no CESAR, Coordenador Técnico do Centro de Segurança em Sistemas Avançados (CISSA) e pesquisador da CESAR School, com ênfase em Criptografia Aplicada e Sistemas Distribuídos.

Veja também:

 

About mindsecblog 3166 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Notícias

Guardicore Centra mitiga ransomware com segmentação baseada em software

26/08/2021 mindsecblog Notícias 2

Guardicore Centra mitiga ransomware com segmentação baseada em software. Recursos de visibilidade e segmentação simplificam a prevenção, detecção e remediação do ransomware  A Guardicore, empresa de segmentação que veio simplificar a implementação de Zero Trust, anuncia novos […]

Artigos

Hackers usam IA e aprendizado de máquina para atingir empresas

23/06/2022 mindsecblog Artigos, Notícias 0

Hackers usam IA e aprendizado de máquina para atingir empresas. A IA beneficia tanto as equipes de segurança quanto os cibercriminosos. A TechTarget trouxe em seu artigo explicação de como os hackers usam IA e […]

Artigos

ISO 27701 – Extensão ISO 27001/2 para Privacidade de Dados

18/09/2019 mindsecblog Artigos, LGPD & PRIVACY, Notícias 1

ISO 27701 – Extensão ISO 27001/2 para Privacidade de Dados. “ISO 27701 Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and Guidelines“, publicada em agosto de 2019. A  GDPR da […]

Be the first to comment

Deixe sua opinião!