Ataque hacker: Prisão de suspeito confirma o que se imaginava; entenda como foi orquestrado o maior roubo da história do Brasil

O crime foi virtual, mas a “cana” pelo roubo é real. A Polícia Civil prendeu na noite de quinta-feira (3) um homem suspeito de envolvimento com o ataque hacker aos sistemas da C&M Software, empresa que faz a “ponte” tecnológica entre o Banco Central (BC) e outras instituições financeiras.

A confirmação da prisão ocorreu somente na manhã de hoje (4). O Departamento Estadual de Investigações Criminais (Deic) identificou o suspeito do ataque cibernético como João Nazareno Roque.

Ele trabalhava como operador terceirizado da equipe de tecnologia da C&M, empresa situada no epicentro da ação criminosa. As autoridades investigam o envolvimento de outras pessoas no assalto.

O suspeito é apontado pela Polícia como coautor do crime e responde por associação criminosa e furto qualificado mediante fraude e abuso de confiança.

• VEJA TAMBÉM: Quais são as melhores ações, fundos imobiliários, títulos de renda fixa, ativos internacionais e criptomoedas para o 2º semestre de 2025? Gigantes do mercado financeiro revelam suas apostas

Segundo informações da Polícia, João teria permitido que os hackers que realizaram o ataque acessassem o sistema sigiloso da C&M por meio de sua própria máquina.

O delegado Paulo Eduardo Barbosa, responsável pelas investigações, afirmou que ele confessou o envolvimento e que teria facilitado, por meio de “códigos maliciosos”, que outros criminosos extraíssem os valores.

Além da prisão do suspeito, a Polícia também anunciou o bloqueio de R$ 270 milhões de uma conta utilizada para receber os valores milionários desviados.

Em depoimento, o funcionário teria afirmado que recebeu em torno de R$ 15 mil para facilitar o ataque cibernético à C&M.

Ainda não se sabe ao certo qual o valor total levado no potencial maior roubo da história do Brasil. Uns dizem que beirou os R$ 500 milhões; outros citam cifras entre R$ 1 bilhão e R$ 3 bilhões. 

Fato é: o ataque resultou no desvio de montanhas de dinheiro de contas reserva de diversas fintechs — e a maior parte desse dinheiro talvez nunca mais seja recuperada.

“É um absurdo acontecer um evento dessa magnitude”, disse Marcos Zanini, especialista em cibersegurança e CEO da Dinamo Networks, em entrevista exclusiva ao Seu Dinheiro.

E, apesar de em muito se assemelhar a uma história de filme, o ataque — potencialmente o maior assalto já visto no país — não teve nada de sofisticado ou excepcional.

Muitas informações ainda não estão claras sobre o que aconteceu, especialmente porque as investigações correm em sigilo. 

No entanto, o Seu Dinheiro foi atrás de especialistas para tentar esclarecer exatamente o que aconteceu no ataque cibernético na C&M — claro, com base no que se sabe até agora. Você confere os detalhes do roubo na reportagem a seguir.

Como os hackers orquestraram o maior roubo da história do Brasil?

Em grande medida, a ação criminosa transcorreu do modo como imaginavam os especialistas ouvidos pelo Seu Dinheiro antes da prisão do suspeito.

O que aconteceu na madrugada de segunda-feira foi o desdobramento de um roubo de credenciais de clientes da C&M Software, usadas nas transações entre a empresa de soluções tecnológicas e o Banco Central.

Esses certificados roubados assinam transações no sistema de mensagens entre o Banco Central e as instituições — e as credenciais são a única forma de o BC assegurar se uma operação está sendo efetivamente requisitada pela instituição verdadeira.

O que aconteceu, então?

Segundo a Polícia, João teria sido abordado em março por um homem na rua, ao sair de um bar em São Paulo, que se dizia interessado em conhecer os sistemas, a estrutura e a metodologia da C&M.

Depois, ele teria trocado mensagens e ligações com pelo menos outras quatro pessoas envolvidas nos planos.

Meses depois, ele teria entregado a própria senha do sistema a essas pessoas, o que permitiu que os hackers entrassem no sistema e realizassem as transferências Pix.

É preciso destacar que não aconteceu uma invasão direta aos sistemas da C&M, mas sim o “uso indevido de integrações legítimas, por meio de credenciais comprometidas de terceiros”, de acordo com a empresa.

A C&M afirma que o ataque foi executado “a partir de uma simulação fraudulenta de integração”, utilizando-se de credenciais legítimas de um cliente para acessar os serviços como se fosse uma instituição financeira autorizada.

“O único jeito do Banco Central saber disso é quando o banco assina a transação com o certificado digital dele. A essência desse negócio é proteger essa chave em um lugar que ninguém possa ter acesso. Com o vazamento desses dados, o hacker consegue se comunicar com o BC como se fosse o dono do certificado”, explicou Zanini, da Dinamo Networks.

Dessa forma, na madrugada de domingo para segunda-feira, o fraudador, em posse desses certificados, se comunicou com o Banco Central e começou a fazer uma série de transações Pix.

“Para o Banco Central, estava tudo certo, como se fosse o banco que estava solicitando essa transação”, disse o executivo da Dinamo.

É verdade que falar de mais de R$ 1 bilhão em dinheiro movimentado por bancos e instituições financeiras pela madrugada pode parecer estranho à primeira vista.

Mas Zanini destaca que é comum para instituições financeiras realizarem compensações fora do horário de expediente.

“Se o Banco Central pudesse fazer um mea culpa, talvez essa seria a única possível, de analisar se a transação que está sendo requisitada pelo banco está no padrão ou não. Mas é difícil, não há uma única tendência.”

Além disso, como as transações ocorreram por meio da custódia da credencial, não havia sinais evidentes de irregularidade para o BC.

Na visão do CEO da Dinamo, houve negligência por parte da C&M na proteção das credenciais dos próprios clientes.

Isso levou empresas como a BMP, que utilizava os serviços da C&M, a perderem em torno de R$ 400 milhões no ataque. Desse montante, apenas R$ 150 milhões foram recuperados até então.

“Você não vê esse tipo de problema acontecer em grandes bancos, porque possuem infraestrutura de proteção dessas chaves dentro de hardwares, com criptografia, que não permite invasão. Se você não se proteger desse jeito, fica vulnerável e essas chaves podem ser copiadas por alguém. Nesse caso, foi pura negligência da C&M”, disse o especialista.

Na leitura de Zanini, juridicamente, se for comprovado que as chaves vazaram dentro da C&M, a responsabilidade é dela — e a obrigação de arcar com o prejuízo do roubo também.

“Se eu deixei a empresa custodiando minha chave e me foi provado que minha chave vazou dentro dela e isso fez com que a fraude acontecesse, na minha leitura, a responsabilidade é dela. Me parece que a responsabilidade vai cair em cima da C&M”, disse o executivo.

Ataque sem sofisticação, mas com muita coordenação

Não se tratou de um ataque sofisticado. Na avaliação de Zanini, foi um ataque muito simples, tecnologicamente falando. “Não foi nada de missão impossível.”

“Houve um alinhamento neste ataque. Ele é muito simples, tecnologicamente falando, porque foi um ataque com posse da chave. O difícil era conseguir essa chave. O sofisticado foi montar a engenharia social e conseguir sincronizar todos os acessos que precisava até chegar a essa chave e, depois, para converter esse dinheiro”, disse o especialista.

Em um paralelo simples, seria como realizar uma transação já tendo em mãos a agência, o número de conta e a senha para sacar o dinheiro. Nada extravagante.

Por meio do suposto inside job, os hackers já tinham o caminho pronto para conseguir acessar esses arquivos de credenciais de clientes da C&M com o Banco Central.

“A partir de ter as chaves, foi um passeio de criança. Assim que esse dinheiro bateu nas contas, ele já foi para exchanges para se transformar em criptomoeda”, acrescentou.

A perspectiva é que o dinheiro desviado no roubo potencialmente foi convertido em criptomoedas e stablecoins — como o bitcoin (BTC) e a Tether (USDt) —, que possuem mais liquidez, para garantir que o fraudador conseguisse liquidar rapidamente o montante.

Na madrugada do dia 30 de junho, o CEO da SmartPay e criador da carteira de autocustódia Truther, Rocelo Lopes, detectou movimentos atípicos nas plataformas da empresa e elevou os filtros de validação nas compras de USDT e bitcoin. 

“Foram mais de 30 tentativas de transações, preferimos não divulgar os valores para preservar as empresas, mas nos colocamos totalmente à disposição das autoridades e instituições para apoiar operações envolvendo criptoativos”, disse o executivo, em nota.

Segundo Lopes, essa ação rápida permitiu reter grandes somas de dinheiro e iniciar a devolução dos valores às instituições envolvidas.