Поделиться
Хакеры украли $140 млн со счетов Центробанка огромной страны. Доступ к админке обошелся в $5000
В Бразилии расследуется одна из крупнейших кибератак последних лет — из шести финансовых организаций было похищено около $140 млн. Преступникам удалось получить доступ к конфиденциальной ИТ-системе, связанной с Центральным банком страны, через подкуп сотрудника компании C&M, специализирующейся на финансовой интеграции.
Подкуп сотрудников
Хакеры похитили около 800 млн реалов (~$140 млн) с шести резервных счетов, связанных с Центробанком Бразилии, после взлома компании C&M Software из Сан-Паулу, пишет Reuters.
30 июня 2025 г. бразильская компания C&M Software, специализирующаяся на технологических решениях для финансового сектора, подверглась одной из самых масштабных кибератак в истории Бразилии. Злоумышленники, применив сложное вредоносное программное обеспечение (ПО) и подкупив сотрудника ИТ-компании, похитили примерно $140 млн. ИТ-инцидент был обнаружен лишь 2–3 июля. Эта кибератака высветила уязвимости в цепочках передачи технологий и нарастающую опасность внутренних угроз для кибербезопасности.
C&M Software — бразильская компания, основанная в 1992 г., специализирующаяся на предоставлении технологических решений для финансовых учреждений, включая банки и финтех-компании. Является ключевым поставщиком услуг по интеграции с основными платежными системами Бразилии, обеспечивая подключение к ним для небольших финансовых организаций, не обладающих собственной ИТ-инфраструктурой. Компания стала первой в Бразилии, получившей сертификацию от Центрального банка как провайдер технологий для ИТ-платформ.
Доступ к центральной ИТ-системе
Хакеры инициировали свою кибератаку, подкупив сотрудника C&M Software за $2,7 тыс., что позволило им получить доступ к корпоративным учетным данным в ИТ-системе. По данным местной полиции, сотрудник C&M Software Жоау Роке (Joao Roque) позже предоставил еще один доступ за $1,8 тыс., что открыло злоумышленникам прямой доступ к ИТ-инфраструктуре поставщика. В возрасте 48 лет Жоау Роке работал в компании C&M Software и изначально был зачислен в ИТ-отдел, его должность не называется. Всего Роке получил от хакеров $4,5 тыс., двумя траншами.
Это открыло доступ хакерам к ИТ-системам, связанным с ключевыми бразильскими платежными ИТ-платформами — Pix и SPB, популярными среди небольших финансовых организаций. В результате злоумышленниками было украдено $140 млн из клиентских резервов, а около $30–40 млн из этой суммы были отмыты через криптовалюты, включая Bitcoin, Ethereum и стейблкоины, что значительно затрудняет их отслеживание.
В своем заявлении Жоау Роке утверждал, что злоумышленники впервые обратились к нему в марте 2025 г., когда он выходил из одного из баров Сан-Паулу. С его слов, он получал инструкции от хакеров через WhatsApp* (принадлежит Meta, которая признана в России экстремистской и запрещена), а оплату за свои услуги получил через курьера на мотоцикле.
ИТ-атака выявила уязвимости в ИТ-инфраструктуре финансовых технологий. C&M Software предоставляет услуги множеству небольших банков и финтех-компаний, для которых ИТ-платформы Pix и SPB имеют критическое значение. Сговор сотрудника компании C&M Software подчеркивает важность строгого контроля доступа и обучения персонала. Использование криптовалют для отмывания средств подтверждает актуальность проблемы анонимных транзакций в цифровой экономике.
Реакция госорганов
Однако сотрудники правоохранительных органов Бразилии уже смогли обнаружить и заморозить 270 млн реалов ($49,8 млн) и выписать ордера на арест четырех участников аферы. Среди них есть и Жоау Роке, который пытался скрыться от полиции, переезжая на разные адреса и меняя номера мобильных телефонов.
Центральный банк Бразилии оперативно отреагировал на ИТ-инцидент, разрешив компании возобновить операции после проверки безопасности. Расследование кибератаки 8 июля 2025 г. продолжается, и дополнительные детали могут повлиять на репутацию C&M Software и доверие к их платежным ИТ-системам.
Представители банка уже выступили с заявлением о том, что в результате кибератаки пострадали только его резервные фонды, а вот депозиты клиентов остались нетронутыми. Этот случай также поднимает вопрос о необходимости ужесточения регулирования в финансовом секторе, особенно в части защиты данных и контроля за внутренними угрозами.
*WhatsApp (принадлежит Meta, которая признана в России экстремистской и запрещена).
Короткая ссылка
