Sumário
Resumo
Nos primeiros dias de julho de 2025, a notícia de uma invasão à infraestrutura da C&M Software repercutiu no setor financeiro brasileiro e até mesmo no exterior. A repercussão não foi à toa, já que a prestadora de serviços de tecnologia é utilizada por diversas fintechs e bancos para a integração com o Sistema de Pagamentos Brasileiro e o Pix.
Um dos colaboradores da C&M Software foi preso como suspeito de vender suas senhas de acesso aos invasores. Como resultado, criminosos conseguiram acessar os sistemas da empresa e comprometer contas reservas de no mínimo cinco instituições financeiras ao realizar transferências ilícitas. Até o momento de escrita deste Boletim de Inteligência, a C&M Software não divulgou a quantia afetada pelo incidente, mas a BMP, uma de suas clientes, relatou ter sofrido um prejuízo de R$ 541 milhões. A investigação já levou à prisão de um ex-colaborador da C&M Software, acusado de ter vendido suas credenciais aos criminosos, à suspensão de várias instituições financeiras e ao bloqueio de conta na Soffy Soluções de Pagamentos.
O episódio levanta algumas vulnerabilidades no modelo Banking-as-a-Service (BaaS) brasileiro, estratégia utilizada pela C&M Software. Segundo estudo da Future Market Insights, a expectativa é que este mercado gere mais de US$ 16 milhões até 2034. O sistema permite que a companhia ofereça serviços financeiros aos seus clientes, principalmente por meio de APIs. No entanto, a invasão foi tão bem-planejada que conseguiu criar um efeito dominó, atingindo várias dessas instituições ao mesmo tempo.
Tendo isso em vista, este Boletim de Inteligência criado pela SEK busca apontar alguns pareceres técnicos sobre o ataque cibernético e sua repercussão. Além disso, a equipe da SEK visa antecipar quais lições este episódio pode ensinar para empresas do setor BaaS e da área financeira, tanto do Brasil quanto da América Latina. A intenção é evitar que a próxima investida de criminosos seja tão devastadora.
Por dentro do ataque à C&M Software
A C&M Software atua como uma prestadora de serviços de TI voltada para o mercado financeiro do Brasil. Autorizada pelo Banco Central a atuar desde 2001, a empresa é praticamente uma ponte entre instituições financeiras menores ao Sistema de Pagamentos Brasileiro. Na prática, a companhia permite que bancos e fintechs se conectem aos sistemas do BACEN para oferecer operações de TED, Pix e de outras modalidades para seus clientes. Além da C&M Software, somente outras oito empresas também têm a autorização do Banco Central para essa atuação.
Como apontado no resumo deste Boletim, o modelo de negócio da C&M Software se insere no conceito do BaaS. A modalidade permite que empresas ofereçam produtos e serviços financeiros aos seus clientes sem necessariamente se tornarem instituições bancárias formais. Assim, consumidores da C&M Software podem fornecer produtos financeiros no seu portifólio e, por certo, sob suas próprias marcas.
Segundo a Mordor Intelligence, o tamanho do mercado do Banking-as-a-Service tem a projeção de alcançar mais de US$ 3 bilhões até 2030 na América Latina, uma taxa de crescimento de 7% ao ano. A questão aqui, porém, é que o modelo também apresenta problemas sob a perspectiva da segurança cibernética, principalmente pela monopolização da tecnologia – e foi exatamente isso que o ataque à C&M Software demonstrou.
Cronologia do ciberataque
Os eventos que culminaram no ataque começaram muito antes de sua descoberta, no dia 02 de julho de 2025. A seguir, a SEK apresenta uma cronologia de tudo o que aconteceu em relação à invasão até a escrita deste Boletim de Inteligência.
João Nazareno Roque, 48, trabalhava como desenvolvedor back-end júnior da C&M Software há três anos. Segundo depoimento à Polícia Civil, o operador foi abordado por um desconhecido ao sair de um bar na cidade de São Paulo. O encontro, claro, não era casual, já que o homem tinha informações específicos sobre onde João trabalhava e qual era sua função. Roque afirma que esses dados tinham sido vazados por "amigos dos hackers".
Uma semana depois do encontro inicial, um dos criminosos entrou em contato com Roque pelo telefone. Na ligação, o homem ofereceu R$ 5 mil em troca do acesso aos sistemas da C&M Software, no caso, às credenciais utilizadas pelo funcionário. Cerca de 15 dias após a primeira ligação, os criminosos ofertaram mais R$ 10 mil para que João executasse comandos específicos dentro da plataforma. Segundo o suspeito, o valor foi entregue em dinheiro vivo por um motociclista. Outra informação importante fornecida por João Roque é a de que os criminosos adotavam protocolos rigorosos para evitar o rastreamento. Cada contato era feito por números diferentes e o colaborador foi instruído até mesmo a trocar de celular a cada quinzena. Ao menos quatro cibercriminosos conversaram com João, segundo depoimento à Polícia Civil.
De acordo com Roque, os comandos maliciosos foram executados dentro dos sistemas da C&M Software durante maio. O ataque principal foi executado somente na madrugada do dia 1 para 2 de julho. Ou seja, os criminosos demonstraram uma capacidade de manter o acesso aos sistemas sem disparar alarmes de segurança.
Como apontado, o ataque propriamente dito foi executado na madrugada do dia 1 para o dia 2 de julho. Segundo a C&M Software, há indícios de que as credenciais do colaborador foram utilizadas com outros mecanismos de autenticações auxiliares. Com a confirmação do acesso privilegiado, os cibercriminosos conseguiram identificar as contas de reserva de pelo menos seis instituições financeiras conectadas à infraestrutura da C&M Software. Tais contas são mantidas diretamente no Banco Central e usadas para processar movimentações financeiras dessas instituições. As transações foram feitas fora do horário comercial, aproveitando o período com monitoramento menor dos sistemas. Há hipóteses de que esses valores tenham sido convertidos em criptoativos e redistribuídos.
A C&M Software tem mais de 20 companhias como suas clientes, as quais algumas já confirmaram que foram afetadas pela invasão. A BMP confirmou o incidente em nota oficial, e, segundo o Departamento Estadual de Investigações Criminais (DEIC), a estimativa é de que a instituição tenha sofrido um prejuízo de R$ 541 milhões. No entanto, Além dela, outras empresas como Banco Paulista, Credsystem e Banco Carrefour foram atingidas pelo ciberataque. No entanto, todas ressaltaram que seus clientes não foram afetados financeiramente.
As investigações da Polícia Civil também revelaram que foram realizadas cerca de 166 transações via Pix durante toda a madrugada do ataque somente na BMP. Os valores foram transferidos para outras instituições financeiras, como S3 Bank, Volui Gestão Financeira e Soffy. No entanto, o número pode aumentar, já que o restante do valor foi dividido para contas de outros mais de 25 bancos. Como resultado dessa apuração, o BACEN determinou a suspensão das atividades de todas essas instituições, visando proteger a segurança do sistema de pagamentos. Até então, a Soffy sofreu um bloqueio de R$ 270 milhões por suspeita de receber parte dos valores da invasão. A expectativa é que o Banco Central apure se essas organizações têm relação com o ataque. Em nota, a Transfeera relatou que está colaborando com as autoridades.
A descoberta do ataque ocorreu na manhã de 02 de julho. A C&M Software relatou em comunicado que isolou o ambiente comprometido, revogou as credenciais e chaves utilizados, comunicou o fato às autoridades e aos clientes, dentre outras ações. Ao ser notificado, o Banco Central suspendeu os acessos da companhia ao Sistema de Pagamentos Brasileiro de forma cautelar. No dia 03, o BACEN trocou a suspensão cautelar por uma suspensão parcial, "após a empresa adotar medidas para mitigar a possibilidade de ocorrência de novos incidentes."
João Nazareno Roque foi preso em São Paulo no dia 04 de julho de 2025, sob a acusação de ter auxiliado os criminosos na invasão aos sistemas. É a partir de seu depoimento que alguns detalhes sobre o crime puderam ser obtidos.
A análise da SEK sobre a invasão
A análise técnica do ataque cibernético à C&M Software permite compreender melhor a sofisticação dos métodos empregados, além de revelar pontos críticos de falha em controles de segurança comuns ao modelo Banking-as-a-Service (BaaS). Embora ainda existam investigações em curso, é possível, com base nas informações públicas disponíveis, mapear etapas e hipóteses plausíveis sobre a operação criminosa.
Engenharia social como vetor inicial
O ataque teve como porta de entrada a cooptação de um funcionário da própria empresa, o que classifica o incidente como um caso de insider threat. Segundo depoimentos prestados pelo desenvolvedor João Nazareno Roque, ele foi abordado em um encontro planejado por criminosos que já detinham informações específicas sobre seu cargo e função. Esse tipo de abordagem sugere o uso prévio de técnicas de Open Source Intelligence (OSINT), como levantamento de dados em redes sociais, cadastros públicos e até plataformas como LinkedIn.
Esse tipo de operação indica um grau significativo de planejamento e coordenação. A engenharia social empregada aqui extrapola os tradicionais ataques de phishing ou pretexting — os criminosos agiram presencialmente e com sucessivas abordagens, o que demonstra uma operação bem estruturada.
Abuso de credenciais e falhas de controle de acesso
O sucesso da intrusão também expõe fragilidades nos controles de acesso e monitoramento de comportamento de usuários da C&M Software. O uso das credenciais de Roque se deu de forma prolongada e, segundo relatos, envolveu a execução de comandos específicos por ele mesmo, mediante instruções recebidas de terceiros.
Ainda não há detalhes técnicos públicos sobre como se deu exatamente o processo de autenticação. Uma hipótese é que os atacantes tenham se valido da colaboração contínua do funcionário para executar todas as etapas necessárias, inclusive eventuais autenticações multifator. Por outro lado, também não se pode descartar completamente a possibilidade de que mecanismos de segurança, como o MFA, tenham sido mal configurados, ineficazes ou mesmo ausentes, o que poderia ter facilitado o acesso indevido.
Independentemente da hipótese correta, o tempo de permanência dentro da infraestrutura da C&M (pelo menos dois meses) sem a detecção de atividades anômalas levanta dúvidas sobre a presença (ou eficácia) de sistemas de User and Entity Behavior Analytics (UEBA), que poderiam ter identificado desvios de padrão no comportamento do usuário.
Persistência e movimentação discreta
Roque afirma que comandos maliciosos foram executados ainda em maio, mais de um mês antes do ataque final. Isso demonstra uma presença furtiva dentro dos sistemas, com potencial movimentação lateral para reconhecimento de ativos e preparação das transações.
Embora ainda não haja detalhes técnicos públicos sobre como os atacantes mantiveram esse acesso prolongado, é tecnicamente plausível que tenham utilizado técnicas conhecidas como "Living off the Land" (LotL). Nesse tipo de abordagem, os atacantes evitam ferramentas externas e se valem de binários legítimos já presentes no sistema (LOLBins), como powershell.exe, cmd.exe, wmic ou rundll32, para executar comandos sem disparar alertas de antivírus ou EDRs.
A combinação entre persistência e uso de ferramentas nativas teria permitido que os cibercriminosos reconhecessem as contas reservas mantidas pelas instituições financeiras conectadas à C&M e orquestrassem os ataques com precisão.
Execução coordenada e evasão pós-invasão
O ataque principal foi executado na madrugada do dia 1 para 2 de julho, fora do horário comercial. Esse momento foi estrategicamente escolhido para coincidir com janelas de monitoramento reduzido por parte das instituições e da própria C&M Software. Foram registradas 166 transações via Pix em questão de horas, direcionadas para dezenas de instituições financeiras diferentes.
Com base em práticas observadas em ataques anteriores, é possível que os criminosos tenham utilizado scripts automatizados para disparar as transferências em série. A posterior conversão de valores em criptoativos — conforme investigações preliminares — é uma tática típica para dificultar o rastreamento financeiro e o processo de recuperação de ativos.
Esse tipo de movimentação também pode envolver o uso de serviços de mixing (misturadores de criptoativos) e carteiras digitais descentralizadas para ocultar a origem dos fundos.
Vulnerabilidades sistêmicas no modelo BaaS
O modelo de negócio da C&M Software, baseado em Banking-as-a-Service, funcionou como vetor multiplicador do impacto. A centralização de serviços críticos em um único provedor sem segmentações eficazes fez com que uma única violação gerasse um efeito dominó, afetando dezenas de instituições simultaneamente.
Esse cenário reforça a importância de práticas como:
- Isolamento lógico entre os ambientes de clientes;
- Segmentação de acessos privilegiados;
- Revisão contínua das APIs expostas;
- Auditoria de integrações e dependências terceirizadas.
Além disso, faltam informações públicas sobre se a C&M utilizava monitoramento contínuo com SIEM, playbooks de resposta automatizados (SOAR) ou controles de segurança específicos para APIs (como WAF com regras para JSON/XML).
MITRE ATT&CK
| Tática (ID) | Técnica (ID) | Descrição | Relevância para o Caso C&M Software |
|---|---|---|---|
| Reconnaissance (TA0043) | Gather Victim Identity Information (T1589) | Coleta de informações sobre funcionários ou perfis na organização. | Os atacantes sabiam o nome, função e local de trabalho do colaborador. |
| Resource Development (TA0042) | Establish Accounts (T1585.002) – Email Account | Criação de contas para comunicação segura e evasiva. | Uso de múltiplos números e protocolos de contato pelos criminosos. |
| Initial Access (TA0001) | Valid Accounts (T1078) | Uso de contas legítimas para obter acesso inicial. | Uso das credenciais fornecidas voluntariamente pelo colaborador. |
| Execution (TA0002) | Command and Scripting Interpreter (T1059) | Execução de comandos em terminais ou consoles, como PowerShell ou cmd. | Possível execução de comandos maliciosos nos sistemas da empresa, conforme depoimento do colaborador. |
| Persistence (TA0003) | Valid Accounts (T1078) | Manutenção do acesso por meio de credenciais legítimas. | Acesso contínuo por meses antes da execução do ataque. |
| Defense Evasion (TA0005) | Masquerading (T1036) | Uso de ferramentas ou processos legítimos para se esconder. | Hipótese de uso de LOLBins (Living off the Land). |
| Credential Access (TA0006) | Unsecured Credentials (T1552) | Acesso a credenciais armazenadas sem segurança adequada. | Possível falha de controles internos para proteção de credenciais. |
| Discovery (TA0007) | System Information Discovery (T1082) | Reconhecimento do ambiente interno. | Preparação do ataque para identificar contas reservas de instituições. |
| Collection (TA0009) | Data from Information Repositories (T1213) | Acesso a dados armazenados em sistemas internos. | Identificação de contas reservas e configuração de transações. |
| Exfiltration (TA0010) | Transfer Data to Cloud Account (T1537) | Envio de dados ou recursos financeiros para fora da organização. | Transferência dos valores para contas externas e uso posterior de criptoativos. |
| Impact (TA0040) | Data Manipulation (T1565) | Alteração de dados operacionais para obtenção de vantagem ou ocultação de rastros. | Execução de transações em massa fora do horário comercial, dificultando a resposta em tempo real. |
Conclusão
Mesmo com a prisão de um dos suspeitos da invasão, o ataque à C&M Software permanece sob intensa investigação pelas autoridades competentes, com muitos aspectos técnicos ainda sendo apurados pela Polícia Federal e pelo Banco Central. As estimativas de prejuízo variam significativamente entre as fontes, e os detalhes sobre os métodos exatos utilizados pelos criminosos continuam em sigilo investigativo. Essa limitação de informações é natural em casos dessa magnitude, mas não diminui a gravidade das vulnerabilidades expostas nem a urgência de ações preventivas no setor.
A resposta coordenada entre Banco Central, Polícia Federal e a própria C&M Software foi fundamental para conter um dano potencialmente catastrófico. O isolamento do ambiente afetado, bem como à comunicação ao BACEN e a suspensão cautelar das operações da companhia foram muito importantes para impedir a expansão do ataque. Sem essa ação rápida e coordenada, os prejuízos poderiam ter sido exponencialmente maiores.
Impacto sistêmico do modelo BaaS
O caso da C&M Software evidencia que a segurança de terceiros se tornou tão importante quanto a segurança interna das instituições financeiras. Quando empresas terceirizadas operam infraestrutura crítica, suas vulnerabilidades automaticamente se tornam problemas em todos os seus clientes. A SEK já abordou, em diversos materiais, incluindo no Think Ahead Report 2025, como uma única falha de segurança em um provedor pode comprometer dezenas de instituições.
Recomendações
A partir da análise do ataque à C&M Software, é possível identificar falhas estruturais que extrapolam vulnerabilidades técnicas pontuais e revelam lacunas em modelos modernos de prestação de serviços financeiros, como o Banking-as-a-Service (BaaS). Para enfrentar desafios dessa magnitude, é fundamental que organizações adotem uma abordagem integrada e proativa em segurança cibernética. A seguir, a SEK apresenta um conjunto de recomendações estratégicas.
1. Fortalecimento da governança de terceiros (Third-Party Risk Management – TPRM)
Empresas que delegam funções críticas a fornecedores devem implementar políticas robustas de avaliação contínua desses terceiros.
- Avaliar criticamente os controles de segurança de prestadores com acesso direto a ambientes críticos, como conectores Pix.
- Estabelecer cláusulas contratuais exigindo conformidade com normas como ISO/IEC 27001 e 27036.
- Realizar auditorias periódicas, com testes de segurança ofensiva e validações técnicas independentes. A SEK oferece consultoria especializada para revisão de contratos, políticas de segurança e implementação de frameworks de conformidade com foco em terceirização segura.
2. Blindagem contra ameaças internas (Insider Threat Management)
O uso de engenharia social para cooptação de um colaborador mostra que riscos internos devem ser tratados com a mesma seriedade que ameaças externas.
- Implementar programas contínuos de educação e sensibilização em segurança. A SEK oferece o serviço de Awareness, um programa de conscientização com simulações práticas, campanhas interativas, exercícios de phishing e palestras personalizadas.
- Estabelecer controles de acesso com base em princípios de privilégio mínimo e segregação de funções.
- Utilizar ferramentas de UEBA (User and Entity Behavior Analytics) para identificar comportamentos anômalos em tempo real.
- Implementar soluções de DLP (Data Loss Prevention), com consultoria especializada da SEK. O serviço permite prevenir a perda de dados através da monitoria de informações sensíveis em repouso ou em trânsito, alertando e bloqueando tentativas de vazamento acidental ou intencional.
3. Detecção antecipada e resposta coordenada a incidentes
O ataque ficou meses em curso antes de ser detectado. A falha na visibilidade operacional pode ser mitigada com estruturas modernas de detecção.
- Estabelecer monitoração contínua 24x7 com base em indicadores de comprometimento (IoCs).
- Integrar sistemas de SIEM com engenharia de regras personalizadas por perfil de negócio.
- Utilizar técnicas de Threat Hunting para identificar ameaças que escapam de controles tradicionais. O time da SEK oferece uma operação contínua de detecção e resposta a incidentes (MDR), com cobertura 24/7, engenharia de regras adaptadas ao cliente (DEaTH), resposta coordenada por especialistas (TAR), e integração com inteligência cibernética.
4. Controle de acessos e segmentação de privilégios
O uso de uma única conta para orquestrar fraudes em múltiplas instituições demonstra a ausência de controles granulares.
- Estabelecer autenticação multifator obrigatória com rotação periódica de chaves.
- Aplicar segmentações lógicas entre os ambientes de clientes e de gestão da infraestrutura.
- Monitorar contas com privilégios elevados com alertas em tempo real e políticas de duplo fator comportamental.
- Implementar um programa de Gestão de Vulnerabilidades como o oferecido pela SEK, com Monitoramento contínuo das superfícies de ataque internas e externas e priorização de falhas críticas ligadas à identidade e controle de acessos.
5. Validação contínua da resiliência organizacional
Não basta reagir — é preciso testar e validar regularmente a capacidade de defesa cibernética.
- Conduzir exercícios tabletop com cenários realistas baseados em incidentes recentes.
- Realizar simulações de ataque (Red Team), como o oferecido pela SEK, para testar defesas sob perspectiva adversária.
- Estabelecer indicadores de maturidade e planejar ações evolutivas de longo prazo.
6. Inteligência contra ameaças emergentes
Em ataques como o da C&M, muitas vezes a antecipação de movimentos é o diferencial entre contenção e colapso.
- Integrar inteligência de ameaças (CTI) às plataformas de monitoração e resposta.
- Consumir feeds de IoCs e TTPs em tempo real, especialmente os associados ao setor financeiro.
- Manter alinhamento com frameworks como MITRE ATT&CK e orientações da CISA/NIST.
Preparação é urgência
A SEK reforça que o fortalecimento da segurança cibernética no setor financeiro brasileiro requer maturidade, governança, disciplina operacional e cooperação entre empresas, reguladores e provedores. Ataques como o da C&M Software podem ter início em uma única credencial, mas desencadear impactos devastadores em diversas empresas. Preparar-se para esse cenário é uma urgência — e a SEK está pronta para ser parceira nessa jornada.
Fontes
Summary
Executive Summary
In the first days of July 2025, news of an invasion of C&M Software's infrastructure reverberated throughout the Brazilian financial sector and even abroad. The repercussion was not without reason, as the technology service provider is used by various fintechs and banks for integration with the Brazilian Payment System and Pix.
One of C&M Software's employees was arrested as a suspect of selling his access passwords to the invaders. As a result, criminals managed to access the company's systems and compromise reserve accounts of at least five financial institutions by making illicit transfers. Up to the time of writing this Intelligence Bulletin, C&M Software has not disclosed the amount affected by the incident, but BMP, one of its clients, reported having suffered a loss of R$ 541 million. The investigation has already led to the arrest of a former C&M Software employee, accused of selling his credentials to criminals, the suspension of several financial institutions, and the blocking of an account at Soffy Payment Solutions.
The episode raises some vulnerabilities in the Brazilian Banking-as-a-Service (BaaS) model, a strategy used by C&M Software. According to a study by Future Market Insights, the expectation is that this market will generate more than US$ 16 million by 2034. The system allows the company to offer financial services to its clients, mainly through APIs. However, the invasion was so well-planned that it managed to create a domino effect, hitting several of these institutions at the same time.
With this in mind, this Intelligence Bulletin created by SEK seeks to point out some technical opinions about the cyberattack and its repercussion. In addition, the SEK team aims to anticipate what lessons this episode can teach companies in the BaaS sector and the financial area, both in Brazil and Latin America. The intention is to prevent the next criminal attack from being so devastating.
Inside the C&M Software Attack
C&M Software operates as an IT service provider focused on Brazil's financial market. Authorized by the Central Bank to operate since 2001, the company is practically a bridge between smaller financial institutions and the Brazilian Payment System. In practice, the company allows banks and fintechs to connect to BACEN systems to offer TED, Pix, and other modalities operations to their customers. Besides C&M Software, only eight other companies also have Central Bank authorization for this operation.
As pointed out in the summary of this Bulletin, C&M Software's business model fits into the BaaS concept. The modality allows companies to offer financial products and services to their customers without necessarily becoming formal banking institutions. Thus, C&M Software consumers can provide financial products in their portfolio and, certainly, under their own brands.
According to Mordor Intelligence, the Banking-as-a-Service market size is projected to reach more than US$ 3 billion by 2030 in Latin America, a growth rate of 7% per year. The issue here, however, is that the model also presents problems from a cybersecurity perspective, mainly due to technology monopolization – and that's exactly what the C&M Software attack demonstrated.
Cyberattack Chronology
The events that culminated in the attack began long before its discovery on July 2, 2025. Below, SEK presents a chronology of everything that happened in relation to the invasion up to the writing of this Intelligence Bulletin.
João Nazareno Roque, 48, worked as a junior back-end developer at C&M Software for three years. According to testimony to the Civil Police, the operator was approached by a stranger when leaving a bar in the city of São Paulo. The meeting was clearly not casual, as the man had specific information about where João worked and what his function was. Roque claims that this data had been leaked by "hacker friends".
A week after the initial meeting, one of the criminals contacted Roque by phone. In the call, the man offered R$ 5,000 in exchange for access to C&M Software systems, in this case, the credentials used by the employee. About 15 days after the first call, the criminals offered another R$ 10,000 for João to execute specific commands within the platform. According to the suspect, the amount was delivered in cash by a motorcyclist. Another important piece of information provided by João Roque is that the criminals adopted rigorous protocols to avoid tracking. Each contact was made by different numbers and the employee was instructed to change his cell phone every fortnight. At least four cybercriminals talked to João, according to testimony to the Civil Police.
According to Roque, the malicious commands were executed within C&M Software systems during May. The main attack was executed only at dawn on July 1 to 2. That is, the criminals demonstrated an ability to maintain access to systems without triggering security alarms.
As pointed out, the attack proper was executed at dawn on July 1 to 2. According to C&M Software, there are indications that the employee's credentials were used with other auxiliary authentication mechanisms. With confirmation of privileged access, the cybercriminals managed to identify the reserve accounts of at least six financial institutions connected to C&M Software's infrastructure. Such accounts are maintained directly at the Central Bank and used to process financial movements of these institutions. The transactions were made outside business hours, taking advantage of the period with less system monitoring. There are hypotheses that these amounts were converted into cryptoassets and redistributed.
C&M Software has more than 20 companies as its clients, some of which have already confirmed that they were affected by the invasion. BMP confirmed the incident in an official note, and according to the State Department of Criminal Investigations (DEIC), the estimate is that the institution suffered a loss of R$ 541 million. However, in addition to it, other companies such as Banco Paulista, Credsystem and Banco Carrefour were hit by the cyberattack. However, all emphasized that their customers were not financially affected.
Civil Police investigations also revealed that about 166 transactions were made via Pix during the entire dawn of the attack at BMP alone. The amounts were transferred to other financial institutions, such as S3 Bank, Volui Financial Management and Soffy. However, the number may increase, as the rest of the amount was divided into accounts of more than 25 other banks. As a result of this investigation, BACEN determined the suspension of activities of all these institutions, aiming to protect the security of the payment system. So far, Soffy suffered a blockage of R$ 270 million on suspicion of receiving part of the invasion amounts. The expectation is that the Central Bank will investigate whether these organizations are related to the attack.
The attack was discovered on the morning of July 2. C&M Software reported in a statement that it isolated the compromised environment, revoked the credentials and keys used, communicated the fact to authorities and customers, among other actions. When notified, the Central Bank suspended the company's access to the Brazilian Payment System as a precaution. On the 3rd, BACEN changed the precautionary suspension to a partial suspension, "after the company adopted measures to mitigate the possibility of new incidents occurring."
João Nazareno Roque was arrested in São Paulo on July 4, 2025, under the accusation of having helped criminals in the invasion of systems. It is from his testimony that some details about the crime could be obtained.
SEK's Analysis of the Invasion
The technical analysis of the cyberattack on C&M Software allows us to better understand the sophistication of the methods employed, as well as reveal critical points of failure in security controls common to the Banking-as-a-Service (BaaS) model. Although there are still ongoing investigations, it is possible, based on available public information, to map stages and plausible hypotheses about the criminal operation.
Social engineering as initial vector
The attack had the co-optation of an employee of the company itself as its entry point, which classifies the incident as an insider threat case. According to testimonies given by developer João Nazareno Roque, he was approached in a meeting planned by criminals who already had specific information about his position and function. This type of approach suggests prior use of Open Source Intelligence (OSINT) techniques, such as data collection on social networks, public records and even platforms like LinkedIn.
This type of operation indicates a significant degree of planning and coordination. The social engineering employed here goes beyond traditional phishing or pretexting attacks — the criminals acted in person and with successive approaches, demonstrating a well-structured operation.
Credential abuse and access control failures
The success of the intrusion also exposes weaknesses in C&M Software's access controls and user behavior monitoring. The use of Roque's credentials occurred in a prolonged manner and, according to reports, involved the execution of specific commands by him, based on instructions received from third parties.
There are still no public technical details about exactly how the authentication process took place. One hypothesis is that the attackers took advantage of the employee's continuous collaboration to execute all necessary steps, including eventual multi-factor authentications. On the other hand, it is also not possible to completely rule out the possibility that security mechanisms, such as MFA, were poorly configured, ineffective or even absent, which could have facilitated unauthorized access.
Regardless of the correct hypothesis, the time spent within C&M's infrastructure (at least two months) without detecting anomalous activities raises doubts about the presence (or effectiveness) of User and Entity Behavior Analytics (UEBA) systems, which could have identified deviations from the standard in user behavior.
Persistence and discreet movement
Roque claims that malicious commands were executed as early as May, more than a month before the final attack. This demonstrates a stealthy presence within the systems, with potential lateral movement for asset reconnaissance and transaction preparation.
Although there are still no public technical details about how the attackers maintained this prolonged access, it is technically plausible that they used techniques known as "Living off the Land" (LotL). In this type of approach, attackers avoid external tools and use legitimate binaries already present in the system (LOLBins), such as powershell.exe, cmd.exe, wmic or rundll32, to execute commands without triggering antivirus or EDR alerts.
The combination of persistence and use of native tools would have allowed cybercriminals to recognize the reserve accounts maintained by financial institutions connected to C&M and orchestrate attacks with precision.
Coordinated execution and post-invasion evasion
The main attack was executed at dawn on July 1 to 2, outside business hours. This moment was strategically chosen to coincide with windows of reduced monitoring by institutions and C&M Software itself. 166 transactions via Pix were recorded within hours, directed to dozens of different financial institutions.
Based on practices observed in previous attacks, it is possible that criminals used automated scripts to trigger transfers in series. The subsequent conversion of values into cryptoassets — according to preliminary investigations — is a typical tactic to hinder financial tracking and the asset recovery process.
This type of movement may also involve the use of mixing services (cryptoasset mixers) and decentralized digital wallets to hide the origin of funds.
Systemic vulnerabilities in the BaaS model
C&M Software's business model, based on Banking-as-a-Service, functioned as a multiplier vector of impact. The centralization of critical services in a single provider without effective segmentations caused a single violation to generate a domino effect, affecting dozens of institutions simultaneously.
This scenario reinforces the importance of practices such as:
- Logical isolation between customer environments;
- Segmentation of privileged access;
- Continuous review of exposed APIs;
- Audit of integrations and third-party dependencies.
Furthermore, public information is lacking about whether C&M used continuous monitoring with SIEM, automated response playbooks (SOAR) or specific security controls for APIs (such as WAF with rules for JSON/XML).
MITRE ATT&CK
| Tactic (ID) | Technique (ID) | Description | Relevance to C&M Software Case |
|---|---|---|---|
| Reconnaissance (TA0043) | Gather Victim Identity Information (T1589) | Collection of information about employees or profiles in the organization. | The attackers knew the employee's name, function and workplace. |
| Resource Development (TA0042) | Establish Accounts (T1585.002) – Email Account | Creation of accounts for secure and evasive communication. | Use of multiple numbers and contact protocols by criminals. |
| Initial Access (TA0001) | Valid Accounts (T1078) | Use of legitimate accounts to gain initial access. | Use of credentials voluntarily provided by the employee. |
| Execution (TA0002) | Command and Scripting Interpreter (T1059) | Execution of commands in terminals or consoles, such as PowerShell or cmd. | Possible execution of malicious commands in company systems, according to employee testimony. |
| Persistence (TA0003) | Valid Accounts (T1078) | Maintaining access through legitimate credentials. | Continuous access for months before attack execution. |
| Defense Evasion (TA0005) | Masquerading (T1036) | Use of legitimate tools or processes to hide. | Hypothesis of using LOLBins (Living off the Land). |
| Credential Access (TA0006) | Unsecured Credentials (T1552) | Access to credentials stored without adequate security. | Possible failure of internal controls for credential protection. |
| Discovery (TA0007) | System Information Discovery (T1082) | Recognition of the internal environment. | Attack preparation to identify institutions' reserve accounts. |
| Collection (TA0009) | Data from Information Repositories (T1213) | Access to data stored in internal systems. | Identification of reserve accounts and transaction configuration. |
| Exfiltration (TA0010) | Transfer Data to Cloud Account (T1537) | Sending data or financial resources outside the organization. | Transfer of amounts to external accounts and subsequent use of cryptoassets. |
| Impact (TA0040) | Data Manipulation (T1565) | Alteration of operational data to gain advantage or hide traces. | Execution of mass transactions outside business hours, hindering real-time response. |
Conclusion
Even with the arrest of one of the suspects of the invasion, the attack on C&M Software remains under intense investigation by the competent authorities, with many technical aspects still being investigated by the Federal Police and the Central Bank. Damage estimates vary significantly between sources, and details about the exact methods used by criminals remain under investigative secrecy. This limitation of information is natural in cases of this magnitude, but it does not diminish the severity of the vulnerabilities exposed nor the urgency of preventive actions in the sector.
The coordinated response between the Central Bank, Federal Police and C&M Software itself was fundamental to contain a potentially catastrophic damage. The isolation of the affected environment, as well as communication to BACEN and the precautionary suspension of the company's operations were very important to prevent the expansion of the attack. Without this quick and coordinated action, the damages could have been exponentially greater.
Systemic impact of the BaaS model
The C&M Software case shows that third-party security has become as important as the internal security of financial institutions. When outsourced companies operate critical infrastructure, their vulnerabilities automatically become problems for all their customers. SEK has already addressed, in various materials, including the Think Ahead Report 2025, how a single security failure in a provider can compromise dozens of institutions.
Recommendations
From the analysis of the attack on C&M Software, it is possible to identify structural failures that go beyond specific technical vulnerabilities and reveal gaps in modern models of financial service provision, such as Banking-as-a-Service (BaaS). To face challenges of this magnitude, it is essential that organizations adopt an integrated and proactive approach to cybersecurity. Below, SEK presents a set of strategic recommendations.
1. Strengthening third-party governance (Third-Party Risk Management – TPRM)
Companies that delegate critical functions to suppliers must implement robust policies for continuous evaluation of these third parties.
- Critically evaluate the security controls of providers with direct access to critical environments, such as Pix connectors.
- Establish contractual clauses requiring compliance with standards such as ISO/IEC 27001 and 27036.
- Conduct periodic audits, with offensive security testing and independent technical validations. SEK offers specialized consulting for contract review, security policies and implementation of compliance frameworks focused on secure outsourcing.
2. Shielding against internal threats (Insider Threat Management)
The use of social engineering to co-opt an employee shows that internal risks must be treated with the same seriousness as external threats.
- Implement continuous education and awareness programs in security. SEK offers the Awareness service, an awareness program with practical simulations, interactive campaigns, phishing exercises and personalized lectures.
- Establish access controls based on principles of minimum privilege and segregation of duties.
- Use UEBA (User and Entity Behavior Analytics) tools to identify anomalous behaviors in real time.
- Implement DLP (Data Loss Prevention) solutions with specialized consulting from SEK. The service enables the prevention of data loss by monitoring sensitive information at rest or in transit, alerting and blocking both accidental and intentional leakage attempts.
3. Early detection and coordinated incident response
The attack was underway for months before being detected. The failure in operational visibility can be mitigated with modern detection structures.
- Establish continuous 24x7 monitoring based on indicators of compromise (IoCs).
- Integrate SIEM systems with custom rule engineering per business profile.
- Use Threat Hunting techniques to identify threats that escape traditional controls. SEK's team offers a continuous incident detection and response operation (MDR), with 24/7 coverage, client-adapted rule engineering (DEaTH), expert-coordinated response (TAR), and integration with cyber intelligence.
4. Access control and privilege segmentation
The use of a single account to orchestrate fraud in multiple institutions demonstrates the absence of granular controls.
- Establish mandatory multi-factor authentication with periodic key rotation.
- Apply logical segmentations between customer environments and infrastructure management.
- Monitor accounts with elevated privileges with real-time alerts and behavioral double-factor policies.
- Implement a Vulnerability Management program as offered by SEK, with continuous monitoring of internal and external attack surfaces and prioritization of critical failures linked to identity and access control.
5. Continuous validation of organizational resilience
It is not enough to react — it is necessary to test and validate the cybersecurity defense capacity regularly.
- Conduct tabletop exercises with realistic scenarios based on recent incidents.
- Perform attack simulations (Red Team), as offered by SEK, to test defenses from an adversarial perspective.
- Establish maturity indicators and plan long-term evolutionary actions.
6. Intelligence against emerging threats
In attacks like C&M's, often the anticipation of movements is the difference between containment and collapse.
- Integrate threat intelligence (CTI) into monitoring and response platforms.
- Consume IoC and TTP feeds in real time, especially those associated with the financial sector.
- Maintain alignment with frameworks such as MITRE ATT&CK and CISA/NIST guidelines.
Preparation is urgent
SEK reinforces that strengthening cybersecurity in the Brazilian financial sector requires maturity, governance, operational discipline and cooperation between companies, regulators and providers. Attacks like C&M Software's can start with a single credential, but trigger devastating impacts on various companies. Preparing for this scenario is urgent — and SEK is ready to be a partner in this journey.
Sources
Resumen
Resumen Ejecutivo
En los primeros días de julio de 2025, la noticia de una invasión a la infraestructura de C&M Software repercutió en el sector financiero brasileño e incluso en el exterior. La repercusión no fue sin razón, ya que el proveedor de servicios de tecnología es utilizado por diversas fintechs y bancos para la integración con el Sistema de Pagos Brasileño y el Pix.
Uno de los colaboradores de C&M Software fue arrestado como sospechoso de vender sus contraseñas de acceso a los invasores. Como resultado, los criminales lograron acceder a los sistemas de la empresa y comprometer cuentas de reserva de al menos cinco instituciones financieras al realizar transferencias ilícitas. Hasta el momento de escribir este Boletín de Inteligencia, C&M Software no ha divulgado la cantidad afectada por el incidente, pero BMP, uno de sus clientes, reportó haber sufrido una pérdida de R$ 541 millones. La investigación ya llevó al arresto de un ex-colaborador de C&M Software, acusado de haber vendido sus credenciales a los criminales, a la suspensión de varias instituciones financieras y al bloqueo de cuenta en Soffy Soluciones de Pagos.
El episodio plantea algunas vulnerabilidades en el modelo Banking-as-a-Service (BaaS) brasileño, estrategia utilizada por C&M Software. Según un estudio de Future Market Insights, la expectativa es que este mercado genere más de US$ 16 millones hasta 2034. El sistema permite que la compañía ofrezca servicios financieros a sus clientes, principalmente a través de APIs. Sin embargo, la invasión fue tan bien planeada que logró crear un efecto dominó, alcanzando varias de estas instituciones al mismo tiempo.
Teniendo esto en cuenta, este Boletín de Inteligencia creado por SEK busca señalar algunas opiniones técnicas sobre el ciberataque y su repercusión. Además, el equipo de SEK busca anticipar qué lecciones puede enseñar este episodio a empresas del sector BaaS y del área financiera, tanto de Brasil como de América Latina. La intención es evitar que la próxima acometida de criminales sea tan devastadora.
Dentro del ataque a C&M Software
C&M Software actúa como un proveedor de servicios de TI enfocado en el mercado financiero de Brasil. Autorizada por el Banco Central para operar desde 2001, la empresa es prácticamente un puente entre instituciones financieras menores y el Sistema de Pagos Brasileño. En la práctica, la compañía permite que bancos y fintechs se conecten a los sistemas de BACEN para ofrecer operaciones de TED, Pix y de otras modalidades a sus clientes. Además de C&M Software, solamente otras ocho empresas también tienen la autorización del Banco Central para esta actuación.
Como señalado en el resumen de este Boletín, el modelo de negocio de C&M Software se inserta en el concepto de BaaS. La modalidad permite que empresas ofrezcan productos y servicios financieros a sus clientes sin necesariamente convertirse en instituciones bancarias formales. Así, los consumidores de C&M Software pueden proporcionar productos financieros en su portafolio y, por cierto, bajo sus propias marcas.
Según Mordor Intelligence, el tamaño del mercado de Banking-as-a-Service tiene la proyección de alcanzar más de US$ 3 mil millones hasta 2030 en América Latina, una tasa de crecimiento del 7% al año. La cuestión aquí, sin embargo, es que el modelo también presenta problemas bajo la perspectiva de la seguridad cibernética, principalmente por la monopolización de la tecnología – y fue exactamente eso lo que el ataque a C&M Software demostró.
Cronología del ciberataque
Los eventos que culminaron en el ataque comenzaron mucho antes de su descubrimiento, el día 2 de julio de 2025. A continuación, SEK presenta una cronología de todo lo que pasó en relación a la invasión hasta la escritura de este Boletín de Inteligencia.
João Nazareno Roque, 48, trabajaba como desarrollador back-end junior de C&M Software hace tres años. Según testimonio a la Policía Civil, el operador fue abordado por un desconocido al salir de un bar en la ciudad de São Paulo. El encuentro, claro, no era casual, ya que el hombre tenía información específica sobre dónde trabajaba João y cuál era su función. Roque afirma que esos datos habían sido filtrados por "amigos de los hackers".
Una semana después del encuentro inicial, uno de los criminales entró en contacto con Roque por teléfono. En la llamada, el hombre ofreció R$ 5 mil a cambio del acceso a los sistemas de C&M Software, en el caso, a las credenciales utilizadas por el empleado. Cerca de 15 días después de la primera llamada, los criminales ofrecieron otros R$ 10 mil para que João ejecutara comandos específicos dentro de la plataforma. Según el sospechoso, el valor fue entregado en dinero vivo por un motociclista. Otra información importante proporcionada por João Roque es que los criminales adoptaban protocolos rigurosos para evitar el rastreo. Cada contacto era hecho por números diferentes y el colaborador fue instruido incluso a cambiar de celular cada quince días. Al menos cuatro cibercriminales conversaron con João, según testimonio a la Policía Civil.
De acuerdo con Roque, los comandos maliciosos fueron ejecutados dentro de los sistemas de C&M Software durante mayo. El ataque principal fue ejecutado solamente en la madrugada del día 1 para el 2 de julio. O sea, los criminales demostraron una capacidad de mantener el acceso a los sistemas sin disparar alarmas de seguridad.
Como señalado, el ataque propiamente dicho fue ejecutado en la madrugada del día 1 para el día 2 de julio. Según C&M Software, hay indicios de que las credenciales del colaborador fueron utilizadas con otros mecanismos de autenticaciones auxiliares. Con la confirmación del acceso privilegiado, los cibercriminales lograron identificar las cuentas de reserva de al menos seis instituciones financieras conectadas a la infraestructura de C&M Software. Tales cuentas son mantenidas directamente en el Banco Central y usadas para procesar movimientos financieros de estas instituciones. Las transacciones fueron hechas fuera del horario comercial, aprovechando el período con menor monitoreo de los sistemas. Hay hipótesis de que esos valores hayan sido convertidos en criptoactivos y redistribuidos.
C&M Software tiene más de 20 compañías como sus clientes, de las cuales algunas ya confirmaron que fueron afectadas por la invasión. BMP confirmó el incidente en nota oficial, y, según el Departamento Estadual de Investigaciones Criminales (DEIC), la estimativa es que la institución haya sufrido un perjuicio de R$ 541 millones. Sin embargo, además de ella, otras empresas como Banco Paulista, Credsystem y Banco Carrefour fueron alcanzadas por el ciberataque. Sin embargo, todas resaltaron que sus clientes no fueron afectados financieramente.
Las investigaciones de la Policía Civil también revelaron que fueron realizadas cerca de 166 transacciones vía Pix durante toda la madrugada del ataque solamente en BMP. Los valores fueron transferidos para otras instituciones financieras, como S3 Bank, Volui Gestión Financiera y Soffy. Sin embargo, el número puede aumentar, ya que el resto del valor fue dividido para cuentas de otros más de 25 bancos. Como resultado de esta investigación, BACEN determinó la suspensión de las actividades de todas estas instituciones, buscando proteger la seguridad del sistema de pagos. Hasta entonces, Soffy sufrió un bloqueo de R$ 270 millones por sospecha de recibir parte de los valores de la invasión. La expectativa es que el Banco Central investigue si estas organizaciones tienen relación con el ataque.
El descubrimiento del ataque ocurrió en la mañana del 2 de julio. C&M Software relató en comunicado que aisló el ambiente comprometido, revocó las credenciales y claves utilizadas, comunicó el hecho a las autoridades y a los clientes, entre otras acciones. Al ser notificado, el Banco Central suspendió los accesos de la compañía al Sistema de Pagos Brasileño de forma cautelar. El día 3, BACEN cambió la suspensión cautelar por una suspensión parcial, "después de que la empresa adoptara medidas para mitigar la posibilidad de ocurrencia de nuevos incidentes."
João Nazareno Roque fue preso en São Paulo el día 4 de julio de 2025, bajo la acusación de haber auxiliado a los criminales en la invasión a los sistemas. Es a partir de su testimonio que algunos detalles sobre el crimen pudieron ser obtenidos.
El análisis de SEK sobre la invasión
El análisis técnico del ataque cibernético a C&M Software permite comprender mejor la sofisticación de los métodos empleados, además de revelar puntos críticos de falla en controles de seguridad comunes al modelo Banking-as-a-Service (BaaS). Aunque aún existen investigaciones en curso, es posible, con base en la información pública disponible, mapear etapas e hipótesis plausibles sobre la operación criminal.
Ingeniería social como vector inicial
El ataque tuvo como puerta de entrada la cooptación de un empleado de la propia empresa, lo que clasifica el incidente como un caso de amenaza interna. Según testimonios prestados por el desarrollador João Nazareno Roque, él fue abordado en un encuentro planeado por criminales que ya tenían información específica sobre su cargo y función. Este tipo de abordaje sugiere el uso previo de técnicas de Open Source Intelligence (OSINT), como levantamiento de datos en redes sociales, registros públicos e incluso plataformas como LinkedIn.
Este tipo de operación indica un grado significativo de planificación y coordinación. La ingeniería social empleada aquí extrapola los tradicionales ataques de phishing o pretexting — los criminales actuaron presencialmente y con sucesivos abordajes, lo que demuestra una operación bien estructurada.
Abuso de credenciales y fallas de control de acceso
El éxito de la intrusión también expone fragilidades en los controles de acceso y monitoreo de comportamiento de usuarios de C&M Software. El uso de las credenciales de Roque se dio de forma prolongada y, según relatos, involucró la ejecución de comandos específicos por él mismo, mediante instrucciones recibidas de terceros.
Aún no hay detalles técnicos públicos sobre cómo se dio exactamente el proceso de autenticación. Una hipótesis es que los atacantes se hayan valido de la colaboración continua del empleado para ejecutar todas las etapas necesarias, inclusive eventuales autenticaciones multifactor. Por otro lado, tampoco se puede descartar completamente la posibilidad de que mecanismos de seguridad, como MFA, hayan sido mal configurados, ineficaces o incluso ausentes, lo que podría haber facilitado el acceso indebido.
Independientemente de la hipótesis correcta, el tiempo de permanencia dentro de la infraestructura de C&M (al menos dos meses) sin la detección de actividades anómalas levanta dudas sobre la presencia (o eficacia) de sistemas de User and Entity Behavior Analytics (UEBA), que podrían haber identificado desvíos de patrón en el comportamiento del usuario.
Persistencia y movimiento discreto
Roque afirma que comandos maliciosos fueron ejecutados aún en mayo, más de un mes antes del ataque final. Esto demuestra una presencia furtiva dentro de los sistemas, con potencial movimiento lateral para reconocimiento de activos y preparación de las transacciones.
Aunque aún no hay detalles técnicos públicos sobre cómo los atacantes mantuvieron este acceso prolongado, es técnicamente plausible que hayan utilizado técnicas conocidas como "Living off the Land" (LotL). En este tipo de abordaje, los atacantes evitan herramientas externas y se valen de binarios legítimos ya presentes en el sistema (LOLBins), como powershell.exe, cmd.exe, wmic o rundll32, para ejecutar comandos sin disparar alertas de antivirus o EDRs.
La combinación entre persistencia y uso de herramientas nativas habría permitido que los cibercriminales reconocieran las cuentas de reserva mantenidas por las instituciones financieras conectadas a C&M y orquestaran los ataques con precisión.
Ejecución coordinada y evasión post-invasión
El ataque principal fue ejecutado en la madrugada del día 1 para el 2 de julio, fuera del horario comercial. Ese momento fue estratégicamente elegido para coincidir con ventanas de monitoreo reducido por parte de las instituciones y de la propia C&M Software. Fueron registradas 166 transacciones vía Pix en cuestión de horas, direccionadas para decenas de instituciones financieras diferentes.
Con base en prácticas observadas en ataques anteriores, es posible que los criminales hayan utilizado scripts automatizados para disparar las transferencias en serie. La posterior conversión de valores en criptoactivos — conforme investigaciones preliminares — es una táctica típica para dificultar el rastreo financiero y el proceso de recuperación de activos.
Este tipo de movimiento también puede involucrar el uso de servicios de mixing (mezcladores de criptoactivos) y carteras digitales descentralizadas para ocultar el origen de los fondos.
Vulnerabilidades sistémicas en el modelo BaaS
El modelo de negocio de C&M Software, basado en Banking-as-a-Service, funcionó como vector multiplicador del impacto. La centralización de servicios críticos en un único proveedor sin segmentaciones eficaces hizo que una única violación generara un efecto dominó, afectando decenas de instituciones simultáneamente.
Este escenario refuerza la importancia de prácticas como:
- Aislamiento lógico entre los ambientes de clientes;
- Segmentación de accesos privilegiados;
- Revisión continua de las APIs expuestas;
- Auditoría de integraciones y dependencias tercerizadas.
Además, faltan informaciones públicas sobre si C&M utilizaba monitoreo continuo con SIEM, playbooks de respuesta automatizados (SOAR) o controles de seguridad específicos para APIs (como WAF con reglas para JSON/XML).
MITRE ATT&CK
| Táctica (ID) | Técnica (ID) | Descripción | Relevancia para el Caso C&M Software |
|---|---|---|---|
| Reconnaissance (TA0043) | Gather Victim Identity Information (T1589) | Recolección de información sobre empleados o perfiles en la organización. | Los atacantes sabían el nombre, función y local de trabajo del colaborador. |
| Resource Development (TA0042) | Establish Accounts (T1585.002) – Email Account | Creación de cuentas para comunicación segura y evasiva. | Uso de múltiples números y protocolos de contacto por los criminales. |
| Initial Access (TA0001) | Valid Accounts (T1078) | Uso de cuentas legítimas para obtener acceso inicial. | Uso de las credenciales proporcionadas voluntariamente por el colaborador. |
| Execution (TA0002) | Command and Scripting Interpreter (T1059) | Ejecución de comandos en terminales o consolas, como PowerShell o cmd. | Posible ejecución de comandos maliciosos en los sistemas de la empresa, conforme testimonio del colaborador. |
| Persistence (TA0003) | Valid Accounts (T1078) | Mantenimiento del acceso por medio de credenciales legítimas. | Acceso continuo por meses antes de la ejecución del ataque. |
| Defense Evasion (TA0005) | Masquerading (T1036) | Uso de herramientas o procesos legítimos para esconderse. | Hipótesis de uso de LOLBins (Living off the Land). |
| Credential Access (TA0006) | Unsecured Credentials (T1552) | Acceso a credenciales almacenadas sin seguridad adecuada. | Posible falla de controles internos para protección de credenciales. |
| Discovery (TA0007) | System Information Discovery (T1082) | Reconocimiento del ambiente interno. | Preparación del ataque para identificar cuentas de reserva de instituciones. |
| Collection (TA0009) | Data from Information Repositories (T1213) | Acceso a datos almacenados en sistemas internos. | Identificación de cuentas de reserva y configuración de transacciones. |
| Exfiltration (TA0010) | Transfer Data to Cloud Account (T1537) | Envío de datos o recursos financieros para fuera de la organización. | Transferencia de los valores para cuentas externas y uso posterior de criptoactivos. |
| Impact (TA0040) | Data Manipulation (T1565) | Alteración de datos operacionales para obtención de ventaja u ocultación de rastros. | Ejecución de transacciones en masa fuera del horario comercial, dificultando la respuesta en tiempo real. |
Conclusión
Incluso con el arresto de uno de los sospechosos de la invasión, el ataque a C&M Software permanece bajo intensa investigación por las autoridades competentes, con muchos aspectos técnicos aún siendo investigados por la Policía Federal y por el Banco Central. Las estimativas de perjuicio varían significativamente entre las fuentes, y los detalles sobre los métodos exactos utilizados por los criminales continúan en sigilo investigativo. Esta limitación de informaciones es natural en casos de esta magnitud, pero no disminuye la gravedad de las vulnerabilidades expuestas ni la urgencia de acciones preventivas en el sector.
La respuesta coordinada entre Banco Central, Policía Federal y la propia C&M Software fue fundamental para contener un daño potencialmente catastrófico. El aislamiento del ambiente afectado, así como la comunicación a BACEN y la suspensión cautelar de las operaciones de la compañía fueron muy importantes para impedir la expansión del ataque. Sin esta acción rápida y coordinada, los perjuicios podrían haber sido exponencialmente mayores.
Impacto sistémico del modelo BaaS
El caso de C&M Software evidencia que la seguridad de terceros se volvió tan importante como la seguridad interna de las instituciones financieras. Cuando empresas tercerizadas operan infraestructura crítica, sus vulnerabilidades automáticamente se convierten en problemas de todos sus clientes. SEK ya abordó, en diversos materiales, incluyendo el Think Ahead Report 2025, cómo una única falla de seguridad en un proveedor puede comprometer decenas de instituciones.
Recomendaciones
A partir del análisis del ataque a C&M Software, es posible identificar fallas estructurales que extrapolan vulnerabilidades técnicas puntuales y revelan lagunas en modelos modernos de prestación de servicios financieros, como el Banking-as-a-Service (BaaS). Para enfrentar desafíos de esta magnitud, es fundamental que las organizaciones adopten un abordaje integrado y proactivo en seguridad cibernética. A continuación, SEK presenta un conjunto de recomendaciones estratégicas.
1. Fortalecimiento de la gobernanza de terceros (Third-Party Risk Management – TPRM)
Empresas que delegan funciones críticas a proveedores deben implementar políticas robustas de evaluación continua de estos terceros.
- Evaluar críticamente los controles de seguridad de prestadores con acceso directo a ambientes críticos, como conectores Pix.
- Establecer cláusulas contractuales exigiendo conformidad con normas como ISO/IEC 27001 y 27036.
- Realizar auditorías periódicas, con tests de seguridad ofensiva y validaciones técnicas independientes. SEK ofrece consultoría especializada para revisión de contratos, políticas de seguridad e implementación de frameworks de conformidad con enfoque en tercerización segura.
2. Blindaje contra amenazas internas (Insider Threat Management)
El uso de ingeniería social para cooptación de un colaborador muestra que riesgos internos deben ser tratados con la misma seriedad que amenazas externas.
- Implementar programas continuos de educación y sensibilización en seguridad. SEK ofrece el servicio de Awareness, un programa de concientización con simulaciones prácticas, campañas interactivas, ejercicios de phishing y charlas personalizadas.
- Establecer controles de acceso con base en principios de privilegio mínimo y segregación de funciones.
- Utilizar herramientas de UEBA (User and Entity Behavior Analytics) para identificar comportamientos anómalos en tiempo real.
- Implementar soluciones de DLP (Prevención de Pérdida de Datos), con consultoría especializada de SEK. El servicio permite prevenir la pérdida de datos mediante la monitorización de información sensible en reposo o en tránsito, alertando y bloqueando intentos de filtración accidentales o intencionales.
3. Detección anticipada y respuesta coordinada a incidentes
El ataque quedó meses en curso antes de ser detectado. La falla en la visibilidad operacional puede ser mitigada con estructuras modernas de detección.
- Establecer monitoreo continuo 24x7 con base en indicadores de compromiso (IoCs).
- Integrar sistemas de SIEM con ingeniería de reglas personalizadas por perfil de negocio.
- Utilizar técnicas de Threat Hunting para identificar amenazas que escapen de controles tradicionales. El equipo de SEK ofrece una operación continua de detección y respuesta a incidentes (MDR), con cobertura 24/7, ingeniería de reglas adaptadas al cliente (DEaTH), respuesta coordinada por especialistas (TAR), e integración con inteligencia cibernética.
4. Control de accesos y segmentación de privilegios
El uso de una única cuenta para orquestar fraudes en múltiples instituciones demuestra la ausencia de controles granulares.
- Establecer autenticación multifactor obligatoria con rotación periódica de llaves.
- Aplicar segmentaciones lógicas entre los ambientes de clientes y de gestión de la infraestructura.
- Monitorear cuentas con privilegios elevados con alertas en tiempo real y políticas de doble factor comportamental.
- Implementar un programa de Gestión de Vulnerabilidades como el ofrecido por SEK, con monitoreo continuo de las superficies de ataque internas y externas y priorización de fallas críticas ligadas a la identidad y control de accesos.
5. Validación continua de la resiliencia organizacional
No basta reaccionar — es preciso testar y validar regularmente la capacidad de defensa cibernética.
- Conducir ejercicios tabletop con escenarios realistas basados en incidentes recientes.
- Realizar simulaciones de ataque (Red Team), como el ofrecido por SEK, para testar defensas bajo perspectiva adversaria.
- Establecer indicadores de madurez y planear acciones evolutivas de largo plazo.
6. Inteligencia contra amenazas emergentes
En ataques como el de C&M, muchas veces la anticipación de movimientos es el diferencial entre contención y colapso.
- Integrar inteligencia de amenazas (CTI) a las plataformas de monitoreo y respuesta.
- Consumir feeds de IoCs y TTPs en tiempo real, especialmente los asociados al sector financiero.
- Mantener alineamiento con frameworks como MITRE ATT&CK y orientaciones de CISA/NIST.
Preparación es urgencia
SEK refuerza que el fortalecimiento de la seguridad cibernética en el sector financiero brasileño requiere madurez, gobernanza, disciplina operacional y cooperación entre empresas, reguladores y proveedores. Ataques como el de C&M Software pueden tener inicio en una única credencial, pero desencadenar impactos devastadores en diversas empresas. Prepararse para este escenario es una urgencia — y SEK está lista para ser socia en esta jornada.
Fuentes
Central de Conteúdos SEK
Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.
Acessar Central de Conteúdos