Блог компании Positive Technologies | 920 долларов за доступ к 140 миллионам: беспрецедентная атака на банковскую систему Бразилии

Когда речь заходит о киберпреступлениях, в воображении сразу возникает привычный образ: хакер в капюшоне, сидящий перед монитором, на котором бегут зеленые строки кода. Однако на практике не менее опасными оказываются атаки, в которых главным инструментом становится не вредоносное ПО, а человек. Особенно если он находится внутри системы.

Большая кража началась с малого

30 июня 2025 года стал черным днем для банковской системы Бразилии. Хакерам удалось незаметно похитить почти 140 миллионов долларов со счетов шести банков. Деньги исчезли без громких взломов и вирусов — с молчаливого согласия одного-единственного человека: сотрудника компании C&M, которая обеспечивает финансовую связность между банками и Центральным банком страны.

Именно через инфраструктуру компании-интегратора был открыт доступ к ключевым финансовым шлюзам. Имя «героя», учетная запись которого стала «точкой входа» и помогла злоумышленникам совершить крупнейшее ограбление последних лет, — Жуан Назарено Роке.

Социальная инженерия по-бразильски

По имеющейся информации, хакеры встретились с Роке, когда он вышел из бара. И это была не случайность — преступники заранее выбрали потенциально уязвимое звено и действовали по наработанному сценарию. Аналогичный подход ранее был применен в атаке на Coinbase, когда сотрудники службы поддержки в Индии были подкуплены с целью получения доступа к конфиденциальной информации.

Итак, злоумышленники сделали Роке предложение, от которого тот не смог отказаться.За 920 долларов он передал злоумышленникам свои корпоративные учетные данные, открыв тем самым дверь в одну из самых чувствительных систем финансовой инфраструктуры Бразилии.

Однако на этом история не закончилась. Получив первый транш, Роке продолжил сотрудничество, и выполнял инструкции злоумышленников, поступавшие через платформу Notion. За дополнительные действия он получил еще 1850 долларов. Таким образом, общая цена предательства составила 2770 долларов.

При этом нельзя сказать, что Роке действовал бездумно. Он явно понимал, во что ввязывается, и предпринимал попытки замести следы. Инсайдер регулярно менял телефоны, избегал личных контактов, работал по удаленным указаниям. Но это не спасло. Роке быстро вычислили, и уже 3 июля его задержали в Сан-Паулу.

Расследование

Полиция Бразилии, полиция Сан-Паулу и Центробанк ведут три независимых расследования инцидента, однако информация о преступниках, причастных к ограблению, пока не разглашается.

Параллельно с этим стали появляться данные о перемещении похищенных средств. Аналитик блокчейна ZachXBT сообщил, что злоумышленники уже перевели от 30 до 40 миллионов долларов в криптовалюту, используя Bitcoin, Ethereum и Tether. Переводы осуществлялись через различные биржи и анонимные внебиржевые площадки в странах Латинской Америки.

ZachXBT заявил, что отслеживает адреса, связанные с злоумышленниками, и помогает правоохранительным органам замораживать активы.

Позиция компании

В компании C&M подчеркивают, что их системы остаются защищенными, а инцидент стал возможен не в результате взлома систем, а при использовании социальной инженерии. Представители организации заявили, что внутренние механизмы безопасности помогли оперативно выявить факт несанкционированного доступа и передать информацию в полицию.

Комментариев для международных СМИ пока не поступало, однако данный инцидент уже вызвал широкий резонанс в банковских и экспертных кругах. Атака на банковскую систему Бразилии стала наглядным примером того, как действия одного человека способны поставить под угрозу стабильность финансовой системы целой страны.