Na madrugada de 30 de junho, a C&M, empresa brasileira provedora de serviços para o setor financeiro, foi violada por um ator não identificado, supostamente explorando credenciais vazadas de clientes da empresa.
A companhia informou que sua infraestrutura tecnológica foi comprometida, resultando na interrupção dos sistemas de seis instituições financeiras que utilizam seus serviços.
Segundo a Infomoney, o prejuízo causado pelo ataque é estimado em, no mínimo, R$ 600 milhões, o que o configura como um dos maiores incidentes de segurança já registrados no setor financeiro brasileiro.
Embora o Banco Central tenha confirmado a ocorrência, a instituição ainda não divulgou os valores afetados e o caso ainda segue sob investigação.
Apurações feitas até agora pela imprensa indicam que o ataque foi baseado em exploração de credenciais e identidade, com possível facilitação de um colaborador da empresa, o que pode caracterizar como um um caso de ameaça interna (insider threat).
A C&M afirmou em nota que pode se tratar de engenharia social:
“As evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso".
Como resposta ao incidente, o Banco Central determinou que a C&M desativasse imediatamente o acesso das instituições financeiras às suas plataformas.
Kamal Zogheib, Diretor Comercial da C&M, afirmou em nota:
“Todas as medidas previstas em nossos protocolos de segurança foram imediatamente adotadas, incluindo o reforço de controles internos, auditorias independentes e comunicação direta com os clientes afetados.”
Prevenir é o melhor ataque contra as ameaças digitais.
Aprenda a identificar e reduzir suas vulnerabilidades antes que elas virem um problema. [Baixar Guia]
Em um cenário como este, onde um ataque cibernético impacta diretamente a infraestrutura financeira e a operação de diversas instituições, agir rapidamente pode fazer toda a diferença.
Mas… como prevenir uma situação como esta e o que mais pode ser feito? Confira medidas que podem ajudar abaixo.
Boa leitura!
Prevenção: Fortalecimento da Postura de Segurança
A prevenção de ataques cibernéticos começa com a compreensão profunda das vulnerabilidades e a implementação de defesas proativas.
Num cenário de incidente como esse que aconteceu à C&M, com características de um ataque à cadeia de suprimentos cibernética - onde em vez de atacar diretamente a vítima, o atacante explora a relação de confiança entre a vítima e seus fornecedores - soluções de Gestão de Acessos Privilegiados (PAM) e acesso remoto se tornam indispensáveis.
Segurança de identidades eficaz
Embora a PAM seja tradicionalmente associada a usuários humanos com privilégios elevados, ela é igualmente vital para a segurança das identidades de máquinas (machine identity security).
Soluções de PAM estendem seus recursos para gerenciar, proteger e monitorar contas privilegiadas usadas por aplicações, serviços e dispositivos. Isso inclui senhas, chaves SSH, chaves de API e outros segredos que as máquinas utilizam para autenticação.
Uma abordagem eficaz envolve o gerenciamento centralizado e automatizado desses segredos, garantindo que não sejam "hard-coded" em scripts ou aplicações, o que representa um risco significativo.
Rotação automática de credenciais e senhas
A rotação regular e automatizada de credenciais, juntamente com o Princípio do Privilégio Mínimo (conceder apenas as permissões estritamente necessárias para cada identidade de máquina), são práticas essenciais promovidas por essas soluções.
Imagine, como exemplo, o seguinte cenário: um invasor realiza uma primeira tentativa de transação financeira de madrugada e uma segunda às 5h da manhã. Por meio de uma análise comportamental classificada como “anômala”, esta última ação pode rapidamente ser bloqueada de forma automática.
O rotacionamento de senhas e credenciais, a validação de certificados digitais, tokens e secrets, juntamente com a ativação de um just-in-time access (JIT) - proibindo o acesso durante a madrugada -, ajudam a minimizar o risco de acesso não autorizado.
Fortalecer a Infraestrutura através de configurações seguras em servidores e redes, Segmentação de Rede para limitar o impacto de um ataque, a Implementação de Autenticação Multifator (MFA) para acesso a sistemas críticos, e uma robusta Gestão de Identidades e Acessos (IAM) com o Princípio do Privilégio Mínimo, são pilares para reduzir a superfície de ataque e proteger os acessos.
Por que a proteção de identidade de máquina é importante?
Avaliação e gestão de riscos
Além disso, as etapas de Avaliação de Risco e Testes de Intrusão Avançados também são fundamentais. Uma análise de risco detalhada identifica e prioriza as fraquezas na infraestrutura, considerando cenários de ameaças avançadas e ataques direcionados, como os que visam contas de pagamento instantâneo.
Complementando essa análise, Testes de Intrusão (Pentests) e simulações de Red Team avaliam a resiliência das defesas existentes, expondo falhas exploráveis por atacantes e testando a capacidade da organização de detectar, responder e se recuperar de um ataque real.
Esses testes podem ser de caixa preta, branca ou cinza, adaptando-se aos diferentes níveis de conhecimento sobre o ambiente alvo.
Adicionalmente, a Segurança de Aplicações (DevSecOps) é fundamental, especialmente para empresas que desenvolvem soluções financeiras.
Isso envolve a Análise Estática e Dinâmica de Código (SAST/DAST) para identificar vulnerabilidades no código desde as fases iniciais do desenvolvimento, além de Testes de Segurança de APIs para proteger as interfaces de comunicação entre sistemas.
A implementação de um Programa DevSecOps integra a segurança em todo o ciclo de vida do desenvolvimento de software.
Não menos importante, vale ainda reforçar que o monitoramento contínuo das atividades de usuários e sistemas também é vital para identificar comportamentos suspeitos.
Detecção: Identificação Rápida de Ameaças
A capacidade de detectar ameaças em tempo real é crucial para minimizar os danos de um ataque cibernético. A implementação de um Centro de Operações de Segurança (SOC) é essencial para o Monitoramento de Segurança 24/7, assegurando que a infraestrutura seja continuamente observada em busca de atividades suspeitas.
Complementar a isso, a utilização de um sistema SIEM (Security Information and Event Management) permite coletar e analisar logs de segurança de diversas fontes, identificando padrões anormais e correlações que podem indicar um ataque em andamento, como acessos incomuns a contas de reserva.
Para uma detecção mais sofisticada, a Detecção de Ameaças Avançada (Threat Intelligence) é incorporada por meio da integração com fontes de inteligência sobre as últimas táticas de ataque e vulnerabilidades.
A Análise Comportamental, que utiliza algoritmos de machine learning, é fundamental para identificar anomalias no comportamento de usuários e sistemas que possam sinalizar uma violação de segurança, mesmo que não haja assinaturas de ataque conhecidas.
Por fim, a implementação de Sistemas de Detecção e Prevenção de Intrusão (IDS/IPS) monitora o tráfego de rede em busca de atividades maliciosas e pode bloquear automaticamente ataques conhecidos, protegendo pontos de entrada críticos.
Resposta a Incidentes: Minimização de Danos e Recuperação
Uma resposta eficaz a incidentes é vital para conter um ataque, minimizar os danos e garantir uma rápida recuperação.
O ponto de partida é o desenvolvimento de um Plano de Resposta a Incidentes (IRP) abrangente, que defina procedimentos claros para identificar, conter, erradicar e recuperar de incidentes de segurança cibernética.
A realização regular de Simulações de Incidentes (Tabletop Exercises) é crucial para testar a eficácia do plano e garantir que a equipe esteja preparada para lidar com um ataque real, como o que atingiu a infraestrutura de pagamentos da C&M.
Para executar esse plano, é indispensável contar com uma Equipe de Resposta a Incidentes (IRT) dedicada, composta por especialistas em cibersegurança disponíveis 24/7.
Esta equipe é responsável pela Análise Forense Digital, que coleta e analisa evidências para determinar a causa raiz do incidente e identificar os responsáveis.
Além das ações técnicas, a Comunicação e Notificação são elementos críticos da resposta a incidentes. Um plano de comunicação bem definido assegura que todos os stakeholders internos e externos, incluindo clientes afetados, reguladores e autoridades policiais, sejam informados de forma clara e oportuna, mantendo a transparência e gerenciando a crise de imagem.
Se sua organização busca fortalecer sua segurança cibernética, a implementação desses pilares pode ser um divisor de águas na proteção contra ameaças digitais.
Esteja um passo à frente. Agende uma demo gratuita agora mesmo e veja na prática como a Segura® consegue te proteger em cada etapa.
Filipi Pires atua como Head de Identity Threat Labs e Global Product Advocate na Segura®, Diretor do Red Team Village, Conselheiro Sênior na Raices Cyber Academy, Fundador da Red Team Community (Brasil e LATAM), AWS Community Builder, Snyk Ambassador, Especialista em Segurança de Aplicações e Defensor da causa "Hacking is not a crime". Além disso, é palestrante internacional em eventos de Segurança e Novas Tecnologias, como Black Hat, Defcon e RSA. Professor em Mestrado e MBAs e criador de cursos sobre Malware Analysis e Segurança Ofensiva.
Full Bio and articles