A Polícia Federal (PF) interceptou as mensagens trocadas por dois hackers após a divulgação das primeiras notícias sobre o ataque cibernético contra a empresa C&M Software, responsável por conectar instituições financeiras ao Banco Central (BC). O golpe, que aconteceu em 1º de julho, desviou cerca de R$ 813 milhões de oito bancos.
Nos diálogos obtidos pelo jornal O GLOBO, os criminosos - de codinome "Breu" e "Blady" - falavam sobre as notícias e discutiam estratégias de lavagem de dinheiro por meio de criptomoedas. "Tamo famoso kk", escreveu um deles.
As conversas, recuperadas pela PF, foram usadas na denúncia do Ministério Público de São Paulo contra Blady, acusado de furto qualificado por fraude eletrônica e lavagem de dinheiro. Segundo a investigação, era ele quem recebia os valores desviados e os convertia em tokens digitais para dificultar o rastreio.
O esquema ocorreu da seguinte forma: os hackers invadiram o sistema de uma empresa ligada ao BC e desviaram dinheiro de bancos para contas de laranjas. Depois, o corretor de criptoativos - no caso, Blady - recebia esses valores e os transformava em moedas digitais, como bitcoin e USDT, para tentar esconder a origem do dinheiro.
Conversas
Conforme as investigações, Blady foi acionado pelo grupo de hackers em abril. Nas primeiras conversas, ele logo ofereceu os seus serviços: "Eu tenho uma lista aqui pancada de lara (termo para 'laranjas', segundo a PF)" . "Bota eu para ajudar a desenrolar o tampo", sugere.
Na outra linha, o hacker diz que "está esperando o tio desenrolar" , uma possível referência ao líder da fraude, e completa: "O meu programador chega aí, entendeu. Ele está vindo aí pra mexer justamente no veado desse BM" . Essa sigla seria uma possível referência à BMP Sociedade de Crédito, uma das instituições mais lesadas pelo ataque hacker, segundo a PF.
Em maio, Breu voltou a procurar o hacker e questionou se ele poderia movimentar R$ 1 bilhão. Diante da negativa, ironizou: "Tem alguns trilhões aqui".
"Mano, só compra bitcoin, depois a gente limpa", escreveu Breu. Blady, apontado como especialista em criptoativos, retrucou: "Mas é mais fácil limpar enquanto é USDT pra sacar os blocos, pô. Depois tem que tirar de bitcoin e passar pra USDT de novo".
Dias depois, já na semana que antecedeu o ataque, o corretor demonstrava estar pronto para lidar com a quantia. Ele mencionou ter acesso a contas de laranjas e contatos com supostos "donos de bancos" digitais, que não foram identificados pela PF.
"Estou com aquelas duas contas que eu te falei, tesouraria de banco, ela é sem limite, mas o cara resume 40 milhões, mas se tiver como botar API nela aí, é, para uma mesa, o que entrar sai", afirmou.
Na véspera da invasão à C&M, recebeu o aviso para "ficar on" e já começar a limpar o dinheiro. Com as credenciais de um funcionário da empresa, que teria vendido seu login e senha, o grupo instalou um software malicioso no sistema e deu início às transferências para contas controladas pelo hacker.
Ele foi preso em julho, com a esposa. Na operação, a PF apreendeu uma chave privada de acesso a uma carteira de criptoativos e conseguiu recuperar R$ 5,5 milhões. Ainda assim, o prejuízo estimado pela PF e pelo MP foi de R$ 813 milhões desviados.
Outro integrante da quadrilha fugiu para a Alemanha um dia após o ataque e segue foragido. O nome dele foi incluído na lista de difusão vermelha da Interpol.
Ataque cibernético
Na época, a C&M Software confirmou o desvio, mas negou qualquer vazamento ou extração de dados de clientes e instituições financeiras. O Banco Central, por sua vez, suspendeu a conexão da empresa com o sistema do Pix por alguns dias.
Embora o ataque tenha afetado pagamentos via Pix, na época do ataque, o Banco Central afirmou que nenhum sistema da instituição foi comprometido, uma vez que a invasão focou na empresa terceirizada.
O Portal iG procurou o MPSP para mais informações, que respondeu que o processo tramita em segredo de Justiça. A reportagem também procurou o BC para mais esclarecimentos e aguarda retorno.