W oknie ośmiu dni między 21 a 28 kwietnia 2026 roku Brazylia zarejestrowała — prawie w milczeniu redakcyjnym — serię incydentów cybernetycznych, które czytane razem opisują kraj pod krzyżowym ogniem na co najmniej czterech jednoczesnych frontach: międzynarodowy system bankowy, krajowy sektor bankowości detalicznej, edukacja prywatna i baza tożsamości cyfrowej zbudowana wokół CPF. Każdy incydent, izolowany, był traktowany jako zdarzenie administracyjne. Rozpatrywane razem tworzą argument, że brazylijska infrastruktura cyfrowa operuje w kwietniu w warunkach ciągłego kompromisu.
To dochodzenie organizuje cztery przypadki: atak na BTG Pactual poprzez DriveWealth, odkryty 24 kwietnia; defraudacja w Banco Rendimento, powstrzymana 21 kwietnia; reivindicacja grupy TheGentlemen przeciwko domenie szkoły Notre Dame de Campinas, opublikowana 28 kwietnia; i wyciek "Morgue", który wystawił na sprzedaż 251,7 miliona rekordów CPF powiązanych z portalem Gov.br. Każdy przypadek ma inną anatomię techniczną. Ale wspólny mianownik jest ten sam, i to jest główny punkt tego tekstu.
Rozdział 1 — BTG Pactual, DriveWealth i kruchość łańcucha międzynarodowego
BTG Pactual w piątkowy wieczór 24 kwietnia poinformował podzbiór klientów mieszkających poza Stanami Zjednoczonymi, że doszło do nieautoryzowanego dostępu do danych osobowych poprzez atak cybernetyczny na DriveWealth LLC, swojego północnoamerykańskiego partnera custodial dla kont międzynarodowych. Atak, zgodnie z komunikatem, miał miejsce w końcu marca 2026; bank został powiadomiony przez DriveWealth w tygodniu 21 kwietnia i potrzebował około 72 godzin na przygotowanie komunikacji do klientów.
Dane ujawnione, według BTG: imiona i nazwiska, informacje o koncie i identyfikatory bankowe. Bank podkreślał, że "żadne aktywa ani saldo w dolarach BTG Pactual lub naszych klientów nie zostały zagrożone", i ogłosił, że numery kont dotkniętych osób zostaną zastąpione w kolejnych tygodniach jako środek prewencyjny. Nie zidentyfikowano publicznie aktora zagrożenia.
Punkt, który ma znaczenie, poza szczegółem operacyjnym: BTG nie był atakowany bezpośrednio. Atak był wymierzony w zleceniodawcę działającego w USA, świadczącego usługi maklerskie i depozytowe dla międzynarodowych klientów brazylijskiego banku. Ten wzór — kompromitacja dużego banku poprzez atakowanie małego partnera — to dziś dominujący tryb działania cyberprzestępczości przeciwko finansowemu sektorowi elity. DriveWealth obsługuje dziesiątki innych instytucji oprócz BTG, a wiadomość z ubiegłego tygodnia jest pierwszą z prawdopodobnego szeregu podobnych ujawnień przez korespondencyjne banki.
Dla dotkniętych klientów BTG, natychmiastowy wpływ jest ograniczony: ujawnione dane osobowe mogą być używane w ukierunkowanym phishingu, ale nie ma bezpośredniego dostępu do pieniędzy. Wpływ strukturalny jest jednak większy. Model "konta międzynarodowego poprzez partnera" — który brazylijskie banki oferują klientom private dla dywersyfikacji geograficznej — zależy całkowicie od bezpieczeństwa zagranicznego dostawcy, nad którym brazylijski bank nie ma bezpośredniej kontroli. Gdy ten dostawca jest przełamany, brazylijski bank dziedziczy ryzyko reputacyjne bez możliwości uniknięcia awarii technicznej. To ten sam wzór ataku łańcucha dostaw, który dokumentowaliśmy w innych kontekstach — tylko zastosowany do handlu finansowego wysokiego dochodu.
Rozdział 2 — Banco Rendimento i defraudacja 100 milionów reali powstrzymana w godzinach
W poranek wtorku 21 kwietnia 2026 roku Banco Rendimento zidentyfikowało i powstrzymało z własnej inicjatywy incydent cybernetyczny w niektórych z jego kanałów dostępu dla klientów. Według ustaleń opublikowanych kolejno przez specjalizowane media w kolejnych dniach, atak obejmował defraudację około 100 milionów reali z operacji banku. Zespół bezpieczeństwa informacji, zgodnie z oficjalnym komunikatem, działał w pierwszych godzinach, aby wyizolować zagrożenie, odzyskać część zdefraudowanych kwot i wzmocnić środki ochrony. Przypadek został zgłoszony właściwym władzom.
Najistotniejszy i jednocześnie najmniej omawiany fakt: bank odzyskał większość zdefraudowanej kwoty, kończąc incydent ze szacunkową stratą między 20 a 40 milionami reali. W wartościach bezwzględnych to pieniądz. W stosunku do ataku, który mógłby kosztować 100 milionów reali, to uzasadniona defensywa — wspierana mechanizmami detekcji anomalii w czasie rzeczywistym i szybką odpowiedzią operacyjną.
Rendimento to, w kontekście brazylijskiego systemu bankowego, instytucja średniej wielkości o silnej obecności w wymianie walut i korespondencji międzynarodowej. Że bank tego profilu był celem operacji, która miała za cel defraudację dziewięciu cyfr w walucie krajowej — i że operacja ta została wykonana z wystarczającą czasową marżą, aby około 60 do 80 milionów reali mogło być odzyskane przed dotarciem do celu — sugeruje, że atakujący nie przewidzieli szybkości reakcji. To rzadki przypadek, w którym infrastruktura defensywna wygrała przez odruch, nie przez zapobiegawczy projekt.
Z kolei Banco Central zanotował w 2025 roku łącznie 76 incydentów cybernetycznych uważanych za "znaczące" zgłoszonych przez krajowy system finansowy — liczba o 29% wyższa niż w 2024 roku. Dane z 2026 roku nie są jeszcze publicznie skonsolidowane, ale częstość i skala zdarzeń z pierwszego kwartału sugerują, że końcowa liczba znacznie przekroczy liczbę z 2025 roku.
Rozdział 3 — TheGentlemen i atak na kolegium Notre Dame de Campinas
28 kwietnia 2026 roku aktor zagrożenia TheGentlemen opublikował na swojej platformie wycieku — witrynie .onion, gdzie grupa ogłasza ofiary, które odmówiły zapłacenia okupu — reivindicację ataku na domenę notredamecampinas.com.br, powiązaną z katolicką siecią edukacyjną Notre Dame de Campinas w São Paulo. Szczegóły publiczne dotyczące liczby danych i typów ujawnionych rekordów są, do czasu zamknięcia tego dochodzenia, ograniczone. Przypadek został zanotowany przez niezależnych monitorów naruszeń, ale nie ma oficjalnego potwierdzenia sieci edukacyjnej co do zakresu incydentu.
Kąt, który czyni ten przypadek istotnym dla ogólnej tezy tego tekstu, to nie liczba — która może okazać się skromna — ale tożsamość celu i atakującego:
- Cel: brazylijska instytucja edukacyjna sektora prywatnego obsługująca dzieci i adolescentów. Wycieki w sektorze edukacyjnym są szczególnie wrażliwe, ponieważ zwykle ujawniają dane osoby nieletniej, rejestry zdrowia szkolnego, informacje finansowe opiekunów i w niektórych przypadkach komunikację między instytucją a rodziną. Brazylia nie uregulowała jeszcze rygorystycznie traktowania danych osób nieletnich w kontekście edukacyjnym — LGPD oferuje ramę, ale multy i kontrole specyficzne dla sektora pozostają na wczesnym etapie.
- Atakujący: TheGentlemen to dziś jedna z najbardziej aktywnych operacji ransomware-as-a-service na świecie. Powstała w połowie 2025 jako RaaS rekrutujący afiliujących z forów podziemia, grupa publicznie reiwindycowała już ponad 320 ofiar w ponad 50 krajach, z 240 atakami skoncentrowanymi w pierwszych miesiącach 2026. Operacja zapewnia swoim afiliowanym multi-OS lockery dla Windows, Linux, NAS i BSD (napisane w Go) i dedykowany locker dla ESXi (w C), plus narzędzia neutralizacji EDR i infrastrukturę pivot multi-chain.
Techniczny profil TheGentlemen to profil dojrzałego operatora ze zdolnościami przemysłowymi ataku. Że grupa włączyła brazylijską sieć edukacyjną do swojego kalendarza kwietnia — razem z ofiarami włoskiej obrony, producentem mikroelektroniki Filipin i handlem sportowym Maroka, wszystkie ogłoszone w tym samym oknie — sugeruje, że Brazylia weszła w stabilny sposób do portfela rutynowych celów międzynarodowego RaaS. Nie jest to już incydent izolowany; to przepływ produkcji.
Rozdział 4 — Morgue: 251,7 miliona CPF i wyciek, który zmartwychwstał zmarłych
Najbardziej poważne odkrycie w oknie kwietnia przyszło bez oficjalnego ogłoszenia, bez briefingu dla mediów, bez federalnego potwierdzenia. Aktor zagrożenia działający pod pseudonimem "Buddha" wystawił na sprzedaż w forum podziemia bazę danych nazwaną "Morgue", zawierającą 251.720.444 rekordy CPF z powiązaniami z portalem Gov.br — łącznie 25,1 GB danych w czystym tekście. Aby wykazać autentyczność, sprzedawca udostępnił bezpłatnie próbkę z 20 tysiącami linii. Odkrycie zostało początkowo zgłoszone przez VECERT, główne źródło redakcyjne ON3X w bezpieczeństwie cybernetycznym kraju.
Liczba jest sama w sobie kamieniem milowym: przekracza wyciek 223 milionów CPF z 2021, który do tego czasu był największym incydentem tego typu kiedykolwiek zarejestrowanym w kraju. Liczba przekracza nawet żyjącą populację brazylijską — ponieważ zawiera rejestry osób zmarłych. Sama struktura bazy to potwierdza: oprócz CPF i powiązania Gov.br, pola zawierają przynależność, status śmierci z datą, rasę i miasto urodzenia. Brazylia wydaje CPF od 1965 roku, a wyciek Morgue wydaje się konsolidować dziesięciolecia rekordów — żywych, zmarłych i warstw demograficznych, które normalnie nie byłyby dostępne dla równoległego rynku danych.
Ekstrakcja miała miejsce, według aktora, 15 marca 2025 roku. Publiczne ogłoszenie przyszło w kwietnia 2026 — interwał 13 miesięcy między kompromisem a ujawnieniem, podczas którego zbiór mógł być sprzedawany prywatnie, używany w ukierunkowanych kampaniach oszustw lub wykorzystywany w operacjach inżynierii społecznej. Do czasu zamknięcia tego dochodzenia, ani rząd federalny ani Krajowy Urząd Ochrony Danych (ANPD) nie wydały potwierdzenia ani publicznego komunikatu na temat przypadku.
Milczenie jest samo w sobie faktem: ANPD została utworzona w 2018 roku z wyraźnym mandatem nadzorowania incydentów na dużą skalę. Trzynaście miesięcy między ekstrakcją a publikacją, i mimo to nie było wypowiedzi. Dla obywatela, którego CPF jest prawdopodobnie wśród 251 milionów ujawnionych — co, biorąc pod uwagę liczby, jest prawie każdy dorosły Brazylijczyk żywy — nie ma oficjalnych wytycznych dotyczących weryfikacji ekspozycji, ani porad dotyczących podejmowanych środków ochronnych.
Wspólny mianownik: ataki poprzez zlecanie i starość
Cztery przypadki mają różne anatomie techniczne. BTG został trafiony poprzez zagranicznego partnera. Rendimento poprzez bezpośrednią intruzję w kanały klientów. Notre Dame poprzez skomercjalizowaną operację ransomware-as-a-service. Morgue poprzez ekstrakcję z bazy rządowej, której dokładne pochodzenie nie zostało potwierdzone. Ale dwie strukturalne nitki zszywają cztery razem:
Nić 1 — Atak na peryferyjny perimetr. W trzech z czterech przypadków (BTG, Notre Dame, Morgue) nominalna ofiara nie jest tą samą, która jest ofiarą techniczną. BTG nie został zaatakowany — DriveWealth została. Notre Dame mogła nie być celem wybranym z imienia — mogła paść na wzór ogólnej skanowania TheGentlemen przeciwko sektorem edukacyjnym. Morgue nie wyciekł bezpośrednio z Gov.br — wyciekł z jakiegoś integratora, dostawcy lub bazy pośredniej, która ma autoryzowany dostęp do rekordów. Brazylia dziś jest bardziej atakowana przez jej peryferyjne umowy niż przez jej obronione rdzenie.
Ten wzór ma techniczne imię — atak łańcucha dostaw — i nazwę strukturalną: zlecanie bez audytu. W każdym węźle peryferyjnym, który uzyskuje dostęp do danych matki-instytucji bez przeprowadzania bezpieczeństwa tego węzła w tym samym wzorze co instytucja centralna, tworzony jest punkt wejścia. I te punkty mnożą się szybciej niż zespoły governance mogą je mapować.
Nić 2 — Stare dane zmartwychwstające jako aktualne aktywa. Morgue została ekstrakcji w marcu 2025, sprzedana w kwietnia 2026. Przypadek Kraken — który VECERT dokumentował 13 kwietnia — obejmował 5,3 miliona rekordów, które wydawały się być odzyskanymi danymi z wcześniejszych ekspozycji, przepakowywane jako "nowy" wyciek na potrzeby wymuszenia. Zjawisko jest takie samo: dane, które powinny były być usunięte, rotacyjne lub zneutralizowane, pozostają aktywne na rynku równoległym, pojawiając się w cyklach monetyzacji, które trwają od miesięcy do lat po oryginalnej ekstrakcji.
Konsekwencja jest taka, że "remediacja" wycieku — zmiana haseł, rotacja tokenów, monitorowanie oszustw — ma okno efektywności znacznie dłuższe niż się zakłada. CPF, w odróżnieniu od hasła, nie może być rotacyjny. Raz ujawniony, jest ujawniony na zawsze. I równoległy rynek brazylijskich danych, zasilony ekspozycjami nagromadzonymi od 2021 — gdy wyciek 223 milionów oznaczył początek tej ery — ma dziś wystarczająco dużo materiału do operacji oszustw, inżynierii społecznej i kradzieży tożsamości, które będą się rozciągać przez całą dekadę.
Co łączy cztery przypadki z tym, co już pokryliśmy
Ta sekwencja nie przychodzi w redakcyjnej próżni. 27 kwietnia ON3X opublikował dochodzenie VECERT, które zmapowało 32 aktorów zagrożenia i 29,8 TB ujawnionych brazylijskich danych w ciągu 90 dni, obejmujące 214 zagrożonych instytucji i 1.752 korporacyjne SMTP na sprzedaż. Morgue, BTG i Rendimento to wszystkie bezpośrednie rozszerzenia tego inwentarza — teraz z imionami, numerami i timestampami. I 29 kwietnia ON3X osobno dokumentował wyciek w Dígitro Tecnologia, który ujawnił kod źródłowy Systemu Guardião i dotknął ponad 150 agencji federalnych, które zależą od firmy do autoryzowanego abonamentu telefonicznego za pośrednictwem sądowego drogi.
Czytane razem — VECERT, Dígitro, BTG, Rendimento, Notre Dame, Morgue — te przypadki tworzą panel kwietnia, który nie ma bezpośredniego precedensu w historii brazylijskiego bezpieczeństwa cybernetycznego. Nie w izolowanej liczbie każdego incydentu, ale w gęstości okna: sześć znaczących zdarzeń w nieco ponad 30 dni, przecinające wszystkie główne sektory gospodarki formalnej (finanse, rząd, edukacja, dostawcy państwowi).
Kontekst międzynarodowy pomaga skalibrować interpretację. Kampania Lazarus przeciwko wykonawczym kripto poprzez macOS, którą dokumentowaliśmy 23 kwietnia, i klaster hacks DeFi, który pokryliśmy w "Cross-Chain Sangrou" z 28 kwietnia, pokazują, że ten sam typ systematycznej presji, która uderza w Brazylię, uderza w określone sektory globalnego ekosystemu kripto-finansowego. Różnica jest strukturalna: sektor kripto, nawet w kryzysie, ma zdolność audytu publicznego (otwarte oprogramowanie, szczegółowe post-mortemy, niezależne społeczności techniczne). Sektor publiczny brazylijski i większość tradycyjnego sektora finansowego tego mięśnia nie mają — działają w defensywnej tajemnicy, z minimalnym ujawnianiem i wolną odpowiedzialnością.
Perspektywa ON3X
Trzy interpretacje do zamknięcia:
1. Brazylia potrzebuje obowiązkowego i szybkiego reżimu ujawniania incydentów dla sektora publicznego i bankowego. ANPD istnieje od siedmiu lat i wciąż nie narzuciła tempa notyfikacji zgodnego z szybkością ekspozycji. SEC Ameryki wymaga istotnego ujawnienia w ciągu 4 dni roboczych dla spółek notowanych. Unia Europejska, poprzez NIS2, wymaga raportowania początkowego w ciągu 24 godzin dla znaczących incydentów w sektorze krytycznym. Brazylia działa dziś w elastycznym oknie, które wynosi od "kilka dni" w sektorze finansowym do "nigdy" w sektorze publicznym. Przypadek Morgue — 13 miesięcy między ekstrakcją a publikacją, bez oficjalnej notatki — to skrajny przykład problemu. Bez prawnego terminu obowiązkowego powiadomienia, obywatel dowiada się ostatni.
2. Zlecanie bez audytu to dominujący wektor i wymaga odpowiedzi architektonicznej. Brazylijskie banki obsługujące konta międzynarodowe poprzez zagranicznych partnerów muszą tworzyć umowy z klauzulami ciągłego audytu, weryfikowalnymi minimalnymi standardami bezpieczeństwa i reżimem natychmiastowego powiadomienia. Firmy obsługujące usługi krytyczne dla Państwa — takie jak Dígitro — muszą podlegać audytom kodu przez niezależne strony trzecie, z publikacją streszczeń wykonawczych. LGPD tam nie dociera. Potrzebny byłby komplementarny ramy regulacyjny dla łańcucha dostawców sektora krytycznego.
3. Defensywa zadziałała w Banco Rendimento — i to jedyna dobra wiadomość okna. Przypadek Rendimento pokazuje, że detekcja anomalii w czasie rzeczywistym, w połączeniu z szybką odpowiedzią operacyjną, wciąż jest w stanie zneutralizować znaczną część ataku, nawet gdy przeciwnik jest już w środku. Atak miał na celu wyjęcie 100 milionów reali; wyszedł z 20 do 40 milionami reali. Nie to zwycięstwo — to schodzi na zawartą szkodę. Ale to najlepszy wynik okna i jedyny, który oferuje model możliwy do replikacji dla innych instytucji. Lekcja nie jest taka, że system jest bezpieczny; lekcja to to, że szybkość odpowiedzi ma większe znaczenie niż zapobieganie, gdy zapobieganie już zawiodło. A szybkość odpowiedzi wymaga inwestycji w zespół, narzędzia i procesy symulacji incydentów — dokładnie to, co większość instytucji brazylijskih odkłada do momentu, w którym jest już za późno.
Kwiecień zamyka się z Brazylią bardziej eksponowaną niż weszła. Maj zaczyna się od Uchwały 519 Banco Central, która od 4 dnia czyni obowiązkowym raportowanie operacji kripto międzynarodowych — dodatkowa warstwa widoczności, która zwiększa presję regulacyjną bez rozwiązania problemu strukturalnego fundamentu. Pytanie, które każda instytucja brazylijska — publiczna lub prywatna — musi sobie teraz postawić, to nie "czy zostaliśmy zaatakowani?" ale raczej "kiedy i jak odkryjemy, że zostaliśmy?". Opóźnienie między zdarzeniem a uznaniem we wszystkich czterech przypadkach wymienionych tutaj było różnicą między zawartą a skonsolidowaną szkodą.