C&M Software: Ransomware-Gruppe recycelt offenbar alte Daten

Der brasilianische Fintech-Anbieter C&M Software weist Vorwürfe einer erneuten Cyberattacke zurück. Die Ransomware-Gruppe DragonForce hatte das Unternehmen am Wochenende auf ihrer Leak-Seite im Darknet gelistet und behauptet, 392 GB sensibler Daten erbeutet zu haben. Doch nach Angaben von C&M Software vom Montag handelt es sich dabei um Material aus einem bereits bekannten Vorfall vom Juni 2025.

Für die brasilianische Finanzbranche ist der Fall brisant: C&M Software spielt eine zentrale Rolle im PIX-Zahlungssystem des Landes – einem Instant-Payment-Netzwerk, das täglich Milliarden Reais bewegt. Sollten die Vorwürfe stimmen, wäre die kritische Infrastruktur erneut kompromittiert. Doch diesmal scheint es sich um eine Täuschung zu handeln.

Ransomware-Angriffe wie die DragonForce-Vorwürfe zeigen, wie schnell gestohlene oder recycelte Datensätze für Phishing, Betrug und Systemausfälle ausgenutzt werden können – besonders in Zahlungsnetzwerken wie PIX. Ein kostenloser, praxisorientierter Cyber-Security-Guide erklärt IT-Verantwortlichen und Geschäftsführern konkret, welche Sofortmaßnahmen und Prioritäten jetzt greifen müssen: Risikoanalyse, Absicherung von Schnittstellen, Forensik-Checks und einfache Mitarbeiterschulungen. Ideal für Finanzdienstleister, die ohne hohe Kosten ihre Sicherheit stärken wollen. Kostenlosen Cyber-Security-Guide anfordern

Am Samstag, den 22. November, tauchte C&M Software auf der Leak-Seite der DragonForce-Bande auf. Die Gruppe behauptet, knapp 400 Gigabyte an Unternehmensdaten gestohlen zu haben. Ein Countdown-Timer sollte Druck aufbauen: Meldet sich niemand aus dem Unternehmen, droht die vollständige Veröffentlichung.

DragonForce operiert nach dem Ransomware-as-a-Service-Modell und war das gesamte Jahr 2025 über aktiv. Das Kartell attackiert vor allem Unternehmen aus Handel, Produktion und Technologie in Nord- und Südamerika sowie Europa. Auffällig: Die Gruppe veröffentlichte zunächst keine Datenproben – eine Praxis, die Cyberkriminelle normalerweise nutzen, um die Authentizität ihrer Beute zu belegen.

“Keine neuen unberechtigten Zugriffe”

C&M Software reagierte am Montag entschieden. Nach einer forensischen Sofortanalyse erklärte das Sicherheitsteam: “Es gibt keine Hinweise auf neue unberechtigte Zugriffe auf unsere Systeme.”

Das angeblich gestohlene Material entspreche dem Fußabdruck von Dateien aus dem Sicherheitsvorfall vom 30. Juni, so das Unternehmen in seiner offiziellen Stellungnahme. Die Analyse legt nahe, dass DragonForce – oder eine verbundene Affiliate-Gruppe – versucht, alte Daten als frische Beute zu verkaufen.

Cybersecurity-Experten bezeichnen diese Taktik als “Re-Extortion” oder Datenrecycling. Ein gängiges Phänomen im Jahr 2025: Wenn Unternehmen ihre Backups verbessern und Lösegeldforderungen ignorieren, greifen manche Ransomware-Banden zu Bluffs.

Der PIX-Coup vom Juni: 140 Millionen Dollar Schaden

Der Verweis auf Juni ist kein Zufall. Ende Juni 2025 erlebte C&M Software einen der spektakulärsten Cyberangriffe in der Geschichte Brasiliens. Kriminelle erbeuteten rund 800 Millionen Reais – umgerechnet etwa 140 Millionen US-Dollar.

Der Coup zielte direkt auf die Rolle von C&M Software als kritischen Vermittler im PIX-System ab, Brasiliens Antwort auf Echtzeit-Überweisungen. Die Zivilpolizei São Paulo deckte später auf: Ein externer Mitarbeiter hatte gültige Zugangsdaten für umgerechnet nur 2.500 Euro an Cyberkriminelle verkauft.

Die brasilianische Zentralbank zog die Notbremse und trennte C&M Software zeitweise vom Finanznetzwerk. Nach umfassenden Sicherheitsüberholungen läuft der Betrieb inzwischen wieder normal. Dass die damals gestohlenen Daten nun erneut auftauchen, zeigt: Einmal geleakte Informationen kursieren oft jahrelang in der Untergrundsphäre.

Warum Fake-Claims zunehmen

“Wir beobachten einen Trend, bei dem Gruppen alte Datensätze wiederverwenden oder veraltete Zugangsdaten von Initial-Access-Brokern kaufen”, erklärt ein Threat-Intelligence-Analyst. “Bei einem Unternehmen wie C&M Software, das bereits einen prominenten Hack erlebte, ist die Wiederaufnahme auf eine Leak-Seite ein kalkulierter Versuch, Reputationsschäden zu instrumentalisieren.”

Dennoch warnen Experten: Auch recycelte Daten bergen Risiken. Falls das Dataset personenbezogene Informationen oder technische Baupläne enthält, die seit Juni unverändert blieben, könnten sie für Phishing-Attacken oder Social Engineering missbraucht werden.

Countdown läuft weiter

Am Montagabend tickt der Timer auf der DragonForce-Seite weiter. Ob die Gruppe die Daten tatsächlich veröffentlicht und ob unabhängige Forscher die Einschätzung von C&M Software bestätigen können, bleibt abzuwarten.

Für Brasiliens Finanzsektor ist der Vorfall eine eindringliche Mahnung: Selbst nach erfolgreicher Eindämmung und Sanierung kann gestohlenes Material Unternehmen noch Monate oder Jahre verfolgen – immer wieder neu aufbereitet auf unterschiedlichen kriminellen Plattformen.

C&M Software versichert Kunden und Partnern, dass die aktuellen Systeme sicher seien und die Verbindung zum nationalen Finanznetzwerk intakt bleibe. Die Zusammenarbeit mit den Ermittlungsbehörden bezüglich der Nachwehen des Juni-Vorfalls dauert an.

PS: Auch wenn C&M betont, dass derzeit keine neuen unberechtigten Zugriffe festgestellt wurden, bleibt die Gefahr durch Phishing und Social Engineering real – geleakte Datensätze werden immer wieder missbraucht. Ein kompakter, kostenloser Leitfaden zeigt Führungskräften und IT-Teams, wie sich Abläufe, Zugriffsrechte und Mitarbeitende effektiv gegen solche Angriffe wappnen lassen – mit Prioritäten, Checklisten und praxisnahen Maßnahmen, die sich schnell umsetzen lassen. Kostenlosen Cyber-Security-Guide jetzt sichern