Blog Posts

Desfiguração em Massa – (pr.gov.br e rs.gov.br) – Inocent

Nosso sistema de Monitoramento Avançado Persistente detectou na madrugada de hoje (16/07) pelo menos 8 desfigurações de páginas em subdomínios do Governo do Estado Paraná (pr.gov.br) e do Rio Grande do Sul (rs.gov.br).

A desfiguração em escala foi realizada pelo hacker Inocent. O hacker publicou mensagens contra a o governo Temer (#ForaTemer). Os ataques ocorreram nos endereços IP 169.57.194.9 e 142.4.22.38, o que sugere que o atacante conseguiu escalar privilégio nas máquinas.

Sites desfigurados:

  1. http://e-sic.jardimalegre.pr.gov.br/
  2. http://www.cmlidianopolis.pr.gov.br/
  3. http://www.jardimalegre.pr.gov.br/
  4. http://www.lidianopolis.pr.gov.br/
  5. https://www.bomsucesso.pr.gov.br/
  6. http://www.camarachuvisca.rs.gov.br/
  7. http://www.cristal.rs.gov.br/
  8. http://www.camaracq.rs.gov.br/
Continuar Lendo

Publicação – Nova Iorque – Mafia Project

Nosso sistema de Monitoramento Avançado Persistente identificou publicação (15/07) que alega veicular dados de uma base que pertenceria ao município de Nova Iorque (EUA).

A publicação ocorreu no site de compartilhamento de texto Pastebin e indica dados de pessoas jurídicas/físicas.

A autoria do vazamento foi reivindicada pelo grupo The Mafia Project, grupo hacktivista envolvido em diferentes campanhas, como a #OpUSA e #OpDomesticTerrorism. A ação foi indicada com o conteúdo político-ideológico por parte do grupo.

O vazamento foi indicado como

Continuar Lendo

Desfiguração – PSB – CandySec

Nosso Sistema de Monitoramento Avançado Persistente detectou outra desfiguração contra partido político brasileiro, desta vez no site do diretório estadual de Alagoas do PSB (psb40alagoas.com.br).

A invasão pode ser visualizada na URL: http://www.psb40alagoas.com.br/lista_diretorio.php

O ataque foi realizado pelo hacker brasileiro CandySec, mencionado em diversas publicações aqui no Lab. Nessa ocasião o atacante não veiculou mensagem política ou ideológica, mas é pelo menos o quarto ataque contra alvos políticos empreendidas por ele:

Continuar Lendo

Phishing – Tesouro Direto

Já relatamos aqui no Lab casos de phishings em diferentes entidades públicas, algumas com registros reiterados (Sorria, tem pescaria na Bahia, a saga continuafisherei, phishing 2.0, phishing BNDESphishing BNDES2, Espírito SantoVitória do Xingu e Sorocada e Jaguariaíva).

Nosso Sistema de Monitoramento Avançado Persistente detectou novo caso de phishing. Dessa vez o alvo foi distinto dos demais, investidores no Tesouro Direto.

A URL maliciosa:

  • http://tesourodireto.gov.br.codiv.international/tesouro/index.php

Como é possível observar a página tem por

Continuar Lendo

Vazamento de Dados – Mundipharma

Nosso sistema de Monitoramento Avançado Persistente identificou vazamento (07/07) que parece veicular dados da empresa mundipharma.com.br, uma rede global de empresas dedicadas ao desenvolvimento de novos medicamentos.

A publicação ocorreu no site de compartilhamento de texto Pastebin e indica nome de usuário, e-mail, função na empresa, cidade de atuação e hashes de senha (MD5).

A autoria do vazamento foi reivindicada pelo grupo Kelvin Security Team, grupo de pesquisadores de nacionalidade venezuelana com amplo histórico de ações de ofensivas.

O vazamento

Continuar Lendo

Desfiguração em Massa em Sergipe (se.gov.br) por VandaTheGod

Nosso Sistema de Monitoramento Avançado Persistente detectou, na madrugada de hoje (07/07), pelo menos 13 desfigurações de páginas em subdomínios do Governo de Sergipe (se.gov.br).

A desfiguração em massa foi realizada pelo hacker VandaTheGod. O hacker publicou diversas mensagens contra a corrupção, tanto em idioma português quanto em inglês. Todos os ataques ocorreram no endereço IP 187.17.2.209, o que sugere que o atacante conseguiu escalar privilégio na máquina.

Sites desfigurados:

  1. saude.se.gov.br
  2. seplag.se.gov.br
  3. cultura.se.gov.br
  4. www.cge.se.gov.br/cliterario
  5. ceac.se.gov.br/?p=25
  6. redesiconv.se.gov.br/wp-content
Continuar Lendo

Vazamento de Dados – CryptoTwits

Nosso sistema de Monitoramento Avançado Persistente identificou vazamento (04/07) que parece veicular dados da página cryptotwits.org, uma plataforma pública de comunicação sobre criptomoedas.

A publicação ocorreu no site de compartilhamento de texto Pastebin e indica nome de usuário, e-mail, token de recuperação de senha e hashes de senha (provavelmente bcrypt, Blowfish(OpenBSD)). A publicação ainda conta com credenciais de acesso para bases de dados da aplicação.

A autoria do vazamento foi reivindicada pelo grupo Kelvin Security Team, grupo de pesquisadores de

Continuar Lendo

Phishing – Sorocaba e Jaguariaiva

Já relatamos aqui no Lab casos de phishings em diferentes entidades públicas, algumas com registros reiterados (Sorria, tem pescaria na Bahia, a saga continuafisherei, phishing 2.0, phishing BNDESphishing BNDES2, Espírito Santo e Vitória do Xingu).

Nosso Sistema de Monitoramento Avançado Persistente detectou dois novos casos de phishing contra os município de Sorocaba/SP e Jaguariaíva/PR, hospedados nas URL:

  • http://www.funservsorocaba.sp.gov.br/common/oauth2/authorize/error.php?P=_93894574342hdfjsixaoweue5_j1489738549283781331983743fncn_Product-UserID&userid
  • http://www.jaguariaiva.pr.gov.br/cache/com_plugins/ING/ING_vbv/de/index3.php

No caso da Fundação de Servidores Públicos de Sorocaba hospeda página do Office365, presumidamente com

Continuar Lendo

Vazamento de Dados – Colômbia

Nosso sistema de Monitoramento Avançado Persistente identificou vazamento (01/07) que parece veicular dados pessoais de indivíduos de nacionalidade colombiana.

A publicação ocorreu no site de compartilhamento de texto Pastebin e indica nome de usuário, e-mail, documento de identificação e hashes de senha (provavelmente SHA1) de mais de 1.300 indivíduos.

A autoria do vazamento foi reivindicada pelo grupo Kelvin Security Team, grupo de pesquisadores de nacionalidade venezuelana com amplo histórico de ações de vazamento.

A ação não teve qualquer declaração que indicasse

Continuar Lendo