Protowave Reloaded em ação contra CBTU

Nosso sistema de Monitoramento Avançado Persistente identificou nova sequência de ações de desfiguração de página pelo Protowave Reloaded, praticadas pelo seu integrante chamado Hannes. As desfigurações ocorreram na página principal e nove subdomínios da Companhia Brasileira de Trens Urbanos (CBTU).

O Protowave Reloaded parece ter retornado em definitivo com suas ações em larga escala. Considerando a capacidade ofensiva do grupo, de automatização de ataques e o domínio de múltiplas técnicas de invasão, bem como a sua predileção por alvos

Continuar Lendo

Vazamento de Dados – Universidade de Brasília

Nosso sistema de Monitoramento Avançado Persistente identificou desfigurações de página (15/04) e vazamento de dados (16/04) da Universidade de Brasília (UnB).

O vazamento foi publicado por um novo grupo hacktivista brasileiro chamado Akatsuki Gang, nele estão veiculados mais 1.110 registros que incluem informações como contatos telefônicos, endereços, RG, CPF, CNPJ e algumas senhas em texto legível.

A mensagem claramente indica motivação político-ideológica de protesto contra o Ministério da Educação:

Por um Ministério da Educação mais justo! nós queremos ter direito ao orçamento

Continuar Lendo

Site do PRP é desfigurado pelo grupo CyberTeam

O Hacker Artr0n , integrante do grupo português CyberTeam desfigurou o site do PRP – Partido Republicano Progressista. URL desfigurada: http://www.prp.org.br/musicas/

Os atacantes não indicaram mensagem de conteúdo político na sua desfiguração, apenas meios para contato por rede social e a expressão “We do not invade by necessity, we invade for fun !” (Nós não invadimos por necessidade, nós invadimos por diversão) . O que sugere motivação de ostentar a própria capacidade ofensiva, algo como “hackostentação”.

Continuar Lendo

Desfiguração em massa na Paraíba

Nosso sistema de Monitoramento Avançado Persistente detectou que os hackers Cooldsec e D3coder, aparentemente filiados ao grupo CyberTeam,  desfiguraram nesse sábado (14/04) páginas de 11 municípios do estado da Paraíba.

  • http://www.queimadas.pb.gov.br
  • http://www.cabaceiras.pb.gov.br
  • http://www.cuite.pb.gov.br
  • http://www.puxinana.pb.gov.br
  • http://www.alcantil.pb.gov.br
  • http://www.assuncao.pb.gov.br
  • http://www.brejodocruz.pb.gov.br
  • http://www.sossego.pb.gov.br
  • http://www.barradesantarosa.pb.gov.br
  • http://www.picui.pb.gov.br
  • http://www.baiadatraicao.pb.gov.br

As páginas estão todas hospedadas em um único endereço IP (107.161.185.98), o que sugere o comprometimento do servidor durante o ataque.

Os atacantes não indicaram mensagem de conteúdo político na sua desfiguração, apenas meios para contato por rede

Continuar Lendo

Protowave Reloaded (again?)

Nosso sistema de Monitoramento Avançado Persistente identificou uma sequência de ações de desfiguração de página pelo Protowave Reloaded, um dos grupos brasileiros com maior número de ataques contra domínios de governo ou de alto volume de tráfego (Alexa Top 1 Milhão).

O Protowave Reloaded foi o grupo com o maior número de desfigurações de páginas no ano de 2017, considerando o escopo “.br”. Entre os meses de dezembro de 2017 e fevereiro de 2018 parecia inativo, e, em 20 de

Continuar Lendo

Subdomínio do Sebrae é desfigurado

Nosso Sistema de Monitoramento Avançado Persistente detectou desfiguração de página no site do Memorial Sebrae, na URL http://memorial.sebrae.com.br/hacked-by-xin0x

O site foi invadido pelo atacante xin0x. Em análise histórica, o hacker tem demonstrado engajamento hacktivista, porém, dessa vez, ele não deixou mensagem ideológica ou política, apenas mandou saudações (greetz) para os hackers  w4n73d , tech team, n0face, m4V3RiCk e g4ntz.

Continuar Lendo

Domínio da Petrobras é Desfigurado

Nosso Sistema de Monitoramento Avançado Persistente verificou que o site de Relacionamento com Investidores da Petrobras foi desfigurado pelo hacker SnTK Attacker.

O atacante SnTK Attacker é integrante do grupo CyberTeam Portugal, que em 29/03 desfigurou o Site do Partidos dos Trabalhadores do DF, veja a matéria aqui.

A desfiguração está disponível na URL http://www.investidorpetrobras.com.br/pt/node/6592. Dessa vez, o atacante não deixou mensagem ideológica, apenas mandou saudações (greetz) para os hacker Ex0rsec e para o seu grupo CyberTeamPortugal.

Continuar Lendo

Depois do PSDB-RJ, site do PSDB Nacional é desfigurado

Um dia depois de identificar uma desfiguração no site do PSDB-RJ, nosso Sistema de Monitoramento Avançado Persistente detectou outra desfiguração contra o partido, agora no site do PSDB Nacional (psdb.org.br). A invasão pode ser visualizada na URL: http://www.psdb.org.br/acompanhe/noticias/k-htm

O atacante não veiculou mensagem política ou ideológica. Não é possível afirmar se a desfiguração é fruto de ação hacktivista. Também não há registro de outras ações empreendidas pelo hacker Widal. Todavia, a notícia invadida apresenta uma imagem da

Continuar Lendo

Toxic Security Team desfigura site do PSDB-RJ

O Grupo Hacker Toxic Security Team parece continuar sua campanha por alvos políticos para desfiguração de páginas. Dessa vez o sistema de monitoramento avançado persistente identificou ação de desfiguração contra a página do Partido da Social Democracia Brasileira (PSDB), em sua unidade do Rio de Janeiro.

http://www.psdb-rj.org.br/site/candy.png

Esse é o quarto ataque do grupo relatado aqui no Lab que tem alvos de caráter político. No dia 08/03 o grupo vazou dados do PCdoB, em 14/03 o grupo

Continuar Lendo

Site do Partidos dos Trabalhadores do DF é desfigurado

O grupo hacker português CyberTeam desfigurou o site do Partido dos trabalhadores do Distrito Federal.

Conforme postado no perfil do grupo hacker no Facebook, a URL desfigurada foi

http://www.ptdf.org.br/conteudonoticias.php?id_noticia=-2195%20UNION%20ALL%20SELECT%201%2C2%2C0x494e4a45435445442042592041525452304e%2C0x3c68353e3c63656e7465723e494e4a45435445442042592041525452304e3c2f63656e7465723e3c2f68353e%2C(SELECT%20CONCAT(0xa%2CIFNULL(CAST(login%20AS%20CHAR)%2C0x20)%2C0x3a%2CIFNULL(CAST(senha%20AS%20CHAR)%2C0x20)%2C0xa)%20FROM%20ptdf1.tab_users%20LIMIT%200%2C1)%2C6%2C7%2C8–%20-#.Wr0bzSbwbRZ

Nesse caso específico, o atacante não indicou mensagem ideológica alguma na sua desfiguração. Contudo, no dia 23/03, eles desfiguraram o site do PMDB-ES (http://www.pmdb-es.com.br/deface.html), onde publicaram uma imagem editada de vampiro do presidente Michel Temer. Além disso escreveram: “Só aquecendo… Vocês irão ver muita coisa

Continuar Lendo