Network-Secure Campanha 01 Desktop Entrada: 22062022 21h52m
attack-3073180_1280.jpg

Grupo afirma ter controle de instâncias AWS do governo

Grupo indica ter obtido acesso a ambiente de controle de máquinas virtuais do Ministério da Saúde
Da Redação
12/12/2021

O grupo identificado como ‘Lapsus$’, que na sexta-feira atacou o Ministério da Saúde e outros 23 órgãos governamentais, publicou às 16h de hoje em sua conta do Telegram um post afirmando que tem o acesso e controle de um número não determinado de instalações de nuvem do governo brasileiro na AWS (Amazon Web Services). No post, o grupo afirma não só ter conseguido invadir mais instâncias na noite de sábado dia 11 como também teria excluído diversos backups. A invasão, acrescenta o grupo, incluiria acesso privilegiado ao vCenter Server, o utilitário de gerenciamento centralizado para VMware, que é usado para gerenciar máquinas virtuais, vários hosts ESXi e todos os componentes dependentes – tudo a partir de um único local centralizado.

Segundo nota do UOL, na madrugada de hoje – domingo 12 de dezembro de 2021 – o Ministério teve de desligar sua rede “depois que técnicos do governo detectaram uma tentativa de hackers de acessar o site da pasta”. O ataque anterior teria sido aos dados que o órgão hospeda na AWS, afirmou a nota.

Veja isso
PF diz já saber origem de ataque hacker ao Ministério da Saúde
Quem é o grupo que atacou o Ministério da Saúde

O grupo publicou no post a imagem de uma tela do vCenter Server supostamente em domínio do MInistério da Saúde. Segundo o especialista Ricardo Maganhati Junior, editor do portal “Canal Hacker“, tendo acesso a esse ambiente o usuário tem controle sobre vários servidores de VMware. O que está em destaque, explica, é a máquina virtual (VM) de um servidor de banco de dados. Segundo Ricardo, “ter acesso a um ambiente como esse é ter praticamente o domínio de tudo! Ele pode não ter a senha de acesso a determinado sistema operacional virtualizado, mas tendo um vCenter sob controle pode realmente fazer praticamente qualquer coisa”, explica.

Esta é a íntegra do post publicado ontem

Olá povo, isto é uma declaração oficial do Lapsus$ Team.

Nos últimos dias, conseguimos entrar nos sistemas do Ministério da Saúde, pegamos acesso no AWS (Amazon Web Services) com vários dados, e depois baixamos todos esses dados, excluímos vários conteúdos armazenados, dando início ao nosso primeiro ransom, após a primeira tentativa de ransom, alguns sites de noticías mentiram sobre tal feito, afirmando para todos que “nada foi obtido, não há dados”. Não podemos enviar provas concretas porque não queremos perder o nosso acesso atual, na passada noite conseguimos entrar em mais acessos do AWS (excluindo diversos backups), também obtivemos acesso no vCenter, isso nos deu uma brecha para o banco de dados do SisReg, totalizando 4 terabytes de dados (e nós temos posse desses dados). Excluimos todas as máquinas do vCenter e +100 TB de dados foram embora (o cemitério de dados mortos está ficando cheio).

NOTAS EXTRAS:
Vamos esclarecer dúvidas pessoais, começando pelo grupo EterMerda, se tivesse sido apenas um “DNS Hijacking” os servidores do Ministério da Saúde não teriam sido derrubados por tanto tempo (logo isto reforça a ideia de que nós temos acesso), não entendemos o seu motivo pelo qual quer nos difamar. Digo e repito, a única coisa que queremos é monetização do ato, ou seja, falando pelo jeito “comum”, queremos dinheiro, apenas nos pague.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)