- Dezembro 10, 2025
1. Enquadramento Geral
Durante o mês de novembro de 2025, foram registados múltiplos incidentes de defacement (alteração do aspeto e conteúdo) em websites de autarquias e entidades da administração local, atribuídos ao coletivo hacktivista português Cyberteam Portugal.
Características gerais da campanha
- Motivação: Hacktivismo (mensagens políticas, sociais e de protesto)
- Objetivo principal:
- Impacto mediático
- Exposição de fragilidades de segurança
- Pressão institucional
- Tipo de ataque:
- Alteração visual do website (defacement)
- Substituição da página inicial
- Inserção de mensagens, imagens ou vídeos
2. Alvos Identificados
Tipologia de entidades afetadas
- Câmaras Municipais
- Juntas de Freguesia
- Serviços municipalizados
- Portais institucionais locais
Padrões comuns nos alvos
- Websites:
- Desatualizados
- Sem manutenção ativa
- Alojados em servidores partilhados
- Uso frequente de:
- CMS antigos (WordPress, Joomla, DNN)
- Plugins/extensões obsoletas
- Credenciais fracas ou reutilizadas
3. Táticas, Técnicas e Procedimentos (TTPs) Observados
Acesso Inicial
- Exploit de aplicações web vulneráveis
- CMS desatualizados
- Plugins com falhas conhecidas
- Credenciais fracas ou expostas
- Painéis de administração acessíveis publicamente
- Passwords simples ou reutilizadas
Execução
- Upload ou modificação direta de ficheiros web
- index.html
- index.php
- home.php
- Execução de webshells simples
- PHP básico para edição de ficheiros
Persistência
- Criação de ficheiros adicionais para manter acesso:
- config_old.php
- cache.php
- tmp.php
- Alteração de permissões em diretórios web
- Em alguns casos:
- Backdoors simples mantidos após o defacement
Evasão
- Ataques de baixo ruído:
- Sem malware complexo
- Sem movimento lateral
- Uso de ficheiros com nomes “legítimos” para evitar deteção imediata
4. Indicadores Técnicos Associados (IoCs)
Indicadores de Website
- Alteração súbita da homepage
- Conteúdo com:
- Assinatura “Cyberteam Portugal”
- Mensagens ideológicas/políticas
- Referências a “hacktivismo”, “administração pública”, “transparência”
- Inclusão de:
- Música ou vídeos incorporados
- Imagens com fundo escuro e texto contrastante
Ficheiros Comuns Encontrados
- Substituição direta de:
- index.html
- index.php
- Criação de ficheiros adicionais:
- cyberteam.html
- hacked.html
- deface.php
- info.php (usado para reconhecimento)
Logs e Artefactos
- Acessos ao painel de administração fora do horário normal
- Uploads de ficheiros via:
- Interfaces web do CMS
- FTP mal configurado
- Endereços IP variados (VPNs, proxies), dificultando atribuição direta
5. Impacto Observado
Impacto Técnico
- Baixo a médio
- Sem destruição de dados
- Sem ransomware
- Sem exfiltração confirmada
Impacto Institucional
- Elevado impacto reputacional
- Perda temporária de confiança dos cidadãos
- Necessidade de:
- Reposição urgente de conteúdos
- Comunicação pública
- Auditorias de segurança
6. Diferenças face a cibercrime tradicional
| Hacktivismo (Cyberteam Portugal) | Cibercrime |
|---|---|
|
Visibilidade pública |
Lucro financeiro |
|
Defacement |
Ransomware |
|
Mensagem ideológica |
Extorsão |
|
Ataques rápidos |
Ataques persistentes |
|
Pouca lateralização |
Movimento lateral agressivo |
7. Medidas de Mitigação Recomendadas (Administração Local)
- Repor backups íntegros do website
- Alterar todas as credenciais
- Verificar existência de:
- Webshells
- Backdoors
- Atualizar CMS, plugins e temas
- Implementar:
- MFA para administração
- WAF (Web Application Firewall)
- Restringir acesso administrativo por IP
- Monitorização de integridade de ficheiros (FIM)
- Auditoria de segurança periódica
- Inventário e ciclo de vida dos websites institucionais
- Centralização da gestão de alojamento e segurança
- Formação em cibersegurança para técnicos municipais
