Ir para o Conteúdo 1 Ir para a Página Inicial 2 Ir para o menu de Navegação 3 Ir para a Busca 4 Ir para o Mapa do site 5
Portal Gov.br Gabinete de Segurança Institucional da Presidência da República
Acesso rápido
  • Acesso rápido
  • Órgãos do Governo
  • Acesso à Informação
  • Legislação
  • Acessibilidade
  • Redefinir Cookies
  • Mudar para o modo de alto contraste
Abrir menu principal de navegação
CTIR Gov - Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo
Termos mais buscados
  • assinatura
  • enem
  • inss
  • mei
  • imposto de renda
Termos mais buscados
  • assinatura
  • enem
  • inss
  • Acesso à Informação
    • Institucional
      • Apresentação
      • Competências
      • Base Jurídica
      • Organograma
      • Histórico
      • Quem é quem
    • Ações e Programas
    • Auditorias
    • Consulta Pública
    • Convênios e Transferências
    • Dados Abertos
    • Informações Classificadas
    • Licitações e Contratos
    • Participação Social
    • Perguntas Frequentes
    • Portal Brasileiro de Dados Abertos
    • Receitas e Despesas
    • Servidores
    • Serviço de Informação ao Cidadão
  • Assuntos
    • Abrangência Operacional (Constituency)
    • Alertas e Recomendações
      • Alertas
      • Recomendações
    • Ascender Defesas
    • Base Normativa
      • Instrução Normativa GSI Nº 1, de 27 de maio de 2020
      • Norma Complementar nº 05/IN01/DSIC/GSIPR
      • Norma Complementar nº 08/IN01/DSIC/GSIPR
      • Norma Complementar nº 21/IN01/DSIC/GSIPR
      • Demais Normativos e Legislações
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
      • Colóquios
      • Oficinas Técnicas
      • Webinários
    • Mala Direta (Mailing List)
    • Notícias
      • 2024
      • 2023
      • 2022
      • 2021
      • Anos Anteriores
    • Perguntas Frequentes
      • Sobre o Decreto 10.748/2021
    • Portaria GSI/PR Nº 120, de 21 de dezembro de 2022
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
      • REGIC - Decreto Nº 10.748, de 16 de Julho de 2021
      • Órgãos integrantes
    • RFC 2350
      • RFC 2350 (Português BR)
      • RFC 2350 (English)
    • Serviços
    • TLP
  • Canais de Atendimento
    • Fale Conosco
    • Ouvidoria
    • Imprensa
    • Endereço
    • Comunicação de Incidentes de Rede
      • Comunicação de Incidentes de Rede
      • Network Incident Reporting
      • Comunicación de Incidentes en la Red
    • Padrões para Notificação de Incidentes Cibernéticos ao CTIR Gov
    • Mala Direta (Mailing List)
  • Centrais de Conteúdo
    • Imagens
      • Logotipo/Design do CTIR Gov
      • Regic
    • Vídeos
      • Palestras
    • Publicações
      • Alertas (PDF)
      • Recomendações (PDF)
      • Boletim Informativo Mensal
      • Legislação (SIC)
    • Palestras em PDF
      • Coloquios
      • Fóruns
      • Oficinas
      • Webinários
    • Termo de Adesão do Decreto 10.748/2021 - REGIC
  • Composição
  • Sobre o CTIR Gov
    • Abrangência Operacional (Constituency)
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
    • RFC 2350
    • Serviços
  • GOV.BR
    • Serviços
      • Buscar serviços por
        • Categorias
        • Órgãos
        • Estados
      • Serviços por público alvo
        • Cidadãos
        • Empresas
        • Órgãos e Entidades Públicas
        • Demais segmentos (ONGs, organizações sociais, etc)
        • Servidor Público
    • Temas em Destaque
      • Orçamento Nacional
      • Redes de Atendimento do Governo Federal
      • Proteção de Dados Pessoais
      • Serviços para Imigrantes
      • Política e Orçamento Educacionais
      • Bolsas de Estudo e Financiamentos Estudantis
      • Educação Profissional e Tecnológica
      • Educação Profissional para Jovens e Adultos
      • Trabalho e Emprego
      • Serviços para Pessoas com Deficiência
      • Combate à Discriminação Racial
      • Política de Proteção Social
      • Política para Mulheres
      • Saúde Reprodutiva da Mulher
      • Cuidados na Primeira Infância
      • Habitação Popular
      • Controle de Poluição e Resíduos Sólidos
    • Notícias
      • Serviços para o cidadão
      • Saúde
      • Agricultura e Pecuária
      • Cidadania e Assistência Social
      • Ciência e Tecnologia
      • Comunicação
      • Cultura e Esporte
      • Economia e Gestão Pública
      • Educação e Pesquisa
      • Energia
      • Forças Armadas e Defesa Civil
      • Infraestrutura
      • Justiça e Segurança
      • Meio Ambiente
      • Trabalho e Previdência
      • Turismo
    • Galeria de Aplicativos
    • Acompanhe o Planalto
    • Navegação
      • Acessibilidade
      • Mapa do Site
      • Termo de Uso e Aviso de Privacidade
    • Consultar minhas solicitações
    • Órgãos do Governo
    • Por dentro do Gov.br
      • Dúvidas Frequentes em relação ao Portal gov.br
      • Dúvidas Frequentes da conta gov.br
      • Ajuda para Navegar o Portal
      • Conheça os elementos do Portal
      • Política de e-participação
      • Termos de Uso
      • Governo Digital
      • Guia de Edição de Serviços do Portal Gov.br
    • Canais do Executivo Federal
    • Dados do Governo Federal
      • Dados Abertos
      • Painel Estatístico de Pessoal
      • Painel de Compras do Governo Federal
      • Acesso à Informação
    • Empresas e Negócios
    • Simplifique!
Links Úteis
  • Galeria de Aplicativos
  • Participe
  • Galeria de Aplicativos
  • Participe
Redes sociais
  • Twitter
  • YouTube
  • RSS
  • RSS
  • Linkedin
Você está aqui: Página Inicial Assuntos Alertas e Recomendações Alertas 2016 ALERTA 02/2016
Info

Notícias

ALERTA 02/2016

Alerta referente aos Ataques de Ransomware através de campanhas de Phishing
Compartilhe por Facebook Compartilhe por Twitter Compartilhe por LinkedIn Compartilhe por WhatsApp link para Copiar para área de transferência
Publicado em 16/09/2016 00h00 Atualizado em 14/10/2021 14h43
Ataques de Ransomware através de campanhas de Phishing.
Presidência da República
Gabinete de Segurança Institucional
Departamento de Segurança da Informação e Comunicações
Centro de Tratamento de Incidentes de Segurança de Redes de Computadores da Administração Pública  Federal
Alerta nº 02/2016 – Ataques de Ransomware através de campanhas de Phishing

1. Descrição do Problema

Temos recebido dos órgãos de Inteligência e de nossos colaboradores, Alertas sobre ataques de  “Ransomware” tendo como alvo os domínios da Administração Pública Federal, em particular, os órgãos  relacionados, direta ou indiretamente, com a organização dos Jogos Olímpicos e Paralímpicos Rio2016. 1.1 O que é um Ransomware?

Pode ser entendido como um código malicioso que infecta dispositivos computacionais com o  objetivo de sequestrar, capturar ou limitar o acesso aos dados ou informações de um sistema, geralmente  através da utilização de algoritimos de encriptação ( crypto-ransoware ), para fins de extorsão.

Para obtenção da chave de decriptação, geralmente é exigido o pagamento (ransom) através de  métodos online, tipo “Bitcoins” .

2. Métodos de Ataques

Os atacantes possivelmente utilizarão contas de correio comprometidas (contas funcionais) de  órgãos de Governo para propagar códigos maliciosos (malwares), conhecidos como “droppers” que farão  o download do Ramsoware (código encriptador).

Os códigos maliciosos são, geralmente, enviados em arquivos com “java scritps” compactados (zip,  rar, etc) atachados via E-mail. A infeção também pode ocorrer através de documentos do MS-Office que  contenham macros com códicos obfuscados com Visual Basic Scrip t (VBS) e em arquivos “batch”, os  quais resultam no download e execução do executável do Ransomware.

Outra possiblidade é a utilização de sítios comprometidos (ataques de drive-by) para infecção de  navegadores vulneráveis a injeção de Java-scripts.

3. Ameaças

∙ Recentemente, recebemos a informação sobre um ataque de Ransomware, onde foi encontrado  traços de código do “Hidden Tear”, um ransomware "educacional" publicado no GitHub, o qual está  sendo amplamente usado em ataques desse tipo.

∙ Aparentemente, o grupo “Anonymous” baixou o código fonte do “Hidden Tear”, mudou o código  e recompilou.

∙ O FBI emitiu, em 11 de Julho de 2016, alerta sobre uma variante de Ransomware chamada de  “Locky”, que tem sido extensivamente utilizado em campanhas de “spam” e “Phishing Message” para  distribuir código capaz de encriptar numerosos tipos de arquivos, locais ou em compartilhamentos de  Rede.

∙ O locky se comunica com Servidores de Comando e Controle (C2) para informar aos operadores  o sucesso na infecção e obter a chave de encriptação e o código identificador da vítima. O locky  também contém um algorítmo, que gera domínios para a comunicação com a sua Infraestrutura de  Comando e Controle.

∙ As redes infectadas, normalmente, fazem requisições com métodos “HTTP” POST de arquivos  tipo: main.php, submit.php e mais recentemente userinfo.php, dentre outros.

∙ Uma vez executado, o Locky estabelece, via Registro, um processo persistente na tentativa de  deletar “shadow copies” usando o Comando “vssadmin” e encriptar arquivos dos usuários, tais como:  documentos, arquivos de mídias, códigos-fonte, dentre outros.

∙ O FBI afirma que a recuperação é quase impossível, sem a chave de encriptação, devido ao tipo  de criptografia forte utilizada, portanto a política de Backup é a medida mais eficaz para evitar a perda  de dados.

∙ Não é recomendável, em nenhuma hipótese, o pagamento de valores aos atacantes. ∙ Segue em anexo uma lista de domínios de Comando e Controle utilizados pelo Locky. 4. Sugestões para Mitigação Problema

∙ Ajustar os filtros de e-mail para bloquear, ou alertar arquivos anexados com extensão zip, rar, etc; ∙ Realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e mail suspeitos ou não reconhecidos como de origem esperada;

∙ Garantir o backup atualizado dos arquivos locais e dos Armazenados em Servidores de Arquivos; ∙ Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a  instalação /execução de binários e ou executáveis desconhecidos;

∙ Isolar a máquina da rede, ao primeiro sinal de infecção por malware;

∙ Verificar o tráfego de máquinas internas para domínios não usuais ou suspeitos. (vide relação  anexa);

∙ Monitorar as conexões internas e não usuais entre máquinas da rede, a fim de evitar o movimento  lateral de propagação do malware; e

∙ Manter navegadores atualizados e verificar necessidade de habilitar a execução de Java-Script; ∙ Por fim, manter o antivírus, aplicação de “Patchs” de segurança e a “ blacklist” (filtro “antispam”) de e-mail atualizados.

Referências :

∙ https://www.us-cert.gov/ncas/alerts/TA16-091A

∙ https://info.publicintelligence.net/FBI-LockyRansomware.pdf

∙ https://www.cyphort.com/drive-by-ransomware-infection-in-the-wild/

Brasília-DF, 05 de agosto de 2016.

Equipe do CTIR Gov

Arquivo PDF Original deste ALERTA 02/2016

Compartilhe por Facebook Compartilhe por Twitter Compartilhe por LinkedIn Compartilhe por WhatsApp link para Copiar para área de transferência
  • Acesso à Informação
    • Institucional
      • Apresentação
      • Competências
      • Base Jurídica
      • Organograma
      • Histórico
      • Quem é quem
    • Ações e Programas
    • Auditorias
    • Consulta Pública
    • Convênios e Transferências
    • Dados Abertos
    • Informações Classificadas
    • Licitações e Contratos
    • Participação Social
    • Perguntas Frequentes
    • Portal Brasileiro de Dados Abertos
    • Receitas e Despesas
    • Servidores
    • Serviço de Informação ao Cidadão
  • Assuntos
    • Abrangência Operacional (Constituency)
    • Alertas e Recomendações
      • Alertas
      • Recomendações
    • Ascender Defesas
    • Base Normativa
      • Instrução Normativa GSI Nº 1, de 27 de maio de 2020
      • Norma Complementar nº 05/IN01/DSIC/GSIPR
      • Norma Complementar nº 08/IN01/DSIC/GSIPR
      • Norma Complementar nº 21/IN01/DSIC/GSIPR
      • Demais Normativos e Legislações
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
      • Colóquios
      • Oficinas Técnicas
      • Webinários
    • Mala Direta (Mailing List)
    • Notícias
      • 2024
      • 2023
      • 2022
      • 2021
      • Anos Anteriores
    • Perguntas Frequentes
      • Sobre o Decreto 10.748/2021
    • Portaria GSI/PR Nº 120, de 21 de dezembro de 2022
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
      • REGIC - Decreto Nº 10.748, de 16 de Julho de 2021
      • Órgãos integrantes
    • RFC 2350
      • RFC 2350 (Português BR)
      • RFC 2350 (English)
    • Serviços
    • TLP
  • Canais de Atendimento
    • Fale Conosco
    • Ouvidoria
    • Imprensa
    • Endereço
    • Comunicação de Incidentes de Rede
      • Comunicação de Incidentes de Rede
      • Network Incident Reporting
      • Comunicación de Incidentes en la Red
    • Padrões para Notificação de Incidentes Cibernéticos ao CTIR Gov
    • Mala Direta (Mailing List)
  • Centrais de Conteúdo
    • Imagens
      • Logotipo/Design do CTIR Gov
      • Regic
    • Vídeos
      • Palestras
    • Publicações
      • Alertas (PDF)
      • Recomendações (PDF)
      • Boletim Informativo Mensal
      • Legislação (SIC)
    • Palestras em PDF
      • Coloquios
      • Fóruns
      • Oficinas
      • Webinários
    • Termo de Adesão do Decreto 10.748/2021 - REGIC
  • Composição
  • Sobre o CTIR Gov
    • Abrangência Operacional (Constituency)
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
    • RFC 2350
    • Serviços
Redefinir Cookies
Redes sociais
  • Twitter
  • YouTube
  • RSS
  • RSS
  • Linkedin
Acesso àInformação
Todo o conteúdo deste site está publicado sob a licença Creative Commons Atribuição-SemDerivações 3.0 Não Adaptada.
Voltar ao topo da página
Fale Agora Refazer a busca