Alerta
ALERTA 03/2021
Está disponível o Alerta sobre o Ransomware BlackMatter.
Publicado em
21/10/2021 09h05
Atualizado em
22/10/2021 09h05
Alerta sobre o Ransomware BlackMatter.
[TLP:WHITE]
1. Recebemos de nossos parceiros a informação sobre uma nova variante de Ransomware denominada BlackMatter.
2. BlackMatter é um malware do tipo "Ransomware como Serviço" (RaaS) que normalmente faz uso de credenciais previamente comprometidas do Lightweight Directory Access Protocol (LDAP) e do protocolo Server Message Block (SMB) para enumerar recursos em um Active Directory (AD). Sua nova variante descobre todos os demais dispositivos da rede afetada e os criptografa à medida que são encontrados.
3. Foram observadas ações contra redes de infraestruturas críticas. Entretanto, organizações de todos os setores devem executar ações de prevenção para reduzir o risco de comprometimento por ataques dessa natureza.
4. Recomendamos, portanto, a implementação das seguintes medidas de prevenção:
- A definição de uma política específica de controle de senhas administrativas de sistemas críticos, seguindo as melhores práticas;
- A adoção de autenticação de multifator para acesso a recursos administrativos, quando disponível;
- A adoção de campanhas de conscientização de usuários em relação a ataques de engenharia social, com especial atenção a tentativas de phishing via e-mail;
- A implementação do princípio de privilégio mínimo que garanta que usuários tenham o nível mínimo de acesso necessário para cumprir suas tarefas;
- A atualização dos Sistemas Operacionais com os mais recentes patches de segurança;
- O monitoramento contínuo dos dispositivos conectados à rede corporativa, com especial atenção a atividades anômalas relacionadas a processos de login;
- A segmentação efetiva da rede, a fim de evitar a disseminação de códigos maliciosos; e
- A adoção de políticas de execução de backup, além de procedimentos e testes de restauração.
5. Recomendamos, finalmente, o acesso aos links a seguir, que contêm detalhamentos técnicos acerca das medidas protetivas, assinaturas para implementação em IDS/IPS e demais informações relacionadas ao tema:
1. Recebemos de nossos parceiros a informação sobre uma nova variante de Ransomware denominada BlackMatter.
2. BlackMatter é um malware do tipo "Ransomware como Serviço" (RaaS) que normalmente faz uso de credenciais previamente comprometidas do Lightweight Directory Access Protocol (LDAP) e do protocolo Server Message Block (SMB) para enumerar recursos em um Active Directory (AD). Sua nova variante descobre todos os demais dispositivos da rede afetada e os criptografa à medida que são encontrados.
3. Foram observadas ações contra redes de infraestruturas críticas. Entretanto, organizações de todos os setores devem executar ações de prevenção para reduzir o risco de comprometimento por ataques dessa natureza.
4. Recomendamos, portanto, a implementação das seguintes medidas de prevenção:
- A definição de uma política específica de controle de senhas administrativas de sistemas críticos, seguindo as melhores práticas;
- A adoção de autenticação de multifator para acesso a recursos administrativos, quando disponível;
- A adoção de campanhas de conscientização de usuários em relação a ataques de engenharia social, com especial atenção a tentativas de phishing via e-mail;
- A implementação do princípio de privilégio mínimo que garanta que usuários tenham o nível mínimo de acesso necessário para cumprir suas tarefas;
- A atualização dos Sistemas Operacionais com os mais recentes patches de segurança;
- O monitoramento contínuo dos dispositivos conectados à rede corporativa, com especial atenção a atividades anômalas relacionadas a processos de login;
- A segmentação efetiva da rede, a fim de evitar a disseminação de códigos maliciosos; e
- A adoção de políticas de execução de backup, além de procedimentos e testes de restauração.
5. Recomendamos, finalmente, o acesso aos links a seguir, que contêm detalhamentos técnicos acerca das medidas protetivas, assinaturas para implementação em IDS/IPS e demais informações relacionadas ao tema:
- https://us-cert.cisa.gov/ncas/alerts/aa21-291a
- https://pages.nist.gov/800-63-3/sp800-63b.html
- https://www.cisa.gov/sites/default/files/publications/CISA_MS-ISAC_Ransomware%20Guide_S508C_.pdf
- https://www.cisa.gov/stopransomwarehttps://www.cisa.gov/cyber-hygiene-services
- https://www.mcafee.com/blogs/enterprise/mcafee-enterprise-atr/blackmatter-ransomware-analysis-the-dark-side-returns/
Equipe CTIR Gov.
[TLP:WHITE]