ALERTA 04/2022

[TLP:WHITE]

1. Recebemos de parceiros a informação sobre uma nova variante de Ransomware denominada BlackCat.

2. BlackCat ou ALPHV é um malware do tipo "Ransomware como Serviço" (RaaS) que pode infectar várias versões de sistemas operacionais, como o Windows e o Linux. O Blackcat permite customização, o que favorece seu uso em ataques contra diversos setores, inclusive os de infraestruturas críticas. O referido malware tem a capacidade de empregar diferentes rotinas e algoritmos de encriptação, assim como replicar-se, por movimentação lateral, através de redes corporativas.

3. Não apenas as infraestruturas críticas estão sendo alvos da ameaça. Desta forma, o CTIR Gov indica a todas as organizações de todos os setores, inclusive de Governo, a executar ações de prevenção para reduzir o risco de comprometimento por ataques dessa natureza.

4. Recomendamos, portanto, a implementação das seguintes medidas de prevenção:
- A definição de uma política específica de controle de senhas administrativas de sistemas críticos, seguindo as melhores práticas;
- A adoção de autenticação de multifator para acesso a recursos administrativos, quando disponível;
- O não uso de dispositivos de armazenamento de mídia (pendrive, hard disk portáteis, etc) não confiáveis, particularmente em dispositivos IEDs, Estações de Engenharia, Servidor ICS/SCADA, PLCs, URTs etc;
- Desativar ou inserir bloqueios físicos em portas USB de ativos de redes de OT nas quais estas portas não sejam necessárias ou não estejam inseridas nos planos de segurança;
- Identificar dispositivos IoT vulneráveis e retirá-los das redes internas de TI ou TO;
- Promover a imediata segmentação ou segregação (air gap) de ativos identificados como de maior risco na análise de risco da instituição;
- Adotar campanhas de conscientização de usuários em relação a ataques de engenharia social, com especial atenção a tentativas de phishing via e-mail;
- Implementar o princípio de privilégio mínimo que garanta que usuários tenham o nível mínimo de acesso necessário para cumprir suas tarefas;
- Atualizar os Sistemas Operacionais com os mais recentes patches de segurança, respeitando os procedimentos para garantir a disponibilidade com a aplicação de medidas mitigadoras;
- Acionar fornecedores sobre as últimas versões e correções de segurança para firmwares e sistemas, além de verificar a existência de medidas mitigadoras aplicáveis;
- Monitorar continuamente dispositivos conectados à rede corporativa, com especial atenção a atividades anômalas relacionadas a processos de login; e
- Adotar políticas de execução de backup, definindo procedimentos e executando testes de restauração.

5. Recomenda-se ainda analisar, particularmente, as seguintes referências:

- https://unit42.paloaltonetworks.com/blackcat-ransomware/
- https://www.cisa.gov/stopransomware/resources
- https://www.cisa.gov/stopransomware
- https://www.cisa.gov/cyber-hygiene-services
- https://www.cisa.gov/sites/default/files/publications/CISA_MS-ISAC_Ransomware%20Guide_S508C_.pdf

6. O CTIR Gov, em concordância com o previsto no Decreto 10.748/2021, solicita que as Agências Reguladoras, o Banco Central do Brasil e a Comissão Nacional de Energia Nuclear orientem a constituency de seus respectivos setores sobre o tratado nesta recomendação, de acordo com suas diretrizes e políticas específicas.

7. Sugerimos, finalmente, o acompanhamento dos Alertas e Recomendações emitidos pelo CTIR Gov, disponíveis em:

- https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes

Equipe CTIR Gov.

[TLP:WHITE]