Notícias
ALERTA 06/2022
[TLP:WHITE]
1. O número de ataques de Ransomware aumentou significativamente nos últimos dois anos. Ameaças à disponibilidade da informação por ações desta natureza impactam diretamente os negócios de organizações de todos os segmentos. As redes governamentais também são vítimas deste tipo de ameaça.
2. O modelo atual de Ransomware-as-a-Service (RaaS) amplia esta ameaça, na medida em que oferece uma infraestrutura completa que permite a grupos ou pessoas, com limitada experiência e conhecimento, executar ataques com êxito. O principal vetor é a Engenharia Social, por intermédio do Phishing.
3. Um dos grupos atuantes no cenário exposto é o AvosLocker. O Ransomware desativa serviços de atualização do Windows e força o sistema a ser reiniciado em modo de segurança, instalando uma ferramenta de administração remota. Cria, ainda, uma nova conta com login automático para, em seguida, conectar-se ao controlador de domínio para realizar o mapeamento de drives locais e de rede e criptografar todos os arquivos armazenados, exigindo pagamento de resgate para fornecimento da chave para decifragem dos dados.
4. O Centro de Prevenção, Tratamento e Resposta à Incidentes Cibernéticos de Governo (CTIR Gov) reforça as medidas de prevenção e reação a ataques de Ransomware citadas nos Alertas e Recomendações já publicados anteriormente, e destaca as seguintes ações:
- Criar ou reforçar campanhas de conscientização de usuários sobre como identificar e reportar e-mails de phishing e como se proteger de ataques de engenharia social;
- Configurar DKIM e DMARC para impedir que atores maliciosos usem o domínio da organização como parte de ataques de phishing;
- Especificar regras restritivas para acesso à rede por parte de terceirizados;
- Implementar regras de firewall baseadas em feeds de threat intelligence que bloqueiem acesso a sites ou IPs maliciosos, URLs de phishing, proxies anônimos, rede Tor e serviços de anonimização;
- Adotar autenticação de multifator (MFA) em todos os sistemas que possuem esse recurso;
- Desativar o Windows PowerShell, caso não seja utilizado, uma vez que variantes de Ransomware usam este recurso para serem executados;
- Reduzir a superfície de ataque, evitando a utilização de protocolos inseguros ou programas de acesso remoto. Se acesso do tipo RDP for absolutamente necessário, restringir IPs de origem e exigir uso de autenticação de múltiplo fator (MFA); e
- Implementar e validar um Plano de Continuidade de Negócio (PCN).
5. Quando se trata de PCN, a gestão de backups de dados se destaca, quanto a este aspecto sugere-se:
- Adotar políticas de execução de backup, incluindo um plano de recuperação com base no impacto que sistemas e processos específicos possuem na organização, com procedimentos e testes de restauração;
- Definir um segmento de rede separado para dispositivos de armazenamento de backup, permitindo acesso apenas a servidores que estão sendo copiados;
- Utilizar a separação lógica de tarefas, definindo credenciais distintas da operação de rede e específicas para operações de backup;
- Considerar manter cópias offline, desta forma inacessíveis a um usuário malicioso; e
6. O CTIR Gov, em concordância com o previsto no Decreto 10.748/2021, solicita que as Agências Reguladoras, o Banco Central do Brasil e a Comissão Nacional de Energia Nuclear orientem a constituency de seus respectivos setores sobre o tratado nesta recomendação, de acordo com suas diretrizes e políticas específicas.
7. Lembramos também, que os Órgãos da APF Direta, autárquica e fundacional, cuja adesão a Rede Federal de Gestão de Incidentes Cibernéticos (REGIC) é de caráter obrigatório (§ 1º do Art 1º do Decreto 10.748/2021), encaminhem ao GSI o Termo de Adesão à REGIC com máxima brevidade para as medidas administrativas necessárias.
8. Outrossim, cabe a leitura atenta, por parte de todos os Órgãos da Administração Pública Federal, do Decreto citado disponível em:
9. Por fim, o CTIR Gov indica a consulta frequente aos Alertas e Recomendações, divulgados em:
Atenciosamente,
Equipe CTIR Gov.
[TLP:WHITE]