Notícias
ALERTA 02/2023
1. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) recebeu informações a respeito de uma nova onda de ataques de Ransomware, usando uma variante denominada "Royal Ransomware".
2. Esta variante, com incidentes identificados pelo menos desde setembro de 2022, utiliza ataques de phishing com arquivos PDF infectados para ganhar acesso à rede, além de explorar vulnerabilidades em protocolos inseguros, como RDP. Credenciais de VPN também são utilizadas como vetor inicial de ataque.
3. Além das redes tradicionais baseadas em sistemas Windows, o Royal Ransomware também tem como alvos sistemas Linux e servidores ESXi, potencialmente impactando datacenters corporativos. A operação do Ransomware envolve a utilização de diferentes recursos de tunelamento para comunicação com servidores de comando e controle. Desta forma, consegue baixar e instalar diversas ferramentas que permitem movimentação lateral e persistência, buscando formas de acesso ao controlador do domínio para execução de operações avançadas na rede.
4. Além da criptografia de arquivos, o Ransomware realiza o esquema de dupla extorsão, executando exfiltração de dados corporativos e ameaçando divulgá-los publicamente caso a vítima não pague o resgate solicitado.
- Implementar uma política de execução de backup que descreva os procedimentos e testes de restauração. Deve prever locais fisicamente segmentados e seguros para armazenamento de mídias, além de incluir um plano de recuperação;
- Utilizar o conceito de segmentação de redes como ação de prevenção contra disseminação de ransomware e restrição de movimentos laterais. Em complemento, utilizar ferramentas de detecção e resposta de endpoint (EDR) para detectar atividades maliciosas ou anormais;
- Implementar e manter um programa de atualização dos Hipervisors utilizados na organização, com acompanhamento dos boletins de segurança disponíveis em https://www.vmware.com/security/advisories.html.
- Manter um programa de atualização de Sistemas Operacionais, Softwares e Firmwares, de modo a minimizar a exposição a ameaças. Especial atenção deve ser dada à atualização do Software antivírus, que deve estar habilitado para detecção em tempo real em todas as estações;
- Assegurar a execução da Política de Controle de Senhas da organização. Recomenda-se observar as recomendações sobre processos de autenticação, ciclo de vida de autenticadores e controle de acesso lógico, disponível em https://pages.nist.gov/800-63-3/sp800-63b.html
- Adotar autenticação de multifator (MFA) para todos os serviços críticos que disponibilizem este recurso, principalmente em e-mail e redes virtuais privadas (VPN);
- Monitorar a criação de contas em controladores de domínio, servidores, e estações de trabalho. Contas com privilégios administrativos devem estar sob listas de controles de acesso e configuradas de acordo com o princípio do privilégio mínimo;
- Desativar o uso de linha de comando e permissões de execução de scripts em estações de trabalho como forma de dificultar ações de escalação de privilégios e movimento lateral;
- Configurar o Registro do Windows para exigir a aprovação do Controle de Acesso do Usuário (UAC) para qualquer operação do PsExec que exija privilégios de administrador, de modo a reduzir o risco de movimento lateral pela ferramenta; e
- Reforçar campanhas de educação de usuários sobre ameaças recebidas por e-mail, de modo a identificar ataques de engenharia social e prevenir infecções por malware. Considerar, ainda, a inserção de um banner aos e-mails externos (recebidos de fora da organização) e o bloqueio de anexos suspeitos, como por exemplo .scr, .exe, .pif, .cpl, e outros.
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-061a
- https://www.cisa.gov/sites/default/files/publications/2022_00092_CISA_CPG_Report_508c.pdf
- https://www.cyber.gov.au/acsc/view-all-content/advisories/2023-01-acsc-ransomware-profile-royal
- https://www.microsoft.com/en-us/security/blog/2022/11/17/dev-0569-finds-new-ways-to-deliver-royal-ransomware-various-payloads/
- https://www.trendmicro.com/en_us/research/23/b/royal-ransomware-expands-attacks-by-targeting-linux-esxi-servers.html
- https://www.cybereason.com/blog/royal-ransomware-analysis
- https://www.fortinet.com/blog/threat-research/royal-ransomware-targets-linux-esxi-servers
- https://blogs.vmware.com/security/2022/09/esxi-targeting-ransomware-the-threats-that-are-after-your-virtual-machines-part-1.html
- https://blogs.vmware.com/security/2023/02/83330.html
7. Recomendamos utilizar o arquivo anexo a este Alerta para configuração em ferramentas de segurança, como firewalls, IDS/IPS e soluções de SIEM, para detectar e bloquear atividades maliciosas relacionadas ao Royal Ransomware na rede.
8. Solicitamos que as ETIR notifiquem imediatamente o CTIR Gov sobre comprometimentos relacionados a ataques de Ransomware, informando IOC's (Indicadores de Comprometimento) e TTP's (Técnicas, Táticas e Procedimentos).
9. O CTIR Gov ressalta que, de acordo com os artigos 15 e 17 do Decreto Nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, cada órgão é responsável pela proteção cibernética de seus ativos de informação. Referência: https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-decreto-n-9-637-de-26-de-dezembro-de-2018-56969938
Equipe CTIR Gov