ALERTA 16/2023

[TLP:CLEAR]

1. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) tem acompanhando as ações maliciosas de Ransomware, particularmente o ator de ameaça Rhysida.

2. De acordo com as publicações de parceiros internacionais, o ransomware Rhysida busca alvos de oportunidade. As ações envolveram diversos setores, como: educação, saúde, industria e governo. Com base em inteligência de fontes abertas (OSINT), o Rhysida atua no modelo de Ransomware-as-a-Service (RaaS).

3. Como vetor de acesso, o Rhysida tem se utilizado do abuso de acessos remotos, invadindo e persistindo na rede alvo, particularmente abusando de credenciais vazadas de VPN. Além desse vetor, fontes indicam a exploração da vulnerabilidade Zerologon (CVE-2020-1472) e phishing com anexos de conteúdo malicioso.

4. Para ofuscar a ação e evitar a detecção, o Rhysida estabelece conexões RDP visando a movimentação lateral e a reconfiguração do acesso VPN e o uso do PowerShell. Após a enumeração, criptografa os dados da rede usando chave de criptografia RSA de 4096 bits com algoritmo ChaCha20. Além da criptografia de dados, também exfiltra dados para realizar uma dupla extorsão.

5. O CTIR Gov reforça às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições a necessidade da adoção das seguintes medidas de prevenção:

• Implementar uma política de execução de backup que descreva os procedimentos e testes de restauração. Deve prever locais fisicamente segmentados e seguros para armazenamento de mídias, além de incluir um plano de recuperação;
• Utilizar o conceito de segmentação de redes como ação de prevenção contra disseminação de ransomware e restrição de movimentos laterais. Em complemento, deve utilizar ferramentas de detecção e resposta de endpoint (EDR) para detectar atividades maliciosas ou anormais;
• Manter ações de atualização de Sistemas Operacionais, Softwares e Firmwares, de modo a minimizar a exposição a ameaças. Especial atenção deve ser dada à atualização do software antivírus, que deve estar habilitado para detecção em tempo real em todos os endpoints, onde for viável;
• Assegurar a execução da Política de Controle de Senhas da organização. Recomenda-se observar as recomendações sobre processos de autenticação, ciclo de vida de autenticadores e controle de acesso lógico, disponível em https://pages.nist.gov/800-63-3/sp800-63b.html;
• Adotar autenticação de multifator (MFA) para todos os serviços críticos que disponibilizem este recurso, principalmente em e-mail e redes virtuais privadas (VPN);
• Restrição do uso do PowerShell;
• Manutenção de backups off-line, testados e limpos; e
• Reforçar campanhas de conscientização e educação de usuários sobre ameaças recebidas por e-mail, de modo a identificar ataques de engenharia social e prevenir infecções por malware.

6. Informações técnicas complementares, contendo indicadores de comprometimento e técnicas, táticas e procedimentos, podem ser acessadas em:

• https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-319a
• https://www.cisa.gov/stopransomware/ransomware-faqs
• https://nvd.nist.gov/vuln/detail/cve-2020-1472
• https://www.cisa.gov/sites/default/files/publications/fact-sheet-implementing-phishing-resistant-mfa-508c.pdf
• https://www.cisa.gov/resources-tools/resources/guide-securing-remote-access-software
• https://www.fortinet.com/blog/threat-research/investigating-the-new-rhysida-ransomware

7. Solicitamos que as ETIR notifiquem imediatamente o CTIR Gov sobre comprometimentos relacionados a ataques de Ransomware, informando IOC's (Indicadores de Comprometimento) e TTP's (Técnicas, Táticas e Procedimentos).

8. Os Alertas e Recomendações emitidos pelo CTIR Gov podem ser consultados em:

• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes

9. O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST):

• https://www.gov.br/ctir/pt-br/assuntos/tlp

Equipe CTIR Gov

[TLP:CLEAR]