CTIR Gov publica campanha de alerta quanto à ataques de Ransomware

O Centro de Tratamento e Respostas a Incidentes Cibernéticos de Governo (CTIR), parte do Departamento de Segurança da informação (DSI), publicou em 7 de novembro de 2020 a campanha de alerta quanto à ataques de Ransomware direcionado a sistemas VMware e Windows.

O ataque de ransomware é um tipo de malware que impossibilita os usuários de acessarem seu sistema ou arquivos, uma vez que criptografa todos os dados, exigindo que para serem liberados sejam efetuados pagamentos de resgate. Ataques com o ransoware tem cada vez mais sido identificado por organizações.

No dia 3 de novembro de 2020, o Superior Tribunal de Justiça (STJ) foi vítima de um ataque do ransomware, causando interrupção nos processos liderados pelo órgão, e todos os ministros, servidores e funcionários do STJ receberam comunicado para não acessarem à rede. O alerta quanto ao ataque foi realizado pela empresa do ramo de cibersegurança Bleeping Computer, que informou que o documento encontrado, que contém as informações de como obter o resgate em inglês, pelos técnicos nos computadores do STJ é compatível com o RansomExx, também chamado de Ransom X ou Defray777.

A nova variação se instala na rede da vítima e começa a roubar documentos sensíveis enquanto se espalha pelas máquinas. Em posse dos arquivos relevantes, o malware se manifesta e começa a cifrar os dados nos computadores afetados.

No alerta publicado pelo CTIR, existem algumas recomendações necessárias a serem tomadas para prevenção de ataques, a serem realizados pelos seguintes dispositivos afetados:

  • Windows Server 2008 R2 (todas as versões)
  • Windows Server 2008 R2 Service Pack 1 (todas as versões)
  • Windows Server 2012 (todas as versões)
  • Windows Server 2012 R2 (todas as versões)
  • Windows Server 2016 (todas as versões)
  • Windows Server 2019 (todas as versões)
  • Windows Server versão 1809 Standard
  • Windows Server versão 1809 Datacenter
  • Windows Server versão 1903
  • Windows Server versão 1909
  • Windows Server versão 2004
  • VMWare ESXi 6.0
  • VMWare ESXi 6.5
  • VMWare ESXi 6.7
  • VMWare ESXi 7.0
  • VMware Cloud Foundation ESXi 3.X
  • VMware Cloud Foundation ESXi 4.X

Abaixo segue algumas das recomendações gerais dispostas no documento:

  • Não clicar em links de e-mails suspeitos;
  • Evitar a visita a websites que oferecem downloads de programas pirateados ou suspeitos;
  • Mesmo não sendo comprovada a existência de vulnerabilidades, manter os sistemas atualizados com a versão mais recente ou aplicar
    os patches conforme orientação do fabricante;
  • Isolar a máquina da rede ao primeiro sinal de infecção por Malware;
  • Garantir o backup atualizado dos arquivos locais e dos armazenados em Servidores de Arquivos;
  • Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação/execução de binários e ou
    executáveis desconhecidos;
  • Realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e-mails suspeitos ou não reconhecidos
    como de origem esperada.
  • Backup:
    a) Que haja uma política de backup (cópia de segurança) definida;
    b) Revisar as políticas de backup dos principais sistemas, executando testes em amostras para garantia de restauração;
    c) Armazenar as cópias de segurança em local protegido, em rede exclusiva e isolada dos demais ativos, com acesso restrito e controlado
    por Firewall, com o devido registro de conexões;
    d) Se possível, armazenar os backups em mais de um local físico, separados geograficamente, de preferência em cofres à prova de furto,
    incêndio e alagamento, com acesso controlado.
  • Além das recomendações, ao longo das 6 páginas do documento, trazem algumas correções disponíveis, como a “CVE-2018-13379”, que visa correção de vulnerabilidade considerada crítica e que permite o download de informações e configurações dos dispositivos. Sua exploração
    ocorre quando o módulo de acesso remoto está ativado.

    Para mais informações a respeito da campanha, podendo conferir na íntegra todas as recomendações e correções necessárias, clique aqui e acesse o documento completo.

    Além de adotar as medidas de seguranca necessárias sugeridas para evitar o ataque de agentes maliciosos, conte com o auxilio da Clavis Segurança da Informação, que possui um Centro de Operações da Segurança (SOC) que provê uma visibilidade plena sobre os eventos e informações de segurança da sua organização

    Através da combinação de soluções orientadas à dados, como Octopus SIEM e o BART, com um time de especialistas e engenheiros dedicados, o serviço de SOC incluí a detecção e prevenção de ameaças, gestão e tratamento de incidentes, Threat Intelligence, avaliação de vulnerabilidades e monitoramento contínuo.

    Clique aqui e conheça o Octopus SIEM, plataforma totalmente alinhada com os requisitos previstos na ISO 27001, com a funcionalidade de permitir o Gerenciamento e Correlacionamento de Eventos de Segurança, oferecendo uma visibilidade ampla de todos eventos da organização.

    Outra solução que sustenta o Centro de Operações é o BART – Baselines, Análises de Riscos, Testes de Segurança, que realiza o gerenciamento de vulnerabilidades e permite mensurar o real impacto e a probabilidade de exploração de uma vulnerabilidade. Clique aqui e conheça.