A Cybersecurity and Infrastructure Security Agency (CISA), em conjunto com o Federal Bureau of Investigation (FBI), o Department of Health and Human Services (HHS) e o Multi-State Information Sharing and Analysis Center (MS-ISAC) emitiram um aviso sobre a ameaça do Ransomware Black Basta, que já afetou pelo menos 12 de 16 diferentes setores de Infraestruturas Críticas dos Estados Unidos.
Diante desse alerta, o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Governo (CTIR Gov) solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições a consultar o documento, compreender os detalhes técnicos, identificar as técnicas e táticas e utilizar os Indicadores de Comprometimento (hashes de arquivos, IPs e domínios maliciosos) para alimentar suas ferramentas de segurança.
O Black Basta opera como “Ransomware como serviço” (RaaS). Os ataques cibernéticos de seus afiliados já afetaram organizações em toda a América do Norte, Europa e Austrália e impactaram operações de mais de 500 infraestruturas digitais pelo mundo.
A ameaça emprega técnicas comuns de acesso inicial, como phishing e exploração de vulnerabilidades conhecidas, além de utilizar o modelo de dupla extorsão, extraindo dados e criptografando sistemas e arquivos. “Tem sido observada uma tendência de ataques a organizações de saúde, possivelmente devido ao tamanho das estruturas, dependência tecnológica, acesso a informações pessoais e graves impactos na interrupção dos serviços”, informou o CTIR.
A organização recomenda, ainda, que os responsáveis pela segurança das redes de Organizações Públicas de Saúde confiram especial atenção às técnicas e táticas utilizadas pelos atores da ameaça, priorizando a execução das seguintes ações, como assegurar as atualizações para sistemas operacionais, software e firmware assim que forem lançadas, com prioridade à atualização das Vulnerabilidades Conhecidas Exploradas
Também é necessário que esses profissionais exijam autenticação multifator (MFA) para todos os serviços compatíveis e buscar integração dos sistemas com o Login Único do Governo Federal. O mesmo se entende para reforçar campanhas de conscientização de segurança digital para colaboradores, especialmente relacionadas a reconhecimento e notificação de tentativas de phishing.
Garantir a execução de backup de sistemas críticos e configurações de dispositivos de modo a permitir restauração em caso de incidentes e garantir que as ferramentas de segurança de endpoint sejam configuradas e atualizadas constantemente também foram ações citadas.
“Em concordância com o previsto no Decreto 10.748/2021, o CTIR Gov solicita que as entidades responsáveis pelas ETIR Setoriais orientem a comunidade de suas respectivas áreas sobre o tratado nesta Recomendação, de acordo com suas diretrizes e políticas específicas”, encerra nota do Centro ligado ao GSI.
