CTIR Gov faz alerta de Ransomware-as-a-Service AvosLocker

Essa modalidade desativa serviços de atualização do Windows e força o sistema a ser reiniciado em modo de segurança, instalando uma ferramenta de administração remota

Compartilhar:

Na última sexta-feira (25), o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) fez uma recomendação sobre o avanço dos ataques cibernéticos do tipo ransomware-as-a-Service (RaaS), especialmente o AvosLocker.

 

Essa modalidade de ransomware desativa serviços de atualização do Windows e força o sistema a ser reiniciado em modo de segurança, instalando uma ferramenta de administração remota. Cria, ainda, uma nova conta com login automático para, em seguida, conectar-se ao controlador de domínio para realizar o mapeamento de drives locais e de rede e criptografar todos os arquivos armazenados, exigindo pagamento de resgate para fornecimento da chave para decifragem dos dados.

 

O CTIR Gov reforça as medidas de prevenção e reação a ataques de Ransomware citadas nos Alertas e Recomendações já publicados anteriormente, e destaca as seguintes ações:

 

1. Criar ou reforçar campanhas de conscientização de usuários sobre como identificar e reportar e-mails de phishing e como se proteger de ataques de engenharia social;

 

2. Configurar DKIM e DMARC para impedir que atores maliciosos usem o domínio da organização como parte de ataques de phishing;

 

3. Especificar regras restritivas para acesso à rede por parte de terceirizados;

 

4.Implementar regras de firewall baseadas em feeds de threat intelligence que bloqueiem acesso a sites ou IPs maliciosos, URLs de phishing, proxies anônimos, rede Tor e serviços de anonimização;

 

5. Adotar autenticação de multifator (MFA) em todos os sistemas que possuem esse recurso;

 

6. Desativar o Windows PowerShell, caso não seja utilizado, uma vez que variantes de Ransomware usam este recurso para serem executados;

 

7. Reduzir a superfície de ataque, evitando a utilização de protocolos inseguros ou programas de acesso remoto. Se acesso do tipo RDP for absolutamente necessário, restringir IPs de origem e exigir uso de autenticação de múltiplo fator (MFA);

 

8. Implementar e validar um Plano de Continuidade de Negócio (PCN).

 

De acordo com o CTIR Gov, quando se trata de PCN, a gestão de backups de dados se destaca, quanto a este aspecto sugere-se:

 

1. Adotar políticas de execução de backup, incluindo um plano de recuperação com base no impacto que sistemas e processos específicos possuem na organização, com procedimentos e testes de restauração;

 

2. Definir um segmento de rede separado para dispositivos de armazenamento de backup, permitindo acesso apenas a servidores que estão sendo copiados;

 

3. Utilizar a separação lógica de tarefas, definindo credenciais distintas da operação de rede e específicas para operações de backup;

 

4. Considerar manter cópias offline, desta forma inacessíveis a um usuário malicioso;

 

O CTIR Gov, em concordância com o previsto no Decreto 10.748/2021, solicita que as Agências Reguladoras, o Banco Central do Brasil e a Comissão Nacional de Energia Nuclear orientem a constituency de seus respectivos setores sobre o tratado nesta recomendação, de acordo com suas diretrizes e políticas específicas.

 

Lembramos também, que os Órgãos da APF Direta, autárquica e fundacional, cuja adesão a Rede Federal de Gestão de Incidentes Cibernéticos (REGIC) é de caráter obrigatório (§ 1º do Art 1º do Decreto 10.748/2021), encaminhem ao GSI o Termo de Adesão à REGIC com máxima brevidade para as medidas administrativas necessárias.

Conteúdos Relacionados

Security Report | Overview

Gartner aponta IA tática e descentralização digital como tendências de SI em 2025

Pesquisa aponta que líderes de segurança cibernética devem lidar com o esgotamento na cibersegurança para garantir a eficácia de programas...
Security Report | Overview

Brasil possui 1 milhão de sevidores expostos na rede, alerta relatório

Relatório de anos de pesquisas divulga guia prático, que sugere abordagem focada na segurança das corporações Abordagem em 4 passos...
Security Report | Overview

Microsoft, Adobe, Oracle, DeepSeek e AWS têm falhas de Segurança, diz consultoria

A curadoria também inclui a descoberta de uma campanha de malware voltada para o roubo de dados de cartão de...
Security Report | Overview

Marketplaces online estão na mira de fraudes financeiras, alerta threat intel

Os pesquisadores observam que vendedores são principais vítimas nesses ataques e elencam os golpes mais comuns