Na última sexta-feira (25), o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) fez uma recomendação sobre o avanço dos ataques cibernéticos do tipo ransomware-as-a-Service (RaaS), especialmente o AvosLocker.
Essa modalidade de ransomware desativa serviços de atualização do Windows e força o sistema a ser reiniciado em modo de segurança, instalando uma ferramenta de administração remota. Cria, ainda, uma nova conta com login automático para, em seguida, conectar-se ao controlador de domínio para realizar o mapeamento de drives locais e de rede e criptografar todos os arquivos armazenados, exigindo pagamento de resgate para fornecimento da chave para decifragem dos dados.
O CTIR Gov reforça as medidas de prevenção e reação a ataques de Ransomware citadas nos Alertas e Recomendações já publicados anteriormente, e destaca as seguintes ações:
1. Criar ou reforçar campanhas de conscientização de usuários sobre como identificar e reportar e-mails de phishing e como se proteger de ataques de engenharia social;
2. Configurar DKIM e DMARC para impedir que atores maliciosos usem o domínio da organização como parte de ataques de phishing;
3. Especificar regras restritivas para acesso à rede por parte de terceirizados;
4.Implementar regras de firewall baseadas em feeds de threat intelligence que bloqueiem acesso a sites ou IPs maliciosos, URLs de phishing, proxies anônimos, rede Tor e serviços de anonimização;
5. Adotar autenticação de multifator (MFA) em todos os sistemas que possuem esse recurso;
6. Desativar o Windows PowerShell, caso não seja utilizado, uma vez que variantes de Ransomware usam este recurso para serem executados;
7. Reduzir a superfície de ataque, evitando a utilização de protocolos inseguros ou programas de acesso remoto. Se acesso do tipo RDP for absolutamente necessário, restringir IPs de origem e exigir uso de autenticação de múltiplo fator (MFA);
8. Implementar e validar um Plano de Continuidade de Negócio (PCN).
De acordo com o CTIR Gov, quando se trata de PCN, a gestão de backups de dados se destaca, quanto a este aspecto sugere-se:
1. Adotar políticas de execução de backup, incluindo um plano de recuperação com base no impacto que sistemas e processos específicos possuem na organização, com procedimentos e testes de restauração;
2. Definir um segmento de rede separado para dispositivos de armazenamento de backup, permitindo acesso apenas a servidores que estão sendo copiados;
3. Utilizar a separação lógica de tarefas, definindo credenciais distintas da operação de rede e específicas para operações de backup;
4. Considerar manter cópias offline, desta forma inacessíveis a um usuário malicioso;
O CTIR Gov, em concordância com o previsto no Decreto 10.748/2021, solicita que as Agências Reguladoras, o Banco Central do Brasil e a Comissão Nacional de Energia Nuclear orientem a constituency de seus respectivos setores sobre o tratado nesta recomendação, de acordo com suas diretrizes e políticas específicas.
Lembramos também, que os Órgãos da APF Direta, autárquica e fundacional, cuja adesão a Rede Federal de Gestão de Incidentes Cibernéticos (REGIC) é de caráter obrigatório (§ 1º do Art 1º do Decreto 10.748/2021), encaminhem ao GSI o Termo de Adesão à REGIC com máxima brevidade para as medidas administrativas necessárias.
