CTIR Gov faz alerta de Ransomware-as-a-Service AvosLocker

Essa modalidade desativa serviços de atualização do Windows e força o sistema a ser reiniciado em modo de segurança, instalando uma ferramenta de administração remota

Compartilhar:

Na última sexta-feira (25), o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) fez uma recomendação sobre o avanço dos ataques cibernéticos do tipo ransomware-as-a-Service (RaaS), especialmente o AvosLocker.

 

Essa modalidade de ransomware desativa serviços de atualização do Windows e força o sistema a ser reiniciado em modo de segurança, instalando uma ferramenta de administração remota. Cria, ainda, uma nova conta com login automático para, em seguida, conectar-se ao controlador de domínio para realizar o mapeamento de drives locais e de rede e criptografar todos os arquivos armazenados, exigindo pagamento de resgate para fornecimento da chave para decifragem dos dados.

 

O CTIR Gov reforça as medidas de prevenção e reação a ataques de Ransomware citadas nos Alertas e Recomendações já publicados anteriormente, e destaca as seguintes ações:

 

1. Criar ou reforçar campanhas de conscientização de usuários sobre como identificar e reportar e-mails de phishing e como se proteger de ataques de engenharia social;

 

2. Configurar DKIM e DMARC para impedir que atores maliciosos usem o domínio da organização como parte de ataques de phishing;

 

3. Especificar regras restritivas para acesso à rede por parte de terceirizados;

 

4.Implementar regras de firewall baseadas em feeds de threat intelligence que bloqueiem acesso a sites ou IPs maliciosos, URLs de phishing, proxies anônimos, rede Tor e serviços de anonimização;

 

5. Adotar autenticação de multifator (MFA) em todos os sistemas que possuem esse recurso;

 

6. Desativar o Windows PowerShell, caso não seja utilizado, uma vez que variantes de Ransomware usam este recurso para serem executados;

 

7. Reduzir a superfície de ataque, evitando a utilização de protocolos inseguros ou programas de acesso remoto. Se acesso do tipo RDP for absolutamente necessário, restringir IPs de origem e exigir uso de autenticação de múltiplo fator (MFA);

 

8. Implementar e validar um Plano de Continuidade de Negócio (PCN).

 

De acordo com o CTIR Gov, quando se trata de PCN, a gestão de backups de dados se destaca, quanto a este aspecto sugere-se:

 

1. Adotar políticas de execução de backup, incluindo um plano de recuperação com base no impacto que sistemas e processos específicos possuem na organização, com procedimentos e testes de restauração;

 

2. Definir um segmento de rede separado para dispositivos de armazenamento de backup, permitindo acesso apenas a servidores que estão sendo copiados;

 

3. Utilizar a separação lógica de tarefas, definindo credenciais distintas da operação de rede e específicas para operações de backup;

 

4. Considerar manter cópias offline, desta forma inacessíveis a um usuário malicioso;

 

O CTIR Gov, em concordância com o previsto no Decreto 10.748/2021, solicita que as Agências Reguladoras, o Banco Central do Brasil e a Comissão Nacional de Energia Nuclear orientem a constituency de seus respectivos setores sobre o tratado nesta recomendação, de acordo com suas diretrizes e políticas específicas.

 

Lembramos também, que os Órgãos da APF Direta, autárquica e fundacional, cuja adesão a Rede Federal de Gestão de Incidentes Cibernéticos (REGIC) é de caráter obrigatório (§ 1º do Art 1º do Decreto 10.748/2021), encaminhem ao GSI o Termo de Adesão à REGIC com máxima brevidade para as medidas administrativas necessárias.

Conteúdos Relacionados

Security Report | Overview

Infraestrutura crítica: o próximo grande alvo dos ciberataques

De acordo com o relatório “Global Cybersecurity Outlook 2025”, divulgado pelo World Economic Forum no início deste ano, a Cibersegurança...
Security Report | Overview

Fraudes Bancárias: Que papel cumprirá a biometria no enfrentamento desses riscos?

Segundo o DataSenado, nos últimos 12 meses, 24% dos brasileiros com mais de 16 anos foram vítimas de golpes online,...
Security Report | Overview

DeepSeek vira alvo de mais de 2 mil sites fraudulentos criados em janeiro

Ações fraudulentas também foram identificadas em anúncios de marcas; Buscas no Google por golpes na nova plataforma explodem no mesmo...
Security Report | Overview

Fraudes digitais: Como essas ações impactam o setor contábil?

Com a implementação de processos online e a complexidade do sistema tributário, essas empresas tornaram-se alvos vulneráveis para golpistas que...