O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) soltou um novo alerta para os órgãos públicos, chamando a atenção pra “uma nova onda de ataques de Ransomware, usando uma variante denominada ‘Royal Ransomware'”.
Segundo o CTIR.Gov,, essa variante, que tem incidentes identificados pelo menos desde setembro de 2022, utiliza ataques de phishing com arquivos PDF infectados para ganhar acesso à rede, além de explorar vulnerabilidades em protocolos inseguros, como RDP. Credenciais de VPN também são utilizadas como vetor inicial de ataque.
Além das redes tradicionais baseadas em sistemas Windows, o Royal Ransomware também tem como alvos sistemas Linux e servidores ESXi, potencialmente impactando datacenters corporativos. A operação do Ransomware envolve a utilização de diferentes recursos de tunelamento para comunicação com servidores de comando e controle. Desta forma, consegue baixar e instalar diversas ferramentas que permitem movimentação lateral e persistência, buscando formas de acesso ao controlador do domínio para execução de operações avançadas na rede.
Além da criptografia de arquivos, o Ransomware realiza o esquema de dupla extorsão, executando exfiltração de dados corporativos e ameaçando divulgá-los publicamente caso a vítima não pague o resgate solicitado.
Por isso, o CTIR.Gov destaca a necessidaade de implementação de uma série de medidas de proteção:
1) Implementar uma política de execução de backup que descreva os procedimentos e testes de restauração. Deve prever locais fisicamente segmentados e seguros para armazenamento de mídias, além de incluir um plano de recuperação;
2) Utilizar o conceito de segmentação de redes como ação de prevenção contra disseminação de ransomware e restrição de movimentos laterais. Em complemento, utilizar ferramentas de detecção e resposta de endpoint (EDR) para detectar atividades maliciosas ou anormais;
3) Implementar e manter um programa de atualização dos Hipervisors utilizados na organização, com acompanhamento dos boletins de segurança disponíveis em https://www.vmware.com/security/advisories.html.
4) Manter um programa de atualização de Sistemas Operacionais, Softwares e Firmwares, de modo a minimizar a exposição a ameaças. Especial atenção deve ser dada à atualização do Software antivírus, que deve estar habilitado para detecção em tempo real em todas as estações;
5) Assegurar a execução da Política de Controle de Senhas da organização. Recomenda-se observar as recomendações sobre processos de autenticação, ciclo de vida de autenticadores e controle de acesso lógico, disponível em https://pages.nist.gov/800-63-3/sp800-63b.html
6) Adotar autenticação de multifator (MFA) para todos os serviços críticos que disponibilizem este recurso, principalmente em e-mail e redes virtuais privadas (VPN);
7) Monitorar a criação de contas em controladores de domínio, servidores, e estações de trabalho. Contas com privilégios administrativos devem estar sob listas de controles de acesso e configuradas de acordo com o princípio do privilégio mínimo;
8) Desativar o uso de linha de comando e permissões de execução de scripts em estações de trabalho como forma de dificultar ações de escalação de privilégios e movimento lateral;
9) Configurar o Registro do Windows para exigir a aprovação do Controle de Acesso do Usuário (UAC) para qualquer operação do PsExec que exija privilégios de administrador, de modo a reduzir o risco de movimento lateral pela ferramenta; e
10) Reforçar campanhas de educação de usuários sobre ameaças recebidas por e-mail, de modo a identificar ataques de engenharia social e prevenir infecções por malware. Considerar, ainda, a inserção de um banner aos e-mails externos (recebidos de fora da organização) e o bloqueio de anexos suspeitos, como por exemplo .scr, .exe, .pif, .cpl, e outros.
O alerta aponta uma série de lins com informações complementares, como indicadores de comprometimento e técnicas, táticas e procedimentos. Também oferece um arquivo de configuração de ferramentas de segurança, como firewalls, IDS/IPS e soluções de SIEM, para detectar e bloquear atividades maliciosas relacionadas ao Royal Ransomware na rede.
As equipes de trataramento e resposta a incidentes devem notifiicar imediatamente o CTIR.Gov sobre comprometimentos relacionados a ataques de Ransomware, informando IOC’s (Indicadores de Comprometimento) e TTP’s (Técnicas, Táticas e Procedimentos).
O CTIR.Gov ressalta que, como previsto na Política Nacional de Segurança da Informação, cada órgão é responsável pela proteção cibernética de seus ativos de informação.
