A Equipe de Tratamento e Respostas a Incidentes em Redes de Computadores - ETIR / IFSP, através de suas ações contínuas de prevenção de ameaças à segurança da informação institucional, informa que:
Recebemos compartilhamentos de alertas, enviados a todos os entes da Administração Pública Federal, emitidos pelo CTIR Gov - Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo e da ETIR Gov - Equipe de Tratamento de Incidentes de Redes de Governo, referentes às seguintes ações:
Recebemos compartilhamentos de alertas, enviados a todos os entes da Administração Pública Federal, emitidos pelo CTIR Gov - Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo e da ETIR Gov - Equipe de Tratamento de Incidentes de Redes de Governo, referentes às seguintes ações:
- - Correções críticas em produtos Microsoft
- - A empresa Microsoft publicou as correções para 5 (cinco) vulnerabilidades consideradas críticas de um total de 63 (sessenta e três) correções para as respectivas vulnerabilidades:
- - Mediante a estes alertas de atualizações e analisando a criticidade das vulnerabilidades, que permitem a agentes maliciosos executar remotamente códigos arbitrários.
- - Considerando o cenário diário de segurança cibernética, onde atores maliciosos, principalmente ransomwares e, agentes de comando e controle remotos (C2), tem atuado diretamente em ações que afetam a disponibilidade, confidencialidade e integridade das informações.
- - Solicitamos extrema atenção e a devida importância para essas atualizações.
- - Ataques do "Play Ransomware" à redes governamentais de países da América Latina:
- - Extrema atenção aos serviços de RDP que por ventura, contrariando boas práticas, estejam expostos. O acesso ao serviço RDP ou qualquer outro serviço de acesso remoto, como SSH, deve ser realizado através de VPN, com restrição de IPs, sem exposição direta e se compatível, habilitar e utilizar o múltiplo fator de autenticação (MFA).
- - Em infraestruturas com domínio, este ransomware pode utilizar a ferramenta nativa AdFind para consulta ao Active Directory (AD), em busca de informações que possibilite a elevação de privilégios em sistemas.
- - Após a infecção, o Ransomware Play opera como as demais ameaças, executando extração de dados da infraestrutura comprometida e utilizando a abordagem da dupla extorsão contra as vítimas.
- - Atores do Ransomware se utilizam credenciais de e-mails publicados em violações de dados anteriores para disparar campanhas de phishing direcionadas, com o intuito de obter credenciais válidas de acesso à rede como acesso inicial, para então continuar o ataque.
- - Recomendamos:
- - Aplicação imediata de atualizações nos sistemas operacionais, principalmente aos sistemas Microsoft que não ainda tenham recebido as seguintes atualizações:
- - 2017 Microsoft Windows Server Message Block 1.0 server vulnerabilities (https://support.microsoft.com/pt-br/topic/ms17-010-atualiza%C3%A7%C3%A3o-de-seguran%C3%A7a-para-o-servidor-windows-smb-ter%C3%A7a-feira-14-de-mar%C3%A7o-de-2017-435c22fb-5f9b-f0b3-3c4b-b605f4e6a655);
- - "PrintNightmare" vulnerability (CVE-2021-34527) in Windows Print spooler service (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527); e
- - "Zerologon" vulnerability (CVE-2020-1472) in Microsoft Active Directory Domain Controller systems (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-1472).
- - Solicitamos extrema atenção e a devida importância nas aplicações destas atualizações.
- - Implementação de rotinas de backup de arquivos e sistemas.
- - A adoção de campanhas de conscientização de usuários em relação a ataques de engenharia social, com especial atenção a tentativas de phishing via e-mail.
- - Recomendamos:
- - Disseminação de um novo malware denominado Shikitega:
- - CVE-2021-4034 - https://nvd.nist.gov/vuln/
detail/cve-2021-4034; e - - CVE-2021-3493 - https://nvd.nist.gov/vuln/
detail/CVE-2021-3493.
- - Manter os softwares e firmwares atualizados;
- - Utilizar Antivírus ou anti-malware em todos os endpoints; e
- - Implementação de rotinas de backup de arquivos.
- - CVE-2021-4034 - https://nvd.nist.gov/vuln/
- - É direcionado a endpoints e dispositivos IoT que executam sistemas operacionais Linux. Realiza a infecção com vários estágios, onde cada módulo responde a uma parte da carga maliciosa que baixa e executa a próxima etapa, dificultando assim, sua detecção.
- - O Shikitega utiliza servidores de comando e controle (C2) hospedados em serviços de nuvem legítimos e explora duas vulnerabilidades Linux de elevação de privilégios conhecidas:
- - Os malwares com atuação no formato C2 (comando e controle) podem exercer controle absoluto sobre uma infraestrutura, uma que vez que comprometendo um host, se hospeda nele e permite a um atacante realizar ações de maneira remota, o que amplia sua superfície de ataque, pois gera a possibilidade do deslocamentos laterais a outros hosts da infraestrutura, roubo de dados incluindo credenciais com privilégios elevados e a indisponibilidade de serviços ou de toda a infraestrutura, possibilitando inclusive a infecção por ransomware.
- - Tendo em vista as informações de inteligência relacionadas a tal agente malicioso, recomendamos:
Mediante a tais alertas, é reforçada a importância das ações de prevenção descritas acima, principalmente no que tange:
- - às políticas e execução prática de backups de sistemas e arquivos;
- - às atualizações e uso das funcionalidades de segurança e proteção dos sistemas operacionais, serviços e dispositivos;
- - a não exposição direta e reforço na proteção dos serviços de acesso remoto ou de administração de hosts;
- - checagem da confidencialidade de credenciais, principalmente as que possuam altos privilégios na infraestrutura local, que possam ter sido comprometidas pela definição de senhas fáceis e já conhecidas, por ação de malwares em seus dispositivos externos, interações com e-mails de phishing (e-mails falsos) ou o uso dessas credenciais em sites de terceiros, cujas bases de dados foram indevidamente clonadas por criminosos.
- - Have I Been Pwned LatestBreaches: https://haveibeenpwned.com/
- - Firefox Monitor: https://monitor.firefox.com/
- - Sites recomendados para estas checagens:
- - e o reforço na conscientização e educação cibernética de todos os colaboradores locais, prevenindo ataques de engenharia social, com especial atenção a tentativas de phishing via e-mail.
--
Agradecemos pela atenção e contribuição para a melhoria contínua da segurança da informação institucional.
--
Agradecemos pela atenção e contribuição para a melhoria contínua da segurança da informação institucional.
--
Redes Sociais