ÈÕ±¾ÎÞëÖгö

A Equipe de Tratamento e Respostas a Incidentes em Redes de Computadores - ETIR / IFSP, através de suas ações contínuas de prevenção de ameaças à segurança da informação institucional, informa que:

Recebemos compartilhamentos de alertas, enviados a todos os entes da ÈÕ±¾ÎÞëÖгö Pública Federal, emitidos pelo CTIR Gov - Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo e da ETIR Gov - Equipe de Tratamento de Incidentes de Redes de Governo, referentes à²õ seguintes ações:

• - Correções críticas em produtos Microsoft
• - A empresa Microsoft publicou as correções para 5 (cinco) vulnerabilidades consideradas críticas de um total de 63 (sessenta e três) correções para as respectivas vulnerabilidades:
  
  Ìý-
  Ìý-
  Ìý-
  Ìý-
  Ìý-
• - Mediante a estes alertas de atualizações e analisando a criticidade das vulnerabilidades, que permitem a agentes maliciosos executar remotamente códigos arbitrários.
• - Considerando o cenário diário de segurança cibernética, onde atores maliciosos, principalmente ransomwares e, agentes de comando e controle remotos (C2), tem atuado diretamente em ações que afetam a disponibilidade, confidencialidade e integridade das informações.
• - Solicitamos extrema atenção e a devida importância para essas atualizações.

• - Ataques do "Play Ransomware" à redes governamentais de países da América Latina:
• - Extrema atenção aos serviços de RDP que por ventura, contrariando boas práticas, estejam expostos. O acesso ao serviço RDP ou qualquer outro serviço de acesso remoto, como SSH, deve ser realizado através de VPN, com restrição de IPs, sem exposição direta e se compatível, habilitar e utilizar o múltiplo fator de autenticação (MFA).
• - Em infraestruturas com domínio, este ransomware pode utilizar a ferramenta nativa AdFind para consulta ao Active Directory (AD), em busca de informações que possibilite a elevação de privilégios em sistemas.
• - Após a infecção, o Ransomware Play opera como as demais ameaças, executando extração de dados da infraestrutura comprometida e utilizando a abordagem da dupla extorsão contra as vítimas.
• - Atores do Ransomware se utilizam credenciais de e-mails publicados em violações de dados anteriores para disparar campanhas de phishing direcionadas, com o intuito de obter credenciais válidas de acesso à rede como acesso inicial, para então continuar o ataque.
  • ÌýÌýÌý - Recomendamos:
    • - Aplicação imediata de atualizações nos sistemas operacionais, principalmente aos sistemas Microsoft que não ainda tenham recebido as seguintes atualizações:
    • - 2017 Microsoft Windows Server Message Block 1.0 server vulnerabilities ();
    • - "PrintNightmare" vulnerability (CVE-2021-34527) in Windows Print spooler service (); e
    • - "Zerologon" vulnerability (CVE-2020-1472) in Microsoft Active Directory Domain Controller systems ().
      • - Solicitamos extrema atenção e a devida importância nas aplicações destas atualizações.
    • - Implementação de rotinas de backup de arquivos e sistemas.
    • - A adoção de campanhas de conscientização de usuários em relação a ataques de engenharia social, com especial atenção a tentativas de phishing via e-mail.

• - Disseminação de um novo malware denominado Shikitega:
  • - CVE-2021-4034 - ; e
  • - CVE-2021-3493 - .
  • - Manter os softwares e firmwares atualizados;
  • - Utilizar Antivírus ou anti-malware em todos os endpoints; e
  • - Implementação de rotinas de backup de arquivos.
• - É direcionado a endpoints e dispositivos IoT que executam sistemas operacionais Linux. Realiza a infecção com vários estágios, onde cada módulo responde a uma parte da carga maliciosa que baixa e executa a próxima etapa, dificultando assim, sua detecção.
• - O Shikitega utiliza servidores de comando e controle (C2) hospedados em serviços de nuvem legítimos e explora duas vulnerabilidades Linux de elevação de privilégios conhecidas:
• - Os malwares com atuação no formato C2 (comando e controle) podem exercer controle absoluto sobre uma infraestrutura, uma que vez que comprometendo um host, se hospeda nele e permite a um atacante realizar ações de maneira remota, o que amplia sua superfície de ataque, pois gera a possibilidade do deslocamentos laterais a outros hosts da infraestrutura, roubo de dados incluindo credenciais com privilégios elevados e a indisponibilidade de serviços ou de toda a infraestrutura, possibilitando inclusive a infecção por ransomware.
• - Tendo em vista as informações de inteligência relacionadas a tal agente malicioso, recomendamos:

Ìý

Mediante a tais alertas, é reforçada a importância das ações de prevenção descritas acima, principalmente no que tange:

• - à²õ políticas e execução prática de backups de sistemas e arquivos;
• - à²õ atualizações e uso das funcionalidades de segurança e proteção dos sistemas operacionais, serviços e dispositivos;
• - a não exposição direta e reforço na proteção dos serviços de acesso remoto ou de administração de hosts;
• - checagem da confidencialidade de credenciais, principalmente as que possuam altos privilégios na infraestrutura local, que possam ter sido comprometidas pela definição de senhas fáceis e já conhecidas, por ação de malwares em seus dispositivos externos, interações com e-mails de phishing (e-mails falsos) ou o uso dessas credenciais em sites de terceiros, cujas bases de dados foram indevidamente clonadas por criminosos.
  • - Have I Been Pwned LatestBreaches:
  • - Firefox Monitor:
• - Sites recomendados para estas checagens:
• - e o reforço na conscientização e educação cibernética de todos os colaboradores locais, prevenindo ataques de engenharia social, com especial atenção a tentativas de phishing via e-mail.

--

Agradecemos pela atenção e contribuição para a melhoria contínua da segurança da informação institucional.

--

Ìý

ETIR-IFSPÌý

Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais do IFSP

E-mail:

Ìý