Se você não mora em outro Planeta, deve ter ficado sabendo sobre a onda de “invasões” que acometeram o STJ e vários outros órgãos públicos brasileiros, como é o caso do Ministério da Saúde e Secretaria de Economia do DF.

Na prática, segundo dados oficiais e extra-oficiais, o que aconteceu não foram exatamente invasões externas causadas por hackers, mas sim, uma infecção massiva por vírus do tipo ransomware. Para entender mais sobre o episódio, veja o vídeo gravado pelo Dr. Thiago Martinelli Veiga – em que ele aborda o tema com bastante didática – fazendo link com a própria LGPD.

Devido o grande impacto e repercussão, o CTIR – Grupo de Resposta a Incidentes de Segurança do Governo Federal, desenvolveu e encaminhou aos demais órgãos um documento contendo tratativas, dicas e ações que devem ser tomados afim de mitigar este tipo de ataque.

Diante deste documento, o time da ConexTI preparou um resumo sobre os cenários e ferramentas mais suscetíveis ao ataque, bem como, o que fazer para que a sua empresa não seja a próxima vítima.

Dispositivos afetados:

O ransomware que afetou as redes dos órgãos públicos no Brasil direcionou sua carga nociva a sistemas preponderantemente Windows Server e Vmware. Ele se utilizou de vulnerabilidades em versões específicas destas ferramentas para atingir seus objetivos:

  • Windows Server 2008 R2 (todas as versões)
  • Windows Server 2008 R2 Service Pack 1 (todas as versões)
  • Windows Server 2012 (todas as versões)
  • Windows Server 2012 R2 (todas as versões)
  • Windows Server 2016 (todas as versões)
  • Windows Server 2019 (todas as versões)
  • Windows Server versão 1809 Standard
  • Windows Server versão 1809 Datacenter
  • Windows Server versão 1903
  • Windows Server versão 1909
  • Windows Server versão 2004
  • VMWare ESXi 6.0
  • VMWare ESXi 6.5
  • VMWare ESXi 6.7
  • VMWare ESXi 7.0
  • VMware Cloud Foundation ESXi 3.X
  • VMware Cloud Foundation ESXi 4.X

Recomendações técnicas para proteção da rede local:

Um ransomware é basicamente um praga virtual que depende da ação de usuários incautos e desprotegidos para infectar seus dispositivos e depois se espalhar pela rede da organização. Por isso, é vital que ações sejam tomadas afim de resguardar a conduta dos usuários na web.

Se esta é a primeira vez que você ouve falar sobre Ransomware ou já leu algumas coisas na web mas sem se aprofundar muito no tema, leia nosso post aqui no blog e saiba como proteger a sua empresa contra pragas deste gênero!

  1. Habilitar assinaturas de Ransomware no IDS/IPS que roda junto ao seu Firewall (geralmente);
  2. Ativar assinaturas de proteção em estações Windows para CVE-2020-1472;
  3. Bloquear regras que liberam acesso à web (HTTP e HTTPS) de forma irrestrita;
  4. Restringir acesso WEB a destinos não especificados e com reputação comprometida, analisando os endereços IP ou domínios em bases online;
  5. Identificar e bloquear (caso necessário) Endereços IP que estejam com volume de tráfego suspeito para a Internet;
  6. Fortalecer a inspeção de emails nas ferramentas de relay e antispam do servidor de correio eletrônico (principal porta de entrada para ransomwares através de técnicas de phishing);
  7. O SERPRO disponibilizou uma lista de reputação dos IPs. Essa lista foi criada pelo SOC e contém endereços maliciosos que tentaram atacar sites de Governo. A lista é atualizada em Tempo Real;
  8. Permitir acesso remoto à rede local ou infraestrutura de cloud com dados sensíveis ao negócio somente por intermédio de conexões seguras VPN/SD-WAN.

Recomendações técnicas para estações de usuários:

Sua empresa possui boas ferramentas e metodologias de proteção de perímetros como Firewalls, IDS/IPS, Webfilter, etc.. Mas isso apenas, infelizmente, não é o suficiente para mitigar ataques por ransomwares.

A infecção em primeiro plano se dá por vulnerabilidades ou fragilidades das estações (endpoints) dos usuários. Portanto, possuir mecanismos de proteção de dispositivos como PCs, Notebooks e Smartphones é absolutamente vital!

  1. Garantir atualização dos endpoints e ativação das funcionalidades avançadas dos respectivos antivírus corporativos (não utilizar ferramentas gratuitas);
  2. Não permita o uso de quaisquer softwares piratas;
  3. Bloqueios imediatos de arquivos com estas assinaturas:
    • MD5 (svc-new/svc-new) = 4bb2f87100fca40bfbb102e48ef43e65
    • MD5 (notepad.exe) = 80cfb7904e934182d512daa4fe0abbfb
    • SHA1 (svc-new/svc-new) = 3bf79cc3ed82edd6bfe1950b7612a20853e28b09
    • SHA1 (notepad.exe) = df15f471083698b818575c381e49c914dee69de
  4. Verificar com o fabricante da solução de endpoint protection funcionalidades que possam ser habilitadas para proporcionar ou aprimorar a proteção contra Ransomware;
  5. Mesmo não sendo comprovada a existência de vulnerabilidades, manter os sistemas atualizados com a versão mais recente ou aplicar os patches conforme orientação do fabricante;
  6. Ativar assinaturas de proteção em estações Windows para as CVEs: CVE-2020-1472, CVE-2019-5544 e CVE-2020-3992;
  7. Habitar, caso disponível, a funcionalidade de Firewall e IPS de endpoint para identificar situações de exploração de vulnerabilidades ou ações maliciosas de forma lateral, no ambiente de rede local;
  8. Verificar se as atualizações do sistema operacional e aplicações dos servidores e estações de trabalho foram realizadas;
  9. Solicitar aos usuários realizar a troca de senha fazendo uso de uma política de senha previamente definida;
  10. Revisão dos acessos via Netbios e internet em todos os Firewalls;
  11. Cancelar, temporariamente os poderes dos Administradores do AD (Active Directory);
  12. Lançar informes aos usuários que acessam VPN com estações particulares para atualizarem antivírus;
  13. Mudar a permissão dos compartilhamentos de rede para SÓ LEITURA, (não vai parar o serviço e evita perda de dados, e disseminação);
  14. Ainda sobre os Antivírus, habilitar módulos de Machine Learning e de análise de comportamento;
  15. Realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e-mails suspeitos ou não reconhecidos como de origem esperada.

Ambiente de servidores e backup:

Quando um ransomware atinge um servidor na rede local, por motivos óbvios, o estrago é sempre muito maior – uma vez que, em geral, os bancos de dados e arquivos importantes da organização estão hospedados nestes servidores (Windows, Linux, etc..).

O Backup é outro ponto crítico neste tipo de ocorrência. No caso de infecção dos servidores, pelos níveis de criptografia que os ransomwares atualmente utilizam, é virtualmente impossível recuperar estes arquivos. Neste caso, a política de backup precisa ser consistente de modo a não ser afetada também pela praga virtual e permitir o restore dos dados.

  1. Garantir o backup atualizado dos arquivos locais e dos armazenados em Servidores de Arquivos;
  2. Levantar e propor o bloqueio dos acessos de servidores à internet que não estejam usando filtro de conteúdo;
  3. Desabilitar ou alterar a senha de usuários locais em servidores, caso existam;
  4. Desabilitar o CIM Server no VMware ESXi (76372)
  5. Possibilidade de habilitar 2FA (2º fator de autenticação) para autenticação em ativos críticos. Para os órgãos que possuem cofres de senhas, é possível que esta opção esteja disponível;
  6. Aplicar privilégios mínimos no Serviço de Diretório (Active Directory, LDAP) e desabilitar conta Guest (convidado):
  7. Separar as contas de administração e administração de Domain (Domain Admin);
  8. Criar GPO para efetuar o logoff de usuários, por inatividade no AD em vez de desconectá-los (disconnect);
  9. Criar auditoria de contas administrativas de Domínio.
  10. Revisar as políticas de backups dos principais sistemas e base de dados, inclusive testar uma amostragem de backup e garantir que a restauração está em conformidade;
  11. Armazenar as cópias de segurança em local protegido, em rede exclusiva e isolada dos demais ativos, com acesso restrito e controlado por Firewall, com o devido registro de conexões;
  12. Se possível, armazenar os backups em mais de um local físico, separados geograficamente, de preferência em cofre à prova de furto, incêndio e alagamento, com acesso controlado ou em infraestrutura de cloud devidamente protegida.

Atualizações e correções URGENTES específicas:

Como citado no início deste post, o ransomware que assolou o STJ e demais órgãos públicos na última semana se caracteriza por explorar vulnerabilidades das plataformas Windows Server e Vmware. Neste sentido, algumas atualizações e patches de segurança críticos são fundamentais neste momento. A citar as principais:

Windows:

  • Aplicar a atualização KB4571702 de 11 de agosto de 2020;
  • Aplicar patch CVE-2020-1472;
  • Aplicar patch CVE-2018-13379;
  • Aplicar patch CVE-2019-5544;

Vmware:

  • CVE-2019-5544
    • Executar os patches de correção disponibilizados pela VMWare:
      • Para versões ESXi 6.7, aplicar o patch ESXi670-201912001.
      • Para versões ESXi 6.5, aplicar o patch ESXi650-201912001.
      • Para versões ESXi 6.5, aplicar o patch ESXi600-201912001.
      • Para versões Horizon DaaS 8.x, atualizar para a versão 9.0
  • CVE-2020-3992
    • Executar os patches de correção disponibilizados pela VMWare:
      • Para versões ESXi 7.0, aplicar o patch ESXi670-ESXi70U1a-17119627.
      • Para versões ESXi 6.7, aplicar o patch ESXi670-202011301-SG.
      • Para versões ESXi 6.5, aplicar o patch ESXi650-202011401-SG.
      • Para versões ESXi 6.5, aplicar o patch ESXi600-201903001.
    • Para versões VMware Cloud Foundation ESXi 3.X e 4.X, não há patches de correção até o momento.
    • Como solução de contorno, é necessário desabilitar o serviço OpenSLP através da interface de comando

Atualizações:

[10/11/2020] Segundo fontes internacionais, este ataque em específico teria sido causado pela praga virtual RansomEXX. O RansomEXX é um ransomware operado por humanos, com versões Windows e Linux, o que significa que os invasores infectaram manualmente os sistemas após obterem acesso à rede alvo.

Você ficou com dúvidas sobre as recomendações técnicas específicas? Quer saber mais sobre como não ter sua empresa na lista das próximas vítimas de ransomware, perdendo dados importantes, dinheiro e credibilidade? Então entre em contato com o nosso time… Nós temos uma equipe multidisciplinar e soluções robustas para tipo de cenário.

Veja também: