Está disponível a Atualização de Alerta nº 03/2020 da nova campanha de ataques de Ransomware. Alguns dos pontos abordados no documento são:

1. Descrição do Problema

Com base nas estatísticas de eventos ocorridos no espaço cibernético, bem como nos diversos relatos que tem sido feitos por colaboradores, o CTIR Gov recomenda a divulgação, a todos os órgãos de governo e entidades vinculadas, do presente Alerta, sobre uma campanha nacional de ataques de Ransomware direcionado a sistemas VMware e Windows, que caracteriza-se por ações maliciosas para criptografar arquivos ou bancos de dados de instituições, a fim de exigir resgate em troca da descriptografia dos arquivos cifrados.

2. Impacto

Este ataque, sendo efetivo, impede o acesso aos dados em claro, os quais são criptografados e permanecem inacessíveis.

3. Dispositivos Afetados

Windows Server 2008 R2 (todas as versões)
Windows Server 2008 R2 Service Pack 1 (todas as versões)
Windows Server 2012 (todas as versões)
Windows Server 2012 R2 (todas as versões)
Windows Server 2016 (todas as versões)
Windows Server 2019 (todas as versões)
Windows Server versão 1809 Standard
Windows Server versão 1809 Datacenter
Windows Server versão 1903
Windows Server versão 1909
Windows Server versão 2004
VMWare ESXi 6.0
VMWare ESXi 6.5
VMWare ESXi 6.7
VMWare ESXi 7.0
VMware Cloud Foundation ESXi 3.X
VMware Cloud Foundation ESXi 4.X

4. Recomendações

As seguintes práticas são recomendadas para mitigar o risco a essa ameaça:

1. Não clicar em links de e-mails suspeitos;
2. Evitar a visita a websites que oferecem downloads de programas pirateados ou suspeitos;
3. Mesmo não sendo comprovada a existência de vulnerabilidades, manter os sistemas atualizados com a versão mais recente ou aplicar
os patches conforme orientação do fabricante;
4. Isolar a máquina da rede ao primeiro sinal de infecção por Malware;
5. Garantir o backup atualizado dos arquivos locais e dos armazenados em Servidores de Arquivos;
6. Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação/execução de binários e ou
executáveis desconhecidos;
7. Realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e-mails suspeitos ou não reconhecidos
como de origem esperada.
8. Backup:
a) Que haja uma política de backup (cópia de segurança) definida;
b) Revisar as políticas de backup dos principais sistemas, executando testes em amostras para garantia de restauração;
c) Armazenar as cópias de segurança em local protegido, em rede exclusiva e isolada dos demais ativos, com acesso restrito e controlado
por Firewall, com o devido registro de conexões;
d) Se possível, armazenar os backups em mais de um local físico, separados geograficamente, de preferência em cofres à prova de furto,
incêndio e alagamento, com acesso controlado.

Além das recomendações, o documento traz algumas correções disponíveis, como a “CVE-2018-13379”, que visa correção de vulnerabilidade considerada crítica e que permite o download de informações e configurações dos dispositivos.

Para mais informações a respeito da campanha, clique aqui e acesse o documento completo.

Fonte: CTIR Gov