Análise da campanha nacional de ataques de ransomware direcionados a órgãos governamentais

O ano de 2020 ainda não acabou e já foi motivo de muita preocupação para empresas privadas e órgãos públicos do Brasil. O motivo não é tão novo e nem tão desconhecido: Ransomware.

Lembro de ter ouvido falar pela primeira vez de malware do tipo ransomware em meados de 2012, quando ainda poucos o conheciam e sabiam do seu potencial destrutivo. Hoje, em 2020, sua utilização continua assolando os mais diversos setores da economia, ainda mais em em uma era de adoção massiva do home office.

No início de novembro, o ransomware conhecido como RansomExx mirou um ataque direcionado ao Superior Tribunal de Justiça. Apesar de ter forçado o tribunal a suspender sessões e tirar o site do ar por alguns dias, pelo que pudemos observar, o ataque não atingiu a cópia de segurança dos arquivos.

A TIVIT teve acesso aos relatórios de recomendações publicados pelo CTIR-Gov e pelo CAIS-RNP contra os ataques de ransomware dessa família (acesse aqui), dos quais tiramos algumas conclusões:

• A criptografia dos dados foi feita por meio do ransomware RansomExx, que é normalmente operado pelo grupo criminoso conhecido pelo nome Gold Dupoint, ativo pelo menos desde novembro de 2018, e que já atacou o Departamento de Transporte do Texas (TxDOT) em maio deste ano, entre outras vítimas.
• Há rumores de que o resgate solicitado em bitcoins teria sido de 1000BTC* (bitcoins).
• Realizadas explorações de vulnerabilidades conhecidas e catalogadas pelo National Vulnerability Database (NVD) e CVE Mitre.
  • Microsoft Windows
  • Elevação de privilégio “Zerologon” (CVE-2020-1472)
  • VMWare 
  • Execução remota de código (CVE-2020-3992)
  • Execução remota de código (CVE-2019-5544)

• Possível vetor de entrada tenha sido e-mail phishing com emprego de alguma técnica de engenharia social para ludibriar um usuário a clicar em um link malicioso, dando o acesso inicial ao criminoso.

Nosso amigo Fernando Mercês, do canal Papo Binário, produziu com sua equipe uma série de quatro vídeos mostrando a análise técnica das ferramentas usadas no ataque. Confere lá!

Com essa análise preliminar, relembro de uma publicação que li há pouco tempo do Instituto Gartner, em estudo intitulado Defend Against and Respond to Ransomware Attacks, o qual traz uma análise interessante sobre o tema:

“A análise do Gartner sobre a preparação dos clientes para ransomware mostra que mais de 90% dos ataques de ransomware são evitáveis.”

A afirmação é forte, porém precisa. Embora tenhamos ciência de que 100% de segurança em sistemas digitais seja um status utópico, o que se sabe até então é que ataques desse tipo poderiam ter sido evitados, apenas com base nas informações já amplamente divulgadas na mídia.

Ainda há muitas dúvidas a serem esclarecidas, como qual a real motivação do ataque, de que forma o atacante conseguiu, de fato, o acesso inicial aos sistemas e qual o ecossistema de atores criminosos envolvidos, porém, continuaremos atentos a essas atualizações para apoiar às empresas e órgãos públicos, preferencialmente de forma preventiva, na erradicação dessas formas de ataques.

Como posso minimizar os riscos?

Com os serviços de cybersecurity da TIVIT, disponibilizamos proteção de ponta a ponta, com o objetivo de minimizar os riscos cibernéticos das empresas e órgãos públicos. Atuamos  desde o monitoramento contínuo do ambiente de segurança, em regime 24x7x365, até a contenção e remediação desses tipos de ataques.

A criação de uma estratégia de segurança em camadas, pensada desde o usuário, passando por profissionais, processos e ferramentas, é uma demanda contínua que pode ser otimizada a quatro mãos. Ao lado de uma empresa especializada, equipes de TI podem apoiar a inovação em suas empresas.

A TIVIT trabalha com as melhores ferramentas do mercado para oferecer soluções end to end que protegem de maneira automatizada todos os ambientes de uma empresa. Com uma metodologia de segurança integrada, sua equipe de TI possui uma visão completa de toda a infraestrutura e consegue promover uma resposta rápida e eficiente em casos de ameaças.

Botnets: o que é, como funciona e como proteger seu negócio