Escolar Documentos
Profissional Documentos
Cultura Documentos
RANSOMWARE
ABRIL/2022
Página 1 de 34
Introdução
Introdução
Ransomware é uma forma de malware projetada para criptografar
A melhores práticas e
arquivos em um dispositivo, tornando todos os arquivos e os
recomendações contidas neste
sistemas que dependem deles inutilizáveis. Hackers então exigem
documento são baseadas em
resgate em troca da descriptografia ou, também, para não
percepções operacionais das
tornarem público o conteúdo de informações confidenciais por eles
agências federais americanas
coletadas.
CISA (Agência de Segurança de
Infraestrutura e Cibersegurança)
Os incidentes de ransomware têm se tornado cada vez mais
e MS-ISAC (Centro de Análise e
sofisticados, destrutivos e impactantes em sua natureza e
Compartilhamento de
escopo. Seus operadores normalmente ganham acesso aos
Informações Multiestaduais), das
ambientes atacados através de movimentações laterais,
agências federais brasileiras
visando infectar redes inteiras e apagar backups, tornando a
ETIR-GOV (Tratamento e
restauração de sistemas e ambientes mais longas, difíceis ou
Resposta a Incidentes
inviáveis para as organizações afetadas.
Cibernéticos de Governo Federal)
e CTIR (Centro de Prevenção,
Adotar medidas preventivas para evitar ataques de ransomware
Tratamento e Resposta a
é mandatório, mas a melhor forma de encarar esse tipo de
Incidentes Cibernéticos de
ameaça é se preparando da melhor forma possível para quando
Governo), e da PRODEST/ES,
quer que ele ocorra – porque, muito provavelmente, não será
dentre outras fontes utilizadas
uma questão de “se” ele ocorrerá em uma organização, mas
durante as pesquisas efetuadas
“quando”. Por ambas as razões, este checklist é dividido em
para sua elaboração.
duas partes:
RFS v_07/04/2022
Página 2 de 34
Parte 1: Medidas de prevenção anti-ransomware
Esteja preparado
Consulte as melhores práticas e referências a seguir para ajudar a
gerenciar o risco representado pelo ransomware e apoiar a resposta
coordenada e eficiente da organização a um incidente de ransomware.
Aplique estas práticas o máximo possível, com base na disponibilidade
de recursos organizacionais.
■ É fundamental manter backups de dados criptografados e
offline, e testar a restauração desses backups. Os
procedimentos de backup devem ser realizados regularmente,
com a frequência que a criticidade das informações envolvidas
exige. É importante que os backups sejam mantidos offline, pois
muitas variantes de ransomware tentam encontrar e excluir
quaisquer backups acessíveis via rede. Manter backups atuais
(mais recentes) offline é mais crítico porque não há necessidade
de pagar resgate por dados que continuam acessíveis para a
organização.
□ Mantenha “imagens de ouro” de sistemas críticos
atualizadas regularmente, caso precisem ser recuperados
do zero. Isso envolve manter templates de imagens de
sistemas operacionais pré-configurados e aplicativos
associados que podem ser recuperados para se
reconstruir todo um ambiente rapidamente, como uma
máquina virtual ou um servidor.
□ Mantenha o hardware de backup original nos quais os sistemas
se encontravam instalados durante o procedimento de backup,
para garantir sua plena recuperação.
- Hardware mais novos ou mais antigos do que aqueles nos
quais o sistema se encontrava instalado durante o backup
podem apresentar falhas de instalação ou compatibilidade
durante ou após a restauração de imagens/backups.
0011000
□ Além das imagens de um sistema, seu instalador original deve estar 1011 0010
disponível e também deve ser armazenado em backup (juntamente
com sua licença, se aplicável). É mais eficiente recuperar um sistema a
partir de suas imagens, mas algumas não serão instaladas
corretamente em hardware ou plataformas diferentes; assim, ter
acesso ao software original resolverá, nesses casos.
■ Crie, mantenha e execute um plano básico de resposta a
incidentes e recuperação de desastres, bem como um plano de
comunicações associado que inclua procedimentos de resposta e
notificação para um incidente de ransomware (vide parte 2).
□ Deve-se elaborar e sempre manter atualizada uma Matriz de
Responsabilidades com os nomes, atribuições e contatos de todos 100011001
os responsáveis pelos ativos de TI críticos da organização (servidores, 0100101
redes, VLANs, aplicações web, sistemas internos, controles de acesso
lógico e físico, VMs, bancos de dados etc.).
Página 3 de 34
Vetor de infecção de ransomware:
vulnerabilidades expostas para a Internet e configurações erradas
■ Antes de tudo, implemente os controles básicos e minimamente necessários: firewall,
antivírus, filtro anti-SPAM no correio eletrônico, VPN para acessos remotos, backups e
campanhas de conscientização para os usuários (principalmente sobre phishing scam).
■ Conduza varreduras de vulnerabilidades frequentes para identificar e tratar
vulnerabilidades,especialmente aquelas relacionadas a dispositivos conectados à
Internet, visando diminuir a superfície de ataque.
□ Efetue varreduras de vulnerabilidades em ativos de sistemas ou serviços críticos
usando ferramenta específica, instalada on premisses (e não via cloud/SaaS).
■ Atualize regularmente toda sua base de software e aplique patches corretivos/de
segurança assim que forem lançados, especialmente em sistemas operacionais.
□ Priorize a atualização de servidores conectados à Internet, bem como todo tipo de
software que processe dados via Internet.
■ Verifique se servidores e estações estão configurados corretamente e se seus recursos de
segurança estão habilitados. Desabilite portas e protocolos que não estejam sendo usados
(ex.: Remote Desktop Protocol [RDP] – Transmission Control Protocol [TCP] Porta 3389).
■ Evite utilizar RDP ou outros serviços de acesso remoto. Se for realmente necessário, o
faça sob as melhores práticas (especialmente jump host). Hackers geralmente obtêm
acesso inicial a uma rede através de serviços remotos expostos e mal protegidos e,
posteriormente, propagam o ransomware. Ver Alerta CISA AA20-073ª - “Enterprise VPN
Security” (https://us-cert.cisa.gov/ncas/alerts/aa20-073a).
□ Audite redes com máquinas usando RDP, feche portas RDP não utilizadas, aplique
bloqueios de conta após um número máximo de tentativas, use autenticação
multifatorial e vigie tentativas de login via RDP não esperadas.
■ Desative ou bloqueie a saída do protocolo SMB (Server Message Block) e remova ou
desative suas versões desatualizadas. Hackers usam SMB para propagar malware.
Especificamente quanto ao SMB, deve-se considerar as seguintes ações preventivas:
□ Desabilitar o SMBv1 e v2 na LAN após verificação de que não há nenhum sistema
ou aplicação que ainda os utilize e possa ser afetado.
- Atualize para o SMBv3 (ou a versão mais atual), se tecnicamente possível.
□ Bloqueie o acesso externo de todas as versões do SMB à sua rede, bloqueando a
porta TCP 445 com protocolos relacionados nas portas UDP 137-138 e TCP 139.
Página 4 de 34
Vetor de infecção: phishing
■ Implemente um programa de conscientização e treinamento em
cibersegurança para usuários que inclua orientações sobre como
A relação de afinidade
identificar e relatar incidentes ou atividades suspeitas (por exemplo, entre as LANs das
phishing scam). Conduza testes de phishing em toda a organização Secretarias e suas
para avaliar a conscientização do usuário e reforçar a importância de VLANs no datacenter
identificar e-mails potencialmente maliciosos. do Governo também é
fator importante na
■ Implemente filtros anti-SPAM no servidor de e-mail para filtrar
mensagens com indicadores e conteúdo mal-intencionados conhecidos,
prevenção: regras
e bloqueie endereços de IP suspeitos no firewall. muito permissivas
facilitam a
■ Para diminuir a chance de e-mails falsificados ou modificados vindos movimentação lateral
de domínios válidos/conhecidos, implemente a política e a verificação
de um atacante.
DMARC (Domain-based Message Authentication, Reporting and
Conformance). O DMARC se baseia na amplamente implantada
estrutura de política de remetente e nos protocolos Domain Keys
Identified Mail, adicionando uma função de relatório que permite aos
remetentes e destinatários melhorar e monitorar a proteção do domínio
contra e-mails fraudulentos. Consulte com
■ Considere desativar scripts de macro para arquivos do Microsoft Office frequência o site
transmitidos por e-mail. Essas macros podem ser usadas para disparar abaixo, para conhecer
ransomware e outros tipos de malware. alertas de última hora
sobre exploits de
segurança e acessar
Vetor de infecção: infecção por malware precursor um boletim semanal
de vulnerabilidades e
■ Software antivírus e anti-malware (e suas assinaturas) devem estar
informações de
atualizados e com suas atualizações automáticas habilitadas.
Recomenda-se o uso de soluções antivírus gerenciadas centralmente.
patches.
Isso permite a detecção de malwares “precursores” de ransomware.
cisa.gov/uscert/ncas
□ Uma infecção de ransomware pode ser evidência de um
comprometimento anterior da rede não resolvido. Por exemplo, muitas
infecções de ransomware são o resultado de infecções de malware
existentes, como TrickBot, Dridex, ou Emotet.
□ Em alguns casos, a execução do ransomware é apenas a última
etapa de todo um plano de infecção e também é usada como Consulte o anexo
forma de ofuscar todas as atividades maliciosas anteriores. deste guia, que lista
■ Configure as pastas das aplicações de forma a garantir que apenas diversas outras
o software nelas instalados possam ser executados e que todos os sugestões e
demais (não autorizados) sejam bloqueados para execução. recomendações
□ Habilite a allowlisting das pastas das aplicações por meio da técnicas preventivas,
“Microsoft Software Restriction Policy” ou AppLocker. coletadas de diversas
□ Use a allowlisting ao invés de tentar listar todas as permutações fontes (incluindo
possíveis de aplicativos em um ambiente de rede. No Windows, várias relacionadas a
os padrões “default” seguros permitem que os aplicativos sejam vulnerabilidades
executados em PROGRAMFILES, PROGRAMFILES (X86) e específicas).
SYSTEM32. Sugere-se proibir todos os outros locais, a menos
que exceções sejam concedidas.
■ Considere implementar um sistema de detecção e proteção de
intrusão (IDS/IPS) para mitigar atividades de rede potencialmente
maliciosas que ocorrem antes da execução do ransomware.
Página 5 de 34
Melhores práticas relacionadas a backup
■ Com o advento da LGPD, aumentará a incidência de ataques cujo
objetivo será roubar arquivos contendo dados pessoais, visando
extorquir empresas públicas e privadas para que essas paguem
para evitar o vazamento público desses dados. A melhor forma de
evitar o sucesso desse tipo de ataque, quando todas as demais
medidas de segurança falharem, é habilitar a criptografia em
tempo real para HDDs/SSDs de servidores e estações de trabalho
(preferencialmente via hardware) e também manter backups
criptografados, quando possível e tecnicamente viável.
■ Promover, na medida do possível, o “air gapping”, ou seja, o total
isolamento físico e lógico entre as LANs/WANs e os ativos e
mídias de backup, fazendo com que não haja nenhuma
possibilidade de backups serem acessados, direta ou
indiretamente, via Internet, ou de redes ou computadores que
tenham acesso à Internet.
□ Esta medida é ideal quando é possível manter um segundo
ambiente de backup, pois muitas vezes exige ações manuais
para as rotinas de backup.
□ Se forem utilizados dispositivos físicos móveis para backup
(discos USB, por exemplo), eles devem ser desconectados
fisicamente de computadores ou redes após a conclusão
das cópias de segurança.
Página 6 de 34
□ Remover contas e grupos de usuários desnecessários e restringir acessos root.
□ Controlar e limitar as contas de administrador local.
□ Usar o grupo “Protected Users” do Active Directory nos domínios Windows para
melhor proteger as contas de usuário contra ataques “pass-the-hash“.
□ Auditar contas de usuários regularmente, especialmente aquelas que
efetuam acessos remotos ou que sejam acessíveis via Internet - isso
inclui acessos de prestadores de serviço, como provedores de Internet.
■ Elaborar e sempre manter atualizado diagramas de rede dos
ambientes, com a descrição de equipamentos, sistemas e fluxos de
dados (vide figura 1). Isso será extremamente útil durante a execução
de um plano de resposta a incidentes (especialmente quando
necessária a reinstalação de todo um ambiente) e para garantir que
que os ambientes estejam bem documentados e sua topologia seja do
conhecimento de todos que precisem neles atuarem.
□ Os diagramas devem ser gerados e mantidos on premisses e incluir
representações das principais redes, blocos de endereçamento IP
específicos e a topologia geral da rede (incluindo conexões de rede,
interdependências e acessos concedidos a terceiros).
■ Segmentar lógica e fisicamente as redes, segregando-as de acordo com as
áreas e recursos. Manter a rede local (LAN) isolada do datacenter.
■ Sanear as contas de usuário com privilégios de administração ou acessos
desnecessários. Rebaixar temporariamente os privilégios dessas contas e
somente restaurá-los quando necessário.
Página 7 de 34
Isso ajudará a conter o impacto de qualquer intrusão e evitará ou limitará o movimento lateral
de hackers ou usuários mal-intencionados. As figuras 2 e 3 ilustram exemplos práticos de uma
rede plana (não segmentada) e uma rede segmentada.
□ A segmentação de rede se torna ineficaz se não for associada a outros controles de
segurança relacionados a pessoas, processos, procedimentos e demais aspectos, que
devem estar descritos na Política de Segurança da Informação da organização.
■ Garantir uma abordagem abrangente de gerenciamento de ativos.
□ Entender e inventariar os ambientes e ativos de TI, ambos lógicos (ex.: dados,
aplicações, bancos de dados, VLANs, IPs) e físicos (ex.: servidores, appliances etc.).
□ Entender quais dados ou sistemas são mais críticos para continuidade das operações,
segurança ou outros serviços críticos, bem como quaisquer interdependências
associadas – ou seja, "ativo crítico". Isso ajudará a determinar as prioridades de
restauração caso ocorra um incidente e a aplicar controles de segurança ou proteções
mais abrangentes a ativos críticos.
□ Sugestão de material: planilha “MS-ISAC Hardware and Software Asset Tracking” -
https://www.cisecurity.org/white-papers/cis-hardware-and-software-asset-tracking-spreadsheet/
■ Restringir o uso do Windows PowerShell, usando as Políticas de Grupo, para usuários
específicos, caso a caso. Normalmente, apenas os usuários ou administradores que
gerenciam a rede ou sistemas operacionais Windows devem ter permissão para usar o
PowerShell. Atualize o PowerShell e habilite o log avançado. O PowerShell é uma plataforma
cruzada, linha de comando, shell e linguagem de script e é um componente do Microsoft
Windows. Hackers usam o PowerShell para implantar ransomware e ocultar suas atividades.
□ Atualize o PowerShell para a versão 5.0 ou posterior e desinstale todas as anteriores. Os
logs do PowerShell anteriores à versão 5.0 não existem ou não registram detalhes
suficientes para auxiliar no monitoramento e nas atividades de resposta a incidentes.
- Os logs do PowerShell contêm dados valiosos, incluindo histórico e interação com o log
do sistema operacional, e possíveis táticas, técnicas e procedimentos de uso do
PowerShell por um hacker.
□ Certifique-se de que as instâncias do PowerShell (na versão mais atual) tenham
módulo, bloco de script e log de transcrição habilitados (log aprimorado).
Página 8 de 34
- Os dois logs que registram a atividade do PowerShell são o “Log de Eventos do
Windows” e o “PowerShell Operational”. A CISA recomenda ativá-los com um
período de retenção de 180 dias e verifica-los regularmente para confirmar se
os dados foram excluídos ou os logs foram desativados. Defina o tamanho de
armazenamento permitido para ambos os logs para o maior possível.
■ Maximizar o nível de segurança de controladores de domínio (DCs). Hackers muitas
vezes visam e usam controladores de domínio como um ponto de partida para
espalhar ransomware por toda a rede.
□ A seguinte lista contém sugestões de como proteger um DC:
- Os DCs devem ser atualizados regularmente. Isso inclui a aplicação de
patches críticos o mais rapidamente possível.
- Certifique-se de que a versão mais atual do sistema operacional Windows
Server esteja sendo usada nos controladores de domínio. Os recursos de
segurança são mais bem integrados nas versões mais recentes do Windows
Server, incluindo os recursos de segurança do Active Directory. Use os guias
de configuração do AD, como os disponíveis na Microsoft
(https://docs.microsoft.com/
en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-
securing-active-directory).
- Nenhum software ou agente adicional deve ser instalado nos DCs, pois
eles podem ser aproveitados para executar código arbitrário no sistema.
- O acesso aos DCs deve ser restrito ao grupo Administradores. Os usuários
desse grupo devem ser limitados e ter contas separadas das usadas para
operações diárias com permissões não administrativas.
- Firewalls de host DC devem ser configurados para impedir acesso à
Internet. Normalmente, esses sistemas não têm necessidade de acesso
direto à Internet. Servidores de atualização com conectividade à Internet
podem ser usados para obter as atualizações necessárias, ao invés de se
permitir o acesso à Internet aos controladores de domínio.
□ A CISA recomenda as seguintes configurações de Política de Grupo:
(Observação: esta não é uma lista abrangente e outras medidas devem ser
tomadas para proteger os DCs dentro do ambiente.)
- O protocolo Kerberos é recomendado para autenticação, mas se não for
usado, habilite a auditoria NTLM para garantir que apenas respostas
NTLMv2 sejam enviadas pela rede. Devem ser tomadas medidas para
garantir que as respostas LM e NTLM sejam recusadas, se possível.
- Habilite proteções adicionais para Autenticação de Segurança Local,
visando evitar injeção de código capaz de obter credenciais do sistema.
Antes de habilitar essas proteções, execute auditorias no programa
lsass.exe para conhecer os programas que serão afetados.
- Certifique-se de que a assinatura SMB seja necessária entre os hosts e os
DCs para evitar o uso de ataques de reprodução na rede. A assinatura
SMB deve ser aplicada em todo o domínio como uma proteção adicional
contra esses ataques em outras partes do ambiente.
■ Reter e proteger adequadamente os logs de dispositivos de rede e hosts locais.
Isso oferece suporte à triagem e correção de eventos de segurança cibernética.
Os registros podem ser analisados para determinar o impacto dos eventos e
verificar se ocorreu um incidente.
Página 9 de 34
□ Configure um gerenciamento de logs centralizado usando uma ferramenta de
correlacionamento de logs e eventos de segurança. Ao revisar e cruzar registros coletados
de várias fontes, pode-se fazer uma melhor triagem de um evento individual e determinar
seu impacto na organização como um todo.
□ Mantenha e faça backups dos logs de sistemas e ativos críticos por no mínimo um ano, se possível.
Observar os períodos mínimos definidos pelo Marco Civil e outras legislações.
■ Definir e analisar atividades de rede ao longo de períodos de meses para determinar padrões
de comportamento, para que as atividades normais e legítimas possam ser mais facilmente
distinguidas das atividades de rede atípicas.
□ Registros de transações de sistemas utilizados em processos de negócio (como logs de aplicações web,
como o e-Docs ou Acesso Cidadão) são outras fontes úteis de informações para análises comportamentais.
Orientação específica para ajudar a avaliar e corrigir ■ Security Primer – Ransomware (MS-ISAC): Descreve ataques de
incidentes de ransomware. ransomware, vetores de infecção comuns e recomendações de
melhores práticas: www.cisecurity. org/white-
■ Ajuda para identificar a extensão do comprometimento papers/security-primer-ransomware/
e recomendações de estratégias de contenção e
mitigação adequadas (dependente da variante de
ransomware) ■ Ransomware: Facts, Threats, and Countermeasures (MS-
ISAC): Fatos sobre ransomware, vetores de infecção, recursos de
■ Análises de e-mails de phishing, logs, malware e ransomware e como reduzir o risco de infecção por ransomware:
mídias de armazenamento, com base no envio https://www.cisecurity.org/blog/ransomware- facts-
voluntário (análises forenses de discos podem ser threats-and-countermeasures/
realizadas conforme a necessidade)
■ Contato: ■ Security Primer – Ryuk (MS-ISAC): Visão geral do ransomware
Ryuk, uma variante de ransomware predominante no setor
□ CTIR - Centro de Tratamento e Resposta a Incidentes
governamental SLTT, que inclui informações sobre as etapas de
Cibernéticos do Governo Federal:
preparação que as organizações podem tomar para se proteger
contra infecções: https://www.cisecurity.org/ white-
- ctir.gov.br
papers/security-primer-ryuk/
- Para notificar incidentes: ctir@ctir.gov.br
Página 10 de 34
Parte 2: Plano de Resposta a Incidentes
A organização deve ter pelo menos um PRI global, no qual será definido o procedimento padrão a ser seguido em casos de
incidentes em geral, incluindo forma e fluxo das ações. Daí, à medida que a maturidade da gestão de incidentes corporativa
aumentar, poderão ser criados PRIs específicos, exclusivamente para tipos de incidentes, sistemas, processos ou atividades
em particular – especialmente aqueles que sustentam sistemas ou serviços considerados mais críticos ou essenciais.
Matriz de Responsabilidades: planilha que aponta os responsáveis por cada ativo ou atividade do processo de resposta.
Lista de Contatos e Plano de Comunicação: definem como, quando e quem deve ser acionado.
Plano de Ação: descreve as ações administrativas ou técnicas, objetivas, macro e pré-definidas, a serem executadas
seguindo as etapas de tratamento de incidentes estabelecidas pelas normas internacionais de gestão de incidentes de
segurança da informação: detecção avaliação contenção recuperação análise crítica.
Os PRDs são documentos complementares aos PRIs, nos quais são descritos, passo-a-passo, instruções relacionadas a
atividades de reinstalação, configuração, interligação, integração, comunicação etc. Os PRIs estão no nível tático (normas),
enquanto os PRDs estão no nível operacional (instruções).
Página 11 de 34
PRI - Matriz de Responsabilidades (modelo RASCI)
A “Matriz de Responsabilidades” é uma planilha que define os papéis e as responsabilidades específicas de cada
um dos atores envolvidos em um determinado processo ou atividade.
Os PRIs (Planos de Resposta a Incidentes) podem utilizar a matriz RASCI para registro e formalização de quem serão os
atores envolvidos no processo de resposta a um determinado incidente e quais serão seus papéis e responsabilidades. Ela
deve ser completa e listar desde os gestores da alta direção a analistas e técnicos diretamente responsáveis pelos ativos
tecnológicos, pessoal administrativo, consultores externos, fornecedores, prestadores de serviço, clientes etc.
As fases descritas no modelo acima (de “02 - Preparação” à “06 - Avaliação final”) se baseiam nos modelos clássicos de
processo de resposta a incidentes de segurança da informação recomendados pelo NIST e pelo SANS. Em cada fase devem
ser apontadas as pessoas direta e indiretamente envolvidas em sua execução ou acompanhamento, conforme seus papéis e
responsabilidades na organização.
As ações de cada fase podem se restringir a macro atividades (como no modelo acima), ou cada ação pode ser explodida e
detalhada em subitens com atividades mais específicas (tais como aquelas citadas no checklist técnico da parte 2 deste
guia). Por exemplo, a fase de “pós-incidente” pode conter como subatividades gestão de mudanças, revisão de processos,
elaboração de novos procedimentos etc., apontando quem será responsável pela execução ou acompanhamento de cada
uma delas.
As planilhas de Matriz de Responsabilidades devem ser atualizadas sempre que houver alterações em recursos humanos e
mudanças de responsabilidades ou competências relacionadas às pessoas e atividades nelas listadas. Essa edição deve ser
efetuada de forma compartilhada entre a área de RH e os gestores das pessoas citadas na matriz (diretores, gerentes,
subgerentes).
Pode-se elaborar uma única Matriz de Responsabilidade para toda a organização (fazendo referência a ela nos PRIs e PRDs),
ou pode-se optar por criar uma matriz específica para cada PRI ou PRD, limitada ao escopo das atividades a eles
relacionadas.
Página 12 de 34
PRI - Lista de Contatos e Plano de Comunicação
Um PRI deve estabelecer o fluxo de comunicação, interna e externa, entre todos os atores que serão envolvidos
na resposta a um incidente. Logo, nele deve constar quais áreas, pessoas e organizações atuarão em cada uma
das fases no processo de resposta (detecção, avaliação, contenção, recuperação e análise crítica), de acordo com
seus papéis e responsabilidades definidos na Matriz de Responsabilidades.
Os dados de contato das partes atuantes em um determinado PRI pode constar em lista do próprio documento, ou esses
dados podem ser mantidos apenas em uma lista de contatos única/global, publicada para toda a organização, à qual todos
os PRIs e PRDs se referenciariam. Essa lista única contemplaria os dados de todos os funcionários, comissionados,
servidores de outros órgãos cedidos à organização, fornecedores, prestadores de serviço, consultores externos, clientes
(incluindo seus gestores de TI) etc. – enfim, todos que se fizerem úteis ou necessários durante a resposta a um incidente
(seja executando ações, sendo consultados ou acompanhando as tratativas).
Para facilitar a gestão, manutenção e atualização dos dados de contato que serão utilizados por vários PRIs e PRDs, sugere-
se fortemente a adoção de uma lista de contatos global, única e unificada. Nesse caso, os documentos apenas citariam os
atores responsáveis por cada atividade (como é feito na matriz de responsabilidades), cujos dados de contato seriam
buscados na lista de contatos global, que seria mantida atualizada por seus editores em site externo à organização (para
garantia de acesso caso os sites da Prodest estejam indisponíveis) e publicada internamente na intranet, para conhecimento
de todos os funcionários.
Nome Celular
Sobrenome (principal) E-mail
Diretoria Empresa/Órgão
Assessoria Cargo/Papel
Gerência Status [de disponibilidade]
Subgerência ou subárea Horários de plantão [se aplicável]
Ramal Substituto [que deve estar listado
Telefone fixo como contato também]
O fluxo de comunicação em uma situação de incidente deve ser compatível com os papéis estabelecidos na Matriz de
Responsabilidades do serviço ou ativo cujo incidente estiver sendo tratado, e deve ser estabelecido pelo gestor da área
responsável pelo tratamento do incidente, em comum acordo com todos os demais atores envolvidos (internos e externos).
Por exemplo: quem será o primeiro a ser acionado, quem irá substituir quem, quais canais de comunicação serão utilizados e
sob que circunstâncias, em quais dias e horários cada pessoa estará disponível para qual atividade etc.
Uma vez definido, o plano de comunicação deve ser formalizado e transcrito em seu respectivo PRI, que deverá ser de
conhecimento de toda a organização.
Página 13 de 34
PRI - Plano de Ação
Após definidos papéis e responsabilidades, e estabelecido o plano de comunicação entre as partes que serão envolvidas na
resposta a incidente, o PRI deve orientar quais ações administrativas ou técnicas, objetivas, macro e pré-definidas, serão
efetuadas pelas partes envolvidas – desde aquelas relacionadas ao acompanhamento, identificação, análise inicial e
contenção do incidente, até as ações de encerramento do tratamento e aplicação das medidas corretivas necessárias para
que o incidentes não se repita.
O checklist abaixo sugere várias dessas ações, sendo a maioria delas de nível tático, próprias dos PRIs, que são documentos
de caráter normativo (ou seja, que não descem ao nível máximo de detalhamento). Conforme explicado anteriormente, os
passo-a-passos de ações de nível operacional devem ser detalhados em PRDs (ex.: como reinstalar e configurar um sistema).
Detecção e análise
Os 3 primeiros passos devem ser seguidos na sequência apresentada:
□ 2. Apenas no caso de você não conseguir desconectar os dispositivos da rede (cabeada e/ou sem fio),
desligue-os para evitar a propagação da infecção de ransomware.
□ 3. Faça uma triagem dos sistemas impactados, para fins de restauração e recuperação.
□ Identifique e priorize os sistemas críticos para restauração e confirme a natureza dos dados
armazenados nos sistemas impactados.
- Priorize a restauração e recuperação com base em uma lista pré-definida de ativos críticos que inclua
sistemas essenciais para segurança, continuidade das operações e processos de negócio e outros
serviços críticos, bem como sistemas dos quais eles dependem.
□ Identifique e anote os sistemas e dispositivos que não foram percebidos como afetados, para que possam
ser despriorizados para restauração e recuperação, permitindo o retorno à operação com mais eficiência.
□ 4. Conversar com suas equipes, para obter uma primeira compreensão do que ocorreu, com base na
análise inicial. E, a partir do resultado dessa análise, definir as estratégias de abordagem mais adequadas.
□ 5. Envolva suas equipes internas e externas e as partes interessadas para uma follow-up do que eles
podem fazer ou fornecer para ajudá-lo a mitigar, responder e se recuperar do incidente.
□ Compartilhe as informações à sua disposição para receber a assistência mais oportuna e relevante.
Mantenha seus pares e as demais áreas envolvidas e informados por meio de atualizações regulares à
medida que a situação se desenvolve (incluindo a alta direção).
Página 14 de 34
Pagar o resgate não garante que os dados sejam
descriptografados, que os sistemas não sejam ainda mais
comprometidos, ou que os dados não sejam divulgados.
As autoridades policiais não recomendam o pagamento.
Se uma investigação ou análise mais
detalhada for necessária, autoridades e
□ Deve-se registrar um Boletim de Ocorrência junto à Delegacia
especialistas podem estar interessados
Especializada de Repressão aos Crimes Cibernéticos da
em qualquer uma das seguintes
Polícia Civil/ES (pc.es.gov.br).
informações que possam ser
compartilhadas legalmente: □ Conforme for apropriado, deve-se considerar informar os órgãos
ou grupos de resposta e tratamento de incidentes de segurança
estaduais e federais (CETRIN/ES e CTIR/Brasil), especialmente
□ Arquivo executável recuperado para obtenção de apoio consultivo ou informações que possam
□ Cópias do arquivo “LEIAME-ME” - NÃO ser úteis para o tratamento do incidente.
REMOVA o arquivo ou a descriptografia pode
não ser possível □ As áreas de Comunicação ou Assessoria de Imprensa devem
atender solicitações por informações e coordenar os
□ Cópia/imagem do conteúdo da memória
RAM de sistemas com sinais adicionais de comunicados, de forma que notícias acuradas sobre o
comprometimento (uso de kits de incidente sejam compartilhadas, tanto internamente quanto
ferramentas de exploração, atividade RDP, externamente (público, clientes, prestadores de serviço,
arquivos adicionais encontrados localmente) fornecedores e imprensa).
□ Imagens de sistemas infectados com sinais □ Modelos de declarações e comunicados sobre incidentes
adicionais de comprometimento (uso de kits devem ser elaborados o quanto antes, pois desenvolvê-los
de ferramentas de exploração, atividade
durante o tratamento de um incidente, no “calor da emoção”,
RDP, arquivos adicionais encontrados
localmente) não é o ideal. Isso permitirá chegar a um consenso, com
antecedência, sobre o nível de detalhe a ser compartilhado
□ Amostras de malware
interna e externamente, e como as informações fluirão.
□ Nomes de qualquer outro malware
identificado no Sistema afetado
Contenção e erradicação
□ Amostras de arquivos criptografados
Se nenhuma das ações de mitigação inicial citadas no capítulo
□ Arquivos de log (logs de eventos do Windows anterior parecerem possíveis:
de sistemas comprometidos, logs de firewall
etc.) □ 6. Faça imagem e capture uma amostra da memória do
□ Quaisquer scripts do PowerShell encontrados sistema dos dispositivos afetados. Além disso, colete todos os
em execução nos sistemas seus logs relevantes, bem como amostras de quaisquer
arquivos (executáveis e associados) que possam ser
□ Quaisquer contas de usuário criadas no
Active Directory ou máquinas adicionadas à
relacionados ao malware causador do incidente, assim como
rede durante a ocorrência do incidente indicadores de comprometimento (por exemplo, comandos
suspeitos e endereços IP, entradas de Registry suspeitas ou
□ Endereços de e-mail usados pelos atacantes
outros arquivos desconhecidos detectados).
e quaisquer e-mails de phishing associados
□ Uma cópia da mensagem de resgate □ É preciso cuidado ao preservar as evidências de
natureza altamente volátil - ou de retenção
□ Valor do resgate (e se foi pago ou não) limitada - para evitar perda ou adulteração (por
□ Carteiras Bitcoin usadas pelos atacantes exemplo, memória do sistema, logs de segurança
□ Carteiras Bitcoin usadas para pagar o resgate do Windows, registros de conexão e acesso do
(se aplicável) proxy, dados em buffers de log do firewall).
□ Cópias de comunicações com os atacantes
□ 7. Consulte sites especializados em ransomware em
busca por possíveis descriptografadores disponíveis, pois
pesquisadores de segurança já quebraram os algoritmos
de criptografia de algumas variantes de ransomware. Por
exemplo: NoMoreRansom.
Página 15 de 34
Para continuar a conter e mitigar o incidente:
□ 8. Pesquise uma fonte confiável pela variante de
ransomware específica e siga quaisquer etapas adicionais ANÁLISES ONLINE
recomendadas para identificar e conter sistemas ou redes que
foram confirmados como afetados. Mediante solicitação voluntária, a
□ Elimine ou desabilite a execução de arquivos executáveis de CISA e O MS-ISAC podem ajudar na
ransomware conhecidos; isso minimizará danos e impacto análise (por exemplo, de e-mails de
em nossos sistemas. Exclua valores no Registry e arquivos phishing, logs, malware), sem
conhecidos e associados. nenhum custo, para ajudar uma
organização a entender a causa raiz
□ 9. Identifique os sistemas e contas envolvidos na violação de um incidente, através dos
inicial. Isso pode incluir contas de usuários de MS Active
Directory ou contas de e-mail. seguintes serviços online:
□ 10. Com base na violação ou nos detalhes do comprometimento ■ CISA – Advanced Malware Analysis
determinados acima, contenha todos os sistemas associados que Center:
possam ser usados para acesso não autorizado adicional ou
continuado. As violações geralmente envolvem a exfiltração de www.malware.us-cert.gov
credenciais em massa. Proteger a rede e outras fontes de
informação de acesso contínuo não autorizado com base em ■ MS-ISAC – Malicious Code Analysis
credenciais pode incluir as seguintes ações: Platform:
□ Desabilitar VPNs, servidores remotos, recursos de single
sign-on e ativos em nuvem ou expostos para a Internet. www.cisecurity.org/
spotlight/cybersecurity-spotlight-
□ 11. Ações adicionais sugeridas - etapas de identificação rápida malware-analysis/
de criptografia de dados em servidor:
□ No caso de você descobrir que os dados do lado do servidor □ Verifica um arquivo suspeito ou
estão sendo criptografados por uma estação de trabalho infectada, Uniform Resource Locator (URL)
as etapas de identificação rápida são: contra vários fornecedores de
antivírus para verificar se ele
1. Revise as listas “Computer Management > Sessions and
possui código que corresponda a
Open Files” nos servidores envolvidos para determinar o
assinaturas maliciosas
usuário ou sistema que está acessando esses arquivos.
conhecidas.
2. Revise as propriedades dos arquivos criptografados ou de
□ Executa um arquivo ou URL em
mensagens de resgate para identificar usuários que uma sandbox, para analisar seu
possam estar associados à propriedade desses arquivos. comportamento.
3. Revise o log de eventos “TerminalServices- □ Fornece ao usuário um relatório
RemoteConnectionManager” para verificar se há conexões resumido do comportamento
de rede RDP bem sucedidas. do malware, incluindo arquivos
4. Revise o log de segurança do Windows, logs de eventos acessados, tarefas criadas,
SMB e quaisquer logs relacionados que possam identificar conexões de saída e outras
autenticação significativa ou eventos de acesso. características
5. Execute o Wireshark no servidor afetado com um filtro comportamentais
para identificar os endereços IP envolvidos na gravação ou □ Pode-se optar por manter os
renomeação de arquivos ativamente (por exemplo, envios privados e fazer
"smb2.filename contém cryptxxx"). solicitações diretas de
□ 12. Examine sistemas de detecção ou de prevenção existentes assistência ao MS-ISAC; ou,
(antivírus, endpoint detection and response, firewalls, IDS, IPS também, agendar envios para
etc.) e logs. Isso pode destacar evidências de sistemas adicionais compartilhamento com a CISA.
ou de malware envolvidos nas fases anteriores do ataque.
Página 16 de 34
□ Procure evidências do malware precursor (“dropper”). Muitos eventos de ransomware são resultado
de infecções anteriores de malware não sanadas, como TrickBot, Dridex ou Emotet.
- Os operadores dessas variantes avançadas de malware geralmente vendem o acesso a uma
rede. Hackers às vezes usam esse acesso para exfiltrar dados e, em seguida, ameaçam liberar
os dados publicamente antes ou depois de sequestrar a rede, em uma tentativa de extorquir
ainda mais a vítima e pressioná-la a pagar.
- Hackers geralmente usam variantes de ransomware implantadas manualmente em uma rede
para ofuscar sua atividade após seu comprometimento. Deve-se ter cuidado para identificar o
malware dropper antes de recuperar backups, visando evitar comprometimento contínuo.
□ 13. Faça análises para identificar mecanismos de persistência de fora pra dentro e de dentro pra fora.
□ A persistência de fora pra dentro pode incluir acesso autenticado a ambientes via contas legítimas
invadidas, backdoors em sistemas de perímetro, exploração de vulnerabilidades externas etc.
□ A persistência de dentro pra fora pode incluir implantes de malware na rede interna ou uma
variedade de modificações. Por exemplo: uso de ferramentas de teste de penetração comercial,
como Cobalt Strike; uso do pacote PsTools, incluindo PsExec, para instalar remotamente e
controlar malware e coletar informações sobre - ou realizar gerenciamento remoto de - sistemas
Windows; uso de scripts do PowerShell.
□ A identificação pode envolver a implantação de soluções de detecção e resposta de endpoint,
auditorias de contas locais e de domínio, análise de dados encontrados em sistemas de logs
centralizados ou análise forense mais profunda de sistemas específicos, uma vez que o
movimento dentro do ambiente tenha sido mapeado.
□ 14. Se o incidente afetou a integridade de ativos críticos, restaure-os conforme a prioridade dos
serviços que eles suportam, seguindo seus Planos de Recuperação de Desastres (PRDs).
□ 15. Após o ambiente ter sido totalmente limpo e recuperado (incluindo quaisquer contas
afetadas e a remoção ou remediação de mecanismos de persistência maliciosos), redefina senhas
para todos os sistemas afetados e elimine quaisquer vulnerabilidades associadas e falhas na
segurança. Isso pode incluir varredura por vulnerabilidades em servidores e estações, aplicação de
patches, atualização de software e outras precauções de segurança não tomadas anteriormente.
□ 16. Com base em critérios estabelecidos, que podem incluir a execução das etapas acima ou a
busca de assistência externa, o tratamento do incidente pode ser considerado encerrado.
□ 18. Documente as lições aprendidas com o incidente e as atividades de resposta associadas para
informar as atualizações e refinar as políticas, planos e procedimentos organizacionais e orientar os
exercícios futuros dos mesmos.
□ 19. Considere compartilhar lições aprendidas e demais informações relevantes com os órgãos
estaduais e federais responsáveis pela prevenção, tratamento e resposta a incidentes.
Página 17 de 34
Página 18 de 34
Governo do Estado do Espírito Santo
Secretaria de Estado de Gestão e Recursos Humanos – SEGER
Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo
ANEXO
COLETÂNEA DE RECOMENDAÇÕES
DE SEGURANÇA ANTI-RANSOMWARE
V_07/04/2022
Alerta do CTIR.GOV.BR
1. Descrição do Problema
Com base nas estatísticas de eventos ocorridos no espaço cibernético, bem como nos diversos relatos que tem sido
feitos por colaboradores, o CTIR Gov recomenda a divulgação, a todos os órgãos de governo e entidades vinculadas, do
presente Alerta, sobre uma campanha nacional de ataques de Ransomware direcionado a sistemas VMware e Windows,
que caracteriza-se por ações maliciosas para criptografar arquivos ou bancos de dados de instituições, a fim de exigir
resgate em troca da descriptografia dos arquivos cifrados.
2. Impacto
Este ataque, sendo efetivo, impede o acesso aos dados em claro, os quais são criptografados e permanecem
inacessíveis.
3. Dispositivos Afetados
Página 19 de 34
Governo do Estado do Espírito Santo
Secretaria de Estado de Gestão e Recursos Humanos – SEGER
Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo
4. Recomendações
AMBIENTE DE INTERNET
AMBIENTE DE MONITORAÇÃO
1. Criação de “Arquivos Canário”, com checksum monitorado por ferramenta de infraestrutura (Arquivos que seriam
alterados apenas por um ransomware, mas nunca por um administrador ou script de sistema).
2. Monitorar assinaturas de IPS e logs (SIEM) para eventos suspeitos de tentativas de escalação de privilégio, como
exemplo da CVE 2020-1472 e conexões TCP Netlogon suspeitas com origem em redes externas.
3. (CRÍTICA) Sugestão de regra Yara para encontrar variantes do malware. Os órgãos podem usar estes padrões de
string como parâmetros de inspeção em seus controles:
rule RansomwareESXi
{
strings:
$string1 = "ransomware.c" nocase
$string2 = "cryptor.c" nocase
$string3 = "logic.c" nocase
$string4 = "enum_files.c" nocase
$string5 = "aes.c" nocase
$string6 = "rsa.c" nocase
$string7 = "crtstuff.c" nocase
$string8 = "mbedtls" nocase
condition:
all of them
}
rule BackdoorNotepad
{
Página 20 de 34
Governo do Estado do Espírito Santo
Secretaria de Estado de Gestão e Recursos Humanos – SEGER
Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo
strings:
$string1 = "c:\\windows\\INF\\config.dat" nocase
condition:
$string1
}
4. (CRÍTICA) Monitorar tentativas de acesso à porta TCP/UDP 427 com destino a administração de virtualização que
não estejam aderentes às políticas de acesso à Gerência do Ambiente virtualizado;
5. Monitorar bloqueio de contas no Active Directory ou LDAP por tentativa de login falhas (account lockout).
6. Criar regra de monitoração de força bruta de autenticação em AD e autenticação Local. X tentativas falhas de login
dentro intervalo Y seg.
7. (CRÍTICA) Monitorar tentativas de acesso por meio de ataque pass-the-hash (autenticação sem uso de senha):
userName != “ANONYMOUS LOGON”
Microsoft-Windows-Security-Auditing = 4624
Microsoft-Windows-Security-Auditing = 4625
LogonProcessName = 'NtLmSsp'
AMBIENTE DE INTRANET
3. (CRÍTICA) Verificar com o fabricante da solução de endpoint protection funcionalidades que possam ser habilitadas
para proporcionar ou aprimorar a proteção contra Ransomware;
6. Verificar na solução de endpoint protection os registros de riscos de segurança e malwares identificados para tentar
identificar um possível vetor de ataque, e se prevenir de futuras ações;
7. Verificar se as atualizações do sistema operacional e aplicações dos servidores e estações de trabalho foram realizadas;
8. Caso possível, desabilitar temporariamente mapeamentos de rede para tentar conter a propagação das ações de um
malware;
9. Solicitar aos usuários realizar a troca de senha fazendo uso de uma política de senha previamente definida;
10. Bloquear acessos à internet sem Filtro de Conteúdo (servidores e estações de trabalho) - (Curto prazo)
Página 21 de 34
Governo do Estado do Espírito Santo
Secretaria de Estado de Gestão e Recursos Humanos – SEGER
Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo
12. (CRÍTICA) Revisão dos acessos via Netbios e internet em todos os Firewalls
13. Levantar e propor o bloqueio dos acessos de servidores à internet que não estejam usando filtro de conteúdo
15. Verificar usuários “logados” no AD, efetuar o sign out destes usuários.
16. Lançar informes aos usuários que acessam VPN com estações particulares para atualizarem antivírus
17. Mudar a permissão dos compartilhamentos de rede para SÓ LEITURA, (não vai parar o serviço e evita perda de dados, e
disseminação)
18. Reparamos que o malware (que tivemos acesso) usa a mesma API de criptografia que o antigo WannaCry. Ele pode ser
bloqueado com medidas nos principais antivírus corporativos como os exemplos abaixo:
- Symantec - No SEP existe uma política de controle de aplicativo que bloqueia a criação de arquivos com
extensão crypt criados pelo WannaCry.
- TREND - Na Trend possui o recurso de controle de aplicativo semelhante ao do SEP (Symantec).
19. Ainda sobre os Antivírus, habilitar módulos de Machine Learning e de análise de comportamento.
3. Possibilidade de habilitar 2FA (2º fator de autenticação) para autenticação em ativos críticos. Para os órgãos que
possuem cofres de senhas, é possível que esta opção esteja disponível.
4. (CRÍTICA) Aplicar privilégios mínimos no Serviço de Diretório (Active Directory, LDAP) e desabilitar conta Guest
(convidado):
6. (CRÍTICA) Criar GPO para efetuar o logoff de usuários, por inatividade no AD em vez de desconectá-los (disconnect);
8. (CRÍTICA) Revisar as políticas de backups dos principais sistemas e base de dados, inclusive testar uma amostragem de
backup e garantir que a restauração está em conformidade.
Página 22 de 34
Governo do Estado do Espírito Santo
Secretaria de Estado de Gestão e Recursos Humanos – SEGER
Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo
1. Se o arquivo canário foi criptografado (possui uma extensão não conhecida e está indisponível para acesso),
característica de um ataque ransomware, desconecte o servidor da rede IMEDIATAMENTE por meio da plataforma
de virtualização no caso de máquinas virtuais ou desconectando-o fisicamente da rede no caso de máquinas físicas. Em
nenhuma hipótese o servidor deve ser desligado para que as evidências possam ser mantidas e, com isso, auxiliar no
processo de investigação.
2. Comunique à ETIR do seu órgão sobre o ocorrido enviando todas as evidências possíveis, e comunique ao CTIR.Gov.
3. Garanta que o backup da máquina e dos logs referentes aos últimos 7 dias esteja disponível e que não seja expirado.
4. Caso trate-se de uma máquina virtual, crie um clone da máquina afetada, sem reconectar a máquina original nem o
clone à rede, e disponibilize o arquivo da máquina clone para acesso à equipe da ETIR do seu órgão.
5. De posse do clone do servidor a ETIR deverá iniciar a investigação do ambiente, analisando logs de sistema operacional,
do AD/LDAP e fluxos de rede, visando identificar o horário de início do processo de criptografia, o arquivo de
ransomware envolvido, de que forma o arquivo foi transferido para o servidor, a origem do ataque e as vulnerabilidades
exploradas. Caso seja necessário, os fornecedores das soluções deverão ser acionados para apoiar nas investigações.
7. Antes de iniciar o processo de recuperação do backup do servidor, é importante tratar e corrigir as vulnerabilidades que
permitiram ao atacante comprometer o ambiente.
8. Após a identificação dos vetores de ataque e vulnerabilidades exploradas, inicie a recuperação do servidor a partir do
backup, certificando-se de aplicar todas as correções e patches necessários antes de colocá-lo novamente em produção.
Página 23 de 34
Governo do Estado do Espírito Santo
Secretaria de Estado de Gestão e Recursos Humanos – SEGER
Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo
OUTRAS AÇÕES
1. Revisar acessos privilegiados em todas as consoles de gerência (Firewall, IPS, Anti-DDoS, Filtro de Conteúdo,
Virtualizadores e ativos de rede)
3. Órgãos com saída pela INFOVIA poderão solicitar adição de portas para facilitar a monitoração exclusiva de INTERNET
pelos seguintes canais: 0800-978-2337, css.serpro@serpro.gov.br ou
https://cssinter.serpro.gov.br/SCCDPortalWEB/pages/dynamicPortal.jsf?ITEMNUM=2221
RECOMENDAÇÕES GERAIS
Mesmo não sendo comprovada a existência de vulnerabilidades, manter os sistemas atualizados com a versão mais
recente ou aplicar os patches conforme orientação do fabricante;
Garantir o backup atualizado dos arquivos locais e dos armazenados em Servidores de Arquivos;
Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação/execução de
binários e ou executáveis desconhecidos;
Realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e-mails suspeitos ou
não reconhecidos como de origem esperada.
Backup:
5. Correções disponíveis
• CVE-2018-13379
o Aplicação imediata de correção dessa vulnerabilidade, que afeta dispositivos do Fabricante Fortinet.
o Esta vulnerabilidade é considerada crítica e permite o download de informações e configurações dos dispositivos. Sua
exploração ocorre quando o módulo de acesso remoto está ativado.
• CVE-2020-1472
Página 24 de 34
Governo do Estado do Espírito Santo
Secretaria de Estado de Gestão e Recursos Humanos – SEGER
Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo
6. Referências
• Adaptado das Recomendações confeccionadas pela Secretaria de Governo Digital SGD - Recomendações para
PREVENÇÃO dos Órgãos v.3 (06/11/2020, 18h35 - em PDF)
o https://portal.tcu.gov.br/fiscalizacao-de-tecnologia-da-informacao/atuacao/fiscalizacoes/auditoriasobre-backup/
• RansomEXX:
o https://securelist.com/ransomexx-trojan-attacks-linux-systems/99279/
• Active Directory:
o https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securingprivileged-access-
reference-material
o https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472
Correção: https://msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
• VMWARE:
o https://www.vmware.com/security/advisories/VMSA-2020-0023.html
o https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3992
o https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5544
o Solução de Contorno: https://kb.vmware.com/s/article/76372
Página 25 de 34
Governo do Estado do Espírito Santo
Secretaria de Estado de Gestão e Recursos Humanos – SEGER
Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo
• Monitoração de “arquivos canário” com ferramenta livre Zabbix: chave de agente “vfs.file.cksum”:
o https://www.zabbix.com/documentation/current/manual/config/items/itemtypes/zabbix_agent
Página 26 de 34
Governo do Estado do Espírito Santo
Secretaria de Estado de Gestão e Recursos Humanos – SEGER
Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo
- Caso os servidores possuam usuários locais configurados, desabilitá-los ou alterar a senha utilizadas por eles
- Desabilitar o CIM Server no VMware ESXi (76372)
https://www.vmware.com/security/advisories/VMSA-2020-0023.html
https://kb.vmware.com/s/article/76372 (How to Disable/Enable CIM Server on VMware ESXi)
Página 27 de 34
Governo do Estado do Espírito Santo
Secretaria de Estado de Gestão e Recursos Humanos – SEGER
Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo
- Revisar acessos privilegiados em todas as consoles de gerência (Firewall, IPS, Anti-DDoS, Filtro de Conteúdo, Virtualizadores e
ativos de rede)
- Verificar e apagar contas que não são utilizadas nos ativos
Active Directory:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472
Correção:
https://msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
VMWARE:
https://www.vmware.com/security/advisories/VMSA-2020-0023.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3992
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5544
Solução de Contorno:
https://kb.vmware.com/s/article/76372
Monitoração de “arquivos canário” com ferramenta livre Zabbix: chave de agente “vfs.file.cksum”:
https://www.zabbix.com/documentation/current/manual/config/items/itemtypes/zabbix_agent
- Vulnerabilidade do vCenter - How to Disable VMware Plugins in vCenter Server per VMSA-2021-0002, VMSA-2021-0010, VMSA-
2021-0010 (83829)
https://kb.vmware.com/s/article/83829
- Vulnerabilidades dos produtos vSphere (log4j) - VMware Response to Apache Log4j Remote Code Execution Vulnerabilities (CVE-
2021-44228, CVE-2021-45046)
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
Página 28 de 34
Governo do Estado do Espírito Santo
Secretaria de Estado de Gestão e Recursos Humanos – SEGER
Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo
OUTRAS RECOMENDAÇÕES
Definir uma política específica de controle de senhas administrativas de sistemas críticos, seguindo as melhores práticas;
Adotar autenticação multifatorial para acesso a recursos administrativos, quando disponível;
Efetuar campanhas de conscientização de usuários em relação a ataques de engenharia social, com especial atenção a tentativas de
phishing via e-mail;
Implementar o princípio de privilégio mínimo, que garanta que usuários tenham o nível mínimo de acesso necessário para cumprir
suas tarefas;
Atualizar os sistemas operacionais com os mais recentes patches de segurança;
Monitorar continuamente os dispositivos conectados à rede corporativa, com especial atenção a atividades anômalas relacionadas a
processos de login;
Efetuar a segmentação efetiva da rede, a fim de evitar a disseminação de códigos maliciosos; e
Adotar políticas de execução de backup, além de procedimentos e testes de restauração.
Recomendamos, finalmente, o acesso aos links a seguir, que contêm detalhamentos técnicos acerca das medidas protetivas,
assinaturas para implementação em IDS/IPS e demais informações relacionadas ao tema:
- https://www.cisa.gov/uscert/ncas/alerts/aa21-291a
- https://pages.nist.gov/800-63-3/sp800-63b.html
- https://www.cisa.gov/stopransomware
- https://www.cisa.gov/cyber-hygiene-services
- https://www.cisa.gov/sites/default/files/publications/CISA_MS-ISAC_Ransomware%20Guide_S508C.pdf
Página 29 de 34
Governo do Estado do Espírito Santo
Secretaria de Estado de Gestão e Recursos Humanos – SEGER
Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo
• Security Awareness Training: training your employees to recognize suspicious phishing emails through simulation exercises to
defend against attack delivery. However, it only takes one employee to make the mistake of opening a phishing email and infecting
his company’s network.
• Deploy Secure Email/Web Gateways: This technique can be used to defend against ransomware attacks delivered through
email. However, security web/email gateways are unable to detect a new strain of malware, because it does not have the signature.
• Apply the Latest Software Patches: By regularly scanning all your systems and patching high priority vulnerabilities, helps defend
against holes exploited by a ransomware. However, ransomware can be delivered with day 0 methods, and it is difficult to guarantee
100% patched systems in our complex environments.
• Monitor DNS Queries: After a ransomware infects a server/endpoint, it typically calls home to a command and control (CnC) sever
to exchange encryption keys. Monitoring DNS queries to known ransomware domains (e.g. “killswitch”) and resolving them to internal
sinkholes can prevent ransomware from encrypting files. However, DNS servers are unable to block any unknown CnC domains used
by new ransomware attacks. In addition, modern ransomware attacks account for DNS monitoring and take evasive actions.
• Backup Your Critical Data Regularly: There still may be times when all your security defenses fall short, and the ransomware
attack succeeds in encrypting all your business critical data. The best way to recover from a ransomware attack is to maintain a secure
backup and also have a clear recovery plan that enables you to restore your business critical data. However, restoration is expensive
and time consuming. In addition, you still need to determine if the malware is still in your system, and you need to identify and close
the entry point, or restoration will only be a temporary fix.
• Fine-grain Access Control to your business critical data, which defines who (user/group) has access to specific protected files/
folders and what operations (encrypt/decrypt/read/write/directory list/execute) they can perform. Some malware depends on
escalating privileges to gain great system access. Appropriate access control solutions can bar privileged users from examining and
even accessing resources.
Página 30 de 34
Governo do Estado do Espírito Santo
Secretaria de Estado de Gestão e Recursos Humanos – SEGER
Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo
Permitir acessos remotos apenas via VPN (especialmente funcionários em trabalho remoto).
Suspender acessos remotos que não sejam absolutamente necessários.
Habilitar autenticação de dois fatores para VPN.
Não deixar o serviço de acesso remoto do Windows (Remote Desktop Protocolo - Porta TCP/3389) publicado para Internet. Várias
vulnerabilidades críticas estão relacionadas a este serviço (acessos não autorizados, worms, ransomware etc.). Assim,
recomendamos desabilitá-lo imediatamente, caso não esteja sendo utilizado com as devidas medidas de segurança. Do contrário,
será apenas uma questão de tempo para que este servidor seja alvo de ataques direcionados. Em tempo: alterar a porta de
publicação do serviço não evitará a ocorrência de incidentes. Para mais detalhes sobre as vulnerabilidades do RDP e boas práticas
para sua implementação, gentileza consultar as bases de conhecimento da Microsoft e sites especializados.
Restringir o acesso às portas TCP/22 (SSH) TCP/445 (Microsoft-DS - Active Directory, Windows shares, vírus Sasser, Agobot,
Zobotworm).
Medidas adicionais recentemente tomadas pela Prodest, além daquelas já praticadas em seus processos diários:
Reforço no mecanismo de proteção de dados, com configuração de snapshots das áreas de armazenamento para salvaguarda de
dados de 7 dias, independente de solicitação dos clientes.
Porém, considerando que grande parte dos servidores virtuais são geridos pelos próprios órgãos, cuja segurança depende da ação dos
respectivos gestores de TI, reiteramos a necessidade de que esses servidores sejam mantidos atualizados, bem como que sejam revistas
as regras de publicação para a Internet que possibilitem acessos indesejados.
Nenhuma medida técnica será eficaz sem a conscientização dos usuários quanto ao uso seguro dos recursos de TIC (tais como aqueles
relacionados a phishing scam, vírus, sites maliciosos etc.) e atenção a possíveis abordagens envolvendo ataques de engenharia social.
CISA.GOV
AVOIDING RANSOMWARE ATTACKS
IMPLEMENT DETECTION SIGNATURES
Implement the detection signatures identified above. These signatures will identify and block placement of the ransom
note on the first share that is encrypted, subsequently blocking additional SMB traffic from the encryptor system for 24
hours.
Require all accounts with password logins (e.g., service account, admin accounts, and domain admin accounts.) to
have strong, unique passwords. Passwords should not be reused across multiple accounts or stored on the system
where an adversary may have access. Note: devices with local administrative accounts should implement a password
policy that requires strong, unique passwords for each individual administrative account.
Página 31 de 34
Governo do Estado do Espírito Santo
Secretaria de Estado de Gestão e Recursos Humanos – SEGER
Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo
Require multi-factor authentication for all services to the extent possible, particularly for webmail, virtual private
networks, and accounts that access critical systems.
Keep all operating systems and software up to date. Timely patching is one of the most efficient and cost-effective
steps an organization can take to minimize its exposure to cybersecurity threats.
Remove unnecessary access to administrative shares, especially ADMIN$ and C$. If ADMIN$ and C$ are deemed
operationally necessary, restrict privileges to only the necessary service or user accounts and perform continuous
monitoring for anomalous activity.
Use a host-based firewall to only allow connections to administrative shares via SMB from a limited set of administrator
machines.
Adversaries use system and network discovery techniques for network and system visibility and mapping. To limit an adversary from
learning the organization’s enterprise environment, limit common system and network discovery techniques by taking the following
actions:
Segment networks to prevent the spread of ransomware. Network segmentation can help prevent the spread of
ransomware by controlling traffic flows between—and access to—various subnetworks and by restricting adversary
lateral movement.
Identify, detect, and investigate abnormal activity and potential traversal of the indicated ransomware with a
networking monitoring tool. To aid in detecting the ransomware, implement a tool that logs and reports all network
traffic, including lateral movement activity on a network. Endpoint detection and response (EDR) tools are particularly
useful for detecting lateral connections as they have insight into common and uncommon network connections for each
host.
USE ADMIN DISABLING TOOLS TO SUPPORT IDENTITY AND PRIVILEGED ACCESS MANAGEMENT
If ransomware uses compromised credentials during non-business hours, the compromise may not be detected. Given that there has
been an observed increase in ransomware attacks during non-business hours, especially holidays and weekends, CISA, the FBI, and NSA
recommend organizations:
Implement time-based access for accounts set at the admin-level and higher. For example, the Just-in-Time (JIT) access
method provisions privileged access when needed and can support enforcement of the principle of least privilege (as
well as the Zero Trust model). This is a process where a network-wide policy is set in place to automatically disable
admin accounts at the AD level when the account is not in direct need. When the account is needed, individual users
submit their requests through an automated process that enables access to a system, but only for a set timeframe to
support task completion.
Disable command-line and scripting activities and permissions. Privilege escalation and lateral movement often
depend on software utilities that run from the command line. If threat actors are not able to run these tools, they will
have difficulty escalating privileges and/or moving laterally.
Página 32 de 34
Governo do Estado do Espírito Santo
Secretaria de Estado de Gestão e Recursos Humanos – SEGER
Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo
Maintain offline backups of data, and regularly maintain backup and restoration. This practice will ensure the
organization will not be severely interrupted, have irretrievable data, or be held up by a ransom demand.
Ensure all backup data is encrypted, immutable (i.e., cannot be altered or deleted) and covers the entire organization’s
data infrastructure.
CISA, the FBI, and NSA urge critical infrastructure organizations to apply the following additional mitigations to reduce the risk of
credential compromise:
Refer to the CISA-Multi-State information and Sharing Center (MS-ISAC) Joint Ransomware Guide for general mitigations to prepare for
and reduce the risk of compromise by ransomware attacks.
Note: critical infrastructure organizations with industrial control systems/operational technology networks should review joint CISA-FBI
Cybersecurity Advisory AA21-131A: DarkSide Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks
for more mitigations, including mitigations to reduce the risk of severe business or functional degradation should their entity fall victim
to a ransomware attack.
Página 33 de 34
Governo do Estado do Espírito Santo
Secretaria de Estado de Gestão e Recursos Humanos – SEGER
Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo
Following the Ransomware Response Checklist on p. 11 of the CISA-Multi-State Information Sharing and Analysis
Center (MS-ISAC) Joint Ransomware Guide.
Scanning backups. If possible, scan backup data with an antivirus program to check that it is free of malware.
Reporting incidents immediately to the FBI at a local FBI Field Office, CISA at us-cert.cisa.gov/report, or the U.S. Secret
Service at a U.S. Secret Service Field Office.
Applying incident response best practices found in the joint Advisory, Technical Approaches to Uncovering and
Remediating Malicious Activity, developed by CISA and the cybersecurity authorities of Australia, Canada, New Zealand,
and the United Kingdom.
Note: CISA, the FBI, and NSA strongly discourage paying a ransom to criminal actors. Paying a ransom may embolden adversaries to
target additional organizations, encourage other criminal actors to engage in the distribution of ransomware, and/or may fund illicit
activities. Paying the ransom also does not guarantee that a victim’s files will be recovered.
Resources
For more information and resources on protecting against and responding to ransomware, refer to StopRansomware.gov, a
centralized, whole-of-government webpage providing ransomware resources and alerts.
CISA’s Ransomware Readiness Assessment (RRA) is a no-cost self-assessment based on a tiered set of practices to help
organizations better assess how well they are equipped to defend and recover from a ransomware incident.
CISA offers a range of no-cost cyber hygiene services to help critical infrastructure organizations assess, identify, and reduce their
exposure to threats, including ransomware. By requesting these services, organizations of any size could find ways to reduce their risk
and mitigate attack vectors.
Página 34 de 34