Guia Contra Ransomware V - 1 (Prodest)

GUIA CONTRA
RANSOMWARE
ABRIL/2022
Página 1 de 34
Introdução
Introdução
Ransomware é uma forma de malware projetada para criptografar
A melhores práticas e
arquivos em um dispositivo, tornando todos os arquivos e os
recomendações contidas neste
sistemas que dependem deles inutilizáveis. Hackers então exigem
documento são baseadas em
resgate em troca da descriptografia ou, também, para não
percepções operacionais das
tornarem público o conteúdo de informações confidenciais por eles
agências federais americanas
coletadas.
CISA (Agência de Segurança de
Infraestrutura e Cibersegurança)
Os incidentes de ransomware têm se tornado cada vez mais
e MS-ISAC (Centro de Análise e
sofisticados, destrutivos e impactantes em sua natureza e
Compartilhamento de
escopo. Seus operadores normalmente ganham acesso aos
Informações Multiestaduais), das
ambientes atacados através de movimentações laterais,
agências federais brasileiras
visando infectar redes inteiras e apagar backups, tornando a
ETIR-GOV (Tratamento e
restauração de sistemas e ambientes mais longas, difíceis ou
Resposta a Incidentes
inviáveis para as organizações afetadas.
Cibernéticos de Governo Federal)
e CTIR (Centro de Prevenção,
Adotar medidas preventivas para evitar ataques de ransomware
Tratamento e Resposta a
é mandatório, mas a melhor forma de encarar esse tipo de
Incidentes Cibernéticos de
ameaça é se preparando da melhor forma possível para quando
Governo), e da PRODEST/ES,
quer que ele ocorra – porque, muito provavelmente, não será
dentre outras fontes utilizadas
uma questão de “se” ele ocorrerá em uma organização, mas
durante as pesquisas efetuadas
“quando”. Por ambas as razões, este checklist é dividido em
para sua elaboração.
duas partes:
Parte 1: Medidas de prevenção anti-ransomware

Parte 2: Plano de resposta a incidentes
O público deste guia inclui profissionais de tecnologia da

informação (TI), bem como outros dentro de uma organização
envolvidos no desenvolvimento de políticas e procedimentos de
resposta a incidentes cibernéticos, ou em sua coordenação.
RFS v_07/04/2022
Página 2 de 34
Parte 1: Medidas de prevenção anti-ransomware
Esteja preparado
Consulte as melhores práticas e referências a seguir para ajudar a
gerenciar o risco representado pelo ransomware e apoiar a resposta
coordenada e eficiente da organização a um incidente de ransomware.
Aplique estas práticas o máximo possível, com base na disponibilidade
de recursos organizacionais.
■ É fundamental manter backups de dados criptografados e
offline, e testar a restauração desses backups. Os
procedimentos de backup devem ser realizados regularmente,
com a frequência que a criticidade das informações envolvidas
exige. É importante que os backups sejam mantidos offline, pois
muitas variantes de ransomware tentam encontrar e excluir
quaisquer backups acessíveis via rede. Manter backups atuais
(mais recentes) offline é mais crítico porque não há necessidade
de pagar resgate por dados que continuam acessíveis para a
organização.
□ Mantenha “imagens de ouro” de sistemas críticos
atualizadas regularmente, caso precisem ser recuperados
do zero. Isso envolve manter templates de imagens de
sistemas operacionais pré-configurados e aplicativos
associados que podem ser recuperados para se
reconstruir todo um ambiente rapidamente, como uma
máquina virtual ou um servidor.
□ Mantenha o hardware de backup original nos quais os sistemas
se encontravam instalados durante o procedimento de backup,
para garantir sua plena recuperação.
- Hardware mais novos ou mais antigos do que aqueles nos
quais o sistema se encontrava instalado durante o backup
podem apresentar falhas de instalação ou compatibilidade
durante ou após a restauração de imagens/backups.
0011000
□ Além das imagens de um sistema, seu instalador original deve estar 1011 0010
disponível e também deve ser armazenado em backup (juntamente
com sua licença, se aplicável). É mais eficiente recuperar um sistema a
partir de suas imagens, mas algumas não serão instaladas
corretamente em hardware ou plataformas diferentes; assim, ter
acesso ao software original resolverá, nesses casos.
■ Crie, mantenha e execute um plano básico de resposta a
incidentes e recuperação de desastres, bem como um plano de
comunicações associado que inclua procedimentos de resposta e
notificação para um incidente de ransomware (vide parte 2).
□ Deve-se elaborar e sempre manter atualizada uma Matriz de
Responsabilidades com os nomes, atribuições e contatos de todos 100011001
os responsáveis pelos ativos de TI críticos da organização (servidores, 0100101
redes, VLANs, aplicações web, sistemas internos, controles de acesso
lógico e físico, VMs, bancos de dados etc.).
Página 3 de 34
Vetor de infecção de ransomware:
vulnerabilidades expostas para a Internet e configurações erradas
■ Antes de tudo, implemente os controles básicos e minimamente necessários: firewall,
antivírus, filtro anti-SPAM no correio eletrônico, VPN para acessos remotos, backups e
campanhas de conscientização para os usuários (principalmente sobre phishing scam).
■ Conduza varreduras de vulnerabilidades frequentes para identificar e tratar
vulnerabilidades,especialmente aquelas relacionadas a dispositivos conectados à
Internet, visando diminuir a superfície de ataque.
□ Efetue varreduras de vulnerabilidades em ativos de sistemas ou serviços críticos
usando ferramenta específica, instalada on premisses (e não via cloud/SaaS).
■ Atualize regularmente toda sua base de software e aplique patches corretivos/de
segurança assim que forem lançados, especialmente em sistemas operacionais.
□ Priorize a atualização de servidores conectados à Internet, bem como todo tipo de
software que processe dados via Internet.
■ Verifique se servidores e estações estão configurados corretamente e se seus recursos de
segurança estão habilitados. Desabilite portas e protocolos que não estejam sendo usados
(ex.: Remote Desktop Protocol [RDP] – Transmission Control Protocol [TCP] Porta 3389).
■ Evite utilizar RDP ou outros serviços de acesso remoto. Se for realmente necessário, o
faça sob as melhores práticas (especialmente jump host). Hackers geralmente obtêm
acesso inicial a uma rede através de serviços remotos expostos e mal protegidos e,
posteriormente, propagam o ransomware. Ver Alerta CISA AA20-073ª - “Enterprise VPN
Security” (https://us-cert.cisa.gov/ncas/alerts/aa20-073a).
□ Audite redes com máquinas usando RDP, feche portas RDP não utilizadas, aplique
bloqueios de conta após um número máximo de tentativas, use autenticação
multifatorial e vigie tentativas de login via RDP não esperadas.
■ Desative ou bloqueie a saída do protocolo SMB (Server Message Block) e remova ou
desative suas versões desatualizadas. Hackers usam SMB para propagar malware.
Especificamente quanto ao SMB, deve-se considerar as seguintes ações preventivas:
□ Desabilitar o SMBv1 e v2 na LAN após verificação de que não há nenhum sistema
ou aplicação que ainda os utilize e possa ser afetado.
- Atualize para o SMBv3 (ou a versão mais atual), se tecnicamente possível.
□ Bloqueie o acesso externo de todas as versões do SMB à sua rede, bloqueando a
porta TCP 445 com protocolos relacionados nas portas UDP 137-138 e TCP 139.
Página 4 de 34
Vetor de infecção: phishing
■ Implemente um programa de conscientização e treinamento em
cibersegurança para usuários que inclua orientações sobre como
A relação de afinidade
identificar e relatar incidentes ou atividades suspeitas (por exemplo, entre as LANs das
phishing scam). Conduza testes de phishing em toda a organização Secretarias e suas
para avaliar a conscientização do usuário e reforçar a importância de VLANs no datacenter
identificar e-mails potencialmente maliciosos. do Governo também é
fator importante na
■ Implemente filtros anti-SPAM no servidor de e-mail para filtrar
mensagens com indicadores e conteúdo mal-intencionados conhecidos,
prevenção: regras
e bloqueie endereços de IP suspeitos no firewall. muito permissivas
facilitam a
■ Para diminuir a chance de e-mails falsificados ou modificados vindos movimentação lateral
de domínios válidos/conhecidos, implemente a política e a verificação
de um atacante.
DMARC (Domain-based Message Authentication, Reporting and
Conformance). O DMARC se baseia na amplamente implantada
estrutura de política de remetente e nos protocolos Domain Keys
Identified Mail, adicionando uma função de relatório que permite aos
remetentes e destinatários melhorar e monitorar a proteção do domínio
contra e-mails fraudulentos. Consulte com
■ Considere desativar scripts de macro para arquivos do Microsoft Office frequência o site
transmitidos por e-mail. Essas macros podem ser usadas para disparar abaixo, para conhecer
ransomware e outros tipos de malware. alertas de última hora
sobre exploits de
segurança e acessar
Vetor de infecção: infecção por malware precursor um boletim semanal
de vulnerabilidades e
■ Software antivírus e anti-malware (e suas assinaturas) devem estar
informações de
atualizados e com suas atualizações automáticas habilitadas.
Recomenda-se o uso de soluções antivírus gerenciadas centralmente.
patches.
Isso permite a detecção de malwares “precursores” de ransomware.
cisa.gov/uscert/ncas
□ Uma infecção de ransomware pode ser evidência de um
comprometimento anterior da rede não resolvido. Por exemplo, muitas
infecções de ransomware são o resultado de infecções de malware
existentes, como TrickBot, Dridex, ou Emotet.
□ Em alguns casos, a execução do ransomware é apenas a última
etapa de todo um plano de infecção e também é usada como Consulte o anexo
forma de ofuscar todas as atividades maliciosas anteriores. deste guia, que lista
■ Configure as pastas das aplicações de forma a garantir que apenas diversas outras
o software nelas instalados possam ser executados e que todos os sugestões e
demais (não autorizados) sejam bloqueados para execução. recomendações
□ Habilite a allowlisting das pastas das aplicações por meio da técnicas preventivas,
“Microsoft Software Restriction Policy” ou AppLocker. coletadas de diversas
□ Use a allowlisting ao invés de tentar listar todas as permutações fontes (incluindo
possíveis de aplicativos em um ambiente de rede. No Windows, várias relacionadas a
os padrões “default” seguros permitem que os aplicativos sejam vulnerabilidades
executados em PROGRAMFILES, PROGRAMFILES (X86) e específicas).
SYSTEM32. Sugere-se proibir todos os outros locais, a menos
que exceções sejam concedidas.
■ Considere implementar um sistema de detecção e proteção de
intrusão (IDS/IPS) para mitigar atividades de rede potencialmente
maliciosas que ocorrem antes da execução do ransomware.
Página 5 de 34
Melhores práticas relacionadas a backup
■ Com o advento da LGPD, aumentará a incidência de ataques cujo
objetivo será roubar arquivos contendo dados pessoais, visando
extorquir empresas públicas e privadas para que essas paguem
para evitar o vazamento público desses dados. A melhor forma de
evitar o sucesso desse tipo de ataque, quando todas as demais
medidas de segurança falharem, é habilitar a criptografia em
tempo real para HDDs/SSDs de servidores e estações de trabalho
(preferencialmente via hardware) e também manter backups
criptografados, quando possível e tecnicamente viável.
■ Promover, na medida do possível, o “air gapping”, ou seja, o total
isolamento físico e lógico entre as LANs/WANs e os ativos e
mídias de backup, fazendo com que não haja nenhuma
possibilidade de backups serem acessados, direta ou
indiretamente, via Internet, ou de redes ou computadores que
tenham acesso à Internet.
□ Esta medida é ideal quando é possível manter um segundo
ambiente de backup, pois muitas vezes exige ações manuais
para as rotinas de backup.
□ Se forem utilizados dispositivos físicos móveis para backup
(discos USB, por exemplo), eles devem ser desconectados
fisicamente de computadores ou redes após a conclusão
das cópias de segurança.
Melhores práticas relacionadas a autenticação

■ Implemente MFA (autenticação multifatorial) para todos os
serviços possíveis – especialmente para webmail, VPNs e contas
que acessam sistemas críticos ou informações confidenciais.
□ Em 2017 foi gerado um relatório (revisado em 2022) com
proposição de novas políticas de senhas e outras melhorias
de segurança complementares para as contas cuja
autenticação se dá via MS Active Directory (consultar).
□ Adotar software (“cofre de senhas”) para armazenamento e
compartilhamento de senhas (de uma mesma equipe, por
exemplo) e geração de senhas fortes.
■ Aplique o “princípio do menor privilégio” para as contas de
usuários e administradores em todos os sistemas e serviços,
para que esses tenham acesso somente ao que eles precisam
para realizar suas atividades. Hackers se aproveitam de contas
com acesso privilegiado para copiarem dados e disseminarem
ransomware em toda a rede.
□ Restringir permissões do usuário para que esse não consiga
instalar software.
□ Limitar a capacidade de uma conta de administrador local de
fazer login a partir de uma sessão interativa local (por exemplo,
"Negar acesso a este computador da rede.") e impedir o acesso
por meio de uma sessão RDP.
Página 6 de 34
□ Remover contas e grupos de usuários desnecessários e restringir acessos root.
□ Controlar e limitar as contas de administrador local.
□ Usar o grupo “Protected Users” do Active Directory nos domínios Windows para
melhor proteger as contas de usuário contra ataques “pass-the-hash“.
□ Auditar contas de usuários regularmente, especialmente aquelas que
efetuam acessos remotos ou que sejam acessíveis via Internet - isso
inclui acessos de prestadores de serviço, como provedores de Internet.
■ Elaborar e sempre manter atualizado diagramas de rede dos
ambientes, com a descrição de equipamentos, sistemas e fluxos de
dados (vide figura 1). Isso será extremamente útil durante a execução
de um plano de resposta a incidentes (especialmente quando
necessária a reinstalação de todo um ambiente) e para garantir que
que os ambientes estejam bem documentados e sua topologia seja do
conhecimento de todos que precisem neles atuarem.
□ Os diagramas devem ser gerados e mantidos on premisses e incluir
representações das principais redes, blocos de endereçamento IP
específicos e a topologia geral da rede (incluindo conexões de rede,
interdependências e acessos concedidos a terceiros).
■ Segmentar lógica e fisicamente as redes, segregando-as de acordo com as
áreas e recursos. Manter a rede local (LAN) isolada do datacenter.
■ Sanear as contas de usuário com privilégios de administração ou acessos
desnecessários. Rebaixar temporariamente os privilégios dessas contas e
somente restaurá-los quando necessário.
Figura 1. Exemplo de diagrama de rede
Página 7 de 34
Isso ajudará a conter o impacto de qualquer intrusão e evitará ou limitará o movimento lateral
de hackers ou usuários mal-intencionados. As figuras 2 e 3 ilustram exemplos práticos de uma
rede plana (não segmentada) e uma rede segmentada.
□ A segmentação de rede se torna ineficaz se não for associada a outros controles de
segurança relacionados a pessoas, processos, procedimentos e demais aspectos, que
devem estar descritos na Política de Segurança da Informação da organização.
■ Garantir uma abordagem abrangente de gerenciamento de ativos.
□ Entender e inventariar os ambientes e ativos de TI, ambos lógicos (ex.: dados,
aplicações, bancos de dados, VLANs, IPs) e físicos (ex.: servidores, appliances etc.).
□ Entender quais dados ou sistemas são mais críticos para continuidade das operações,
segurança ou outros serviços críticos, bem como quaisquer interdependências
associadas – ou seja, "ativo crítico". Isso ajudará a determinar as prioridades de
restauração caso ocorra um incidente e a aplicar controles de segurança ou proteções
mais abrangentes a ativos críticos.
□ Sugestão de material: planilha “MS-ISAC Hardware and Software Asset Tracking” -
https://www.cisecurity.org/white-papers/cis-hardware-and-software-asset-tracking-spreadsheet/
■ Restringir o uso do Windows PowerShell, usando as Políticas de Grupo, para usuários
específicos, caso a caso. Normalmente, apenas os usuários ou administradores que
gerenciam a rede ou sistemas operacionais Windows devem ter permissão para usar o
PowerShell. Atualize o PowerShell e habilite o log avançado. O PowerShell é uma plataforma
cruzada, linha de comando, shell e linguagem de script e é um componente do Microsoft
Windows. Hackers usam o PowerShell para implantar ransomware e ocultar suas atividades.
□ Atualize o PowerShell para a versão 5.0 ou posterior e desinstale todas as anteriores. Os
logs do PowerShell anteriores à versão 5.0 não existem ou não registram detalhes
suficientes para auxiliar no monitoramento e nas atividades de resposta a incidentes.
- Os logs do PowerShell contêm dados valiosos, incluindo histórico e interação com o log
do sistema operacional, e possíveis táticas, técnicas e procedimentos de uso do
PowerShell por um hacker.
□ Certifique-se de que as instâncias do PowerShell (na versão mais atual) tenham
módulo, bloco de script e log de transcrição habilitados (log aprimorado).
Figura 2. Rede não segmentada Figura 3. Rede segmentada

Network
8
Página 8 de 34
- Os dois logs que registram a atividade do PowerShell são o “Log de Eventos do
Windows” e o “PowerShell Operational”. A CISA recomenda ativá-los com um
período de retenção de 180 dias e verifica-los regularmente para confirmar se
os dados foram excluídos ou os logs foram desativados. Defina o tamanho de
armazenamento permitido para ambos os logs para o maior possível.
■ Maximizar o nível de segurança de controladores de domínio (DCs). Hackers muitas
vezes visam e usam controladores de domínio como um ponto de partida para
espalhar ransomware por toda a rede.
□ A seguinte lista contém sugestões de como proteger um DC:
- Os DCs devem ser atualizados regularmente. Isso inclui a aplicação de
patches críticos o mais rapidamente possível.
- Certifique-se de que a versão mais atual do sistema operacional Windows
Server esteja sendo usada nos controladores de domínio. Os recursos de
segurança são mais bem integrados nas versões mais recentes do Windows
Server, incluindo os recursos de segurança do Active Directory. Use os guias
de configuração do AD, como os disponíveis na Microsoft
(https://docs.microsoft.com/
en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-
securing-active-directory).
- Nenhum software ou agente adicional deve ser instalado nos DCs, pois
eles podem ser aproveitados para executar código arbitrário no sistema.
- O acesso aos DCs deve ser restrito ao grupo Administradores. Os usuários
desse grupo devem ser limitados e ter contas separadas das usadas para
operações diárias com permissões não administrativas.
- Firewalls de host DC devem ser configurados para impedir acesso à
Internet. Normalmente, esses sistemas não têm necessidade de acesso
direto à Internet. Servidores de atualização com conectividade à Internet
podem ser usados para obter as atualizações necessárias, ao invés de se
permitir o acesso à Internet aos controladores de domínio.
□ A CISA recomenda as seguintes configurações de Política de Grupo:
(Observação: esta não é uma lista abrangente e outras medidas devem ser
tomadas para proteger os DCs dentro do ambiente.)
- O protocolo Kerberos é recomendado para autenticação, mas se não for
usado, habilite a auditoria NTLM para garantir que apenas respostas
NTLMv2 sejam enviadas pela rede. Devem ser tomadas medidas para
garantir que as respostas LM e NTLM sejam recusadas, se possível.
- Habilite proteções adicionais para Autenticação de Segurança Local,
visando evitar injeção de código capaz de obter credenciais do sistema.
Antes de habilitar essas proteções, execute auditorias no programa
lsass.exe para conhecer os programas que serão afetados.
- Certifique-se de que a assinatura SMB seja necessária entre os hosts e os
DCs para evitar o uso de ataques de reprodução na rede. A assinatura
SMB deve ser aplicada em todo o domínio como uma proteção adicional
contra esses ataques em outras partes do ambiente.
■ Reter e proteger adequadamente os logs de dispositivos de rede e hosts locais.
Isso oferece suporte à triagem e correção de eventos de segurança cibernética.
Os registros podem ser analisados para determinar o impacto dos eventos e
verificar se ocorreu um incidente.
Página 9 de 34
□ Configure um gerenciamento de logs centralizado usando uma ferramenta de
correlacionamento de logs e eventos de segurança. Ao revisar e cruzar registros coletados
de várias fontes, pode-se fazer uma melhor triagem de um evento individual e determinar
seu impacto na organização como um todo.
□ Mantenha e faça backups dos logs de sistemas e ativos críticos por no mínimo um ano, se possível.
Observar os períodos mínimos definidos pelo Marco Civil e outras legislações.
■ Definir e analisar atividades de rede ao longo de períodos de meses para determinar padrões
de comportamento, para que as atividades normais e legítimas possam ser mais facilmente
distinguidas das atividades de rede atípicas.
□ Registros de transações de sistemas utilizados em processos de negócio (como logs de aplicações web,
como o e-Docs ou Acesso Cidadão) são outras fontes úteis de informações para análises comportamentais.
Contato de apoio Referências em ransomware

Mediante solicitação, o órgão abaixo pode fornecer assistência
técnica às entidades afetadas para que possam proteger seus ■ Ransomware (CISA): www.cisa.gov/stopransomware
ativos, mitigar vulnerabilidades e reduzir os impactos de
incidentes cibernéticos. ■ Alertas e boletim semanal de vulnerabilidades de segurança:
cisa.gov/uscert/ncas
O que esperar:
Orientação específica para ajudar a avaliar e corrigir ■ Security Primer – Ransomware (MS-ISAC): Descreve ataques de
incidentes de ransomware. ransomware, vetores de infecção comuns e recomendações de
melhores práticas: www.cisecurity. org/white-
■ Ajuda para identificar a extensão do comprometimento papers/security-primer-ransomware/
e recomendações de estratégias de contenção e
mitigação adequadas (dependente da variante de
ransomware) ■ Ransomware: Facts, Threats, and Countermeasures (MS-
ISAC): Fatos sobre ransomware, vetores de infecção, recursos de
■ Análises de e-mails de phishing, logs, malware e ransomware e como reduzir o risco de infecção por ransomware:
mídias de armazenamento, com base no envio https://www.cisecurity.org/blog/ransomware- facts-
voluntário (análises forenses de discos podem ser threats-and-countermeasures/
realizadas conforme a necessidade)
■ Contato: ■ Security Primer – Ryuk (MS-ISAC): Visão geral do ransomware
Ryuk, uma variante de ransomware predominante no setor
□ CTIR - Centro de Tratamento e Resposta a Incidentes
governamental SLTT, que inclui informações sobre as etapas de
Cibernéticos do Governo Federal:
preparação que as organizações podem tomar para se proteger
contra infecções: https://www.cisecurity.org/ white-
- ctir.gov.br
papers/security-primer-ryuk/
- Para notificar incidentes: ctir@ctir.gov.br
Página 10 de 34
Parte 2: Plano de Resposta a Incidentes
PRI - Plano de Resposta a incidentes

O Plano de Resposta a Incidentes (PRI) é um documento essencial em processos de reação a eventos adversos ou não
esperados. Nos momentos de estresse gerados por incidentes, é o PRI que ajuda as equipes responsáveis pela identificação
e tratamento dessas ocorrências a otimizarem suas ações de resposta, por conterem checklists e orientações baseadas em
decisões pré-estabelecidas, evitando assim falhas e perda de tempo.
A organização deve ter pelo menos um PRI global, no qual será definido o procedimento padrão a ser seguido em casos de
incidentes em geral, incluindo forma e fluxo das ações. Daí, à medida que a maturidade da gestão de incidentes corporativa
aumentar, poderão ser criados PRIs específicos, exclusivamente para tipos de incidentes, sistemas, processos ou atividades
em particular – especialmente aqueles que sustentam sistemas ou serviços considerados mais críticos ou essenciais.
Para ser eficaz, um PRI precisa das seguintes informações:
 Matriz de Responsabilidades: planilha que aponta os responsáveis por cada ativo ou atividade do processo de resposta.
 Lista de Contatos e Plano de Comunicação: definem como, quando e quem deve ser acionado.
 Plano de Ação: descreve as ações administrativas ou técnicas, objetivas, macro e pré-definidas, a serem executadas
seguindo as etapas de tratamento de incidentes estabelecidas pelas normas internacionais de gestão de incidentes de
segurança da informação: detecção  avaliação  contenção  recuperação  análise crítica.
Este é um modelo de PRI utilizado pela Prodest: drive.es.gov.br/public/pri-modelo--en.
PRD - Plano de Recuperação de Desastres

O detalhamento do plano (ou parte do plano) de ação de um PRI que contenha instruções de ações em nível granular e
delimitadas à recuperação do estado operacional de um determinado ativo tecnológico (equipamentos, redes, software) ou
processo/atividade específicos, deve ser descrito em um PRD – Plano de Recuperação de Desastres. o.
Os PRDs são documentos complementares aos PRIs, nos quais são descritos, passo-a-passo, instruções relacionadas a
atividades de reinstalação, configuração, interligação, integração, comunicação etc. Os PRIs estão no nível tático (normas),
enquanto os PRDs estão no nível operacional (instruções).
Este é um modelo de PRD adotado pela Prodest: drive.es.gov.br/public/prd-modelo--en.
Dependendo dos ativos tecnológicos ou serviços afetados por um

incidente, é extremamente útil aos seus processos de
recuperação operacional a consulta a mapas ou diagramas que
revelem a topologia lógica e física das redes sobre as quais esses
e outros ativos ou serviços estão implementados (incluindo as
virtuais), bem como a relação de dependência e fluxos de
comunicação entre todos eles. É preciso ter a visão do todo –
especialmente quando as ações de resposta envolvem mais de
uma área.
Por estas razões, esses mapas devem se encontrar atualizados e

acessíveis (inclusive em meio offline) a todas as equipes que
seguirão as orientações de PRIs e PRDs em situações de resposta
a incidentes.
Página 11 de 34
PRI - Matriz de Responsabilidades (modelo RASCI)
A “Matriz de Responsabilidades” é uma planilha que define os papéis e as responsabilidades específicas de cada
um dos atores envolvidos em um determinado processo ou atividade.
Os PRIs (Planos de Resposta a Incidentes) podem utilizar a matriz RASCI para registro e formalização de quem serão os
atores envolvidos no processo de resposta a um determinado incidente e quais serão seus papéis e responsabilidades. Ela
deve ser completa e listar desde os gestores da alta direção a analistas e técnicos diretamente responsáveis pelos ativos
tecnológicos, pessoal administrativo, consultores externos, fornecedores, prestadores de serviço, clientes etc.
O modelo de matriz abaixo se encontra na planilha disponível para download em drive.es.gov.br/public/planilha--en.
As fases descritas no modelo acima (de “02 - Preparação” à “06 - Avaliação final”) se baseiam nos modelos clássicos de
processo de resposta a incidentes de segurança da informação recomendados pelo NIST e pelo SANS. Em cada fase devem
ser apontadas as pessoas direta e indiretamente envolvidas em sua execução ou acompanhamento, conforme seus papéis e
responsabilidades na organização.
As ações de cada fase podem se restringir a macro atividades (como no modelo acima), ou cada ação pode ser explodida e
detalhada em subitens com atividades mais específicas (tais como aquelas citadas no checklist técnico da parte 2 deste
guia). Por exemplo, a fase de “pós-incidente” pode conter como subatividades gestão de mudanças, revisão de processos,
elaboração de novos procedimentos etc., apontando quem será responsável pela execução ou acompanhamento de cada
uma delas.
As planilhas de Matriz de Responsabilidades devem ser atualizadas sempre que houver alterações em recursos humanos e
mudanças de responsabilidades ou competências relacionadas às pessoas e atividades nelas listadas. Essa edição deve ser
efetuada de forma compartilhada entre a área de RH e os gestores das pessoas citadas na matriz (diretores, gerentes,
subgerentes).
Pode-se elaborar uma única Matriz de Responsabilidade para toda a organização (fazendo referência a ela nos PRIs e PRDs),
ou pode-se optar por criar uma matriz específica para cada PRI ou PRD, limitada ao escopo das atividades a eles
relacionadas.
Página 12 de 34
PRI - Lista de Contatos e Plano de Comunicação
Um PRI deve estabelecer o fluxo de comunicação, interna e externa, entre todos os atores que serão envolvidos
na resposta a um incidente. Logo, nele deve constar quais áreas, pessoas e organizações atuarão em cada uma
das fases no processo de resposta (detecção, avaliação, contenção, recuperação e análise crítica), de acordo com
seus papéis e responsabilidades definidos na Matriz de Responsabilidades.
Os dados de contato das partes atuantes em um determinado PRI pode constar em lista do próprio documento, ou esses
dados podem ser mantidos apenas em uma lista de contatos única/global, publicada para toda a organização, à qual todos
os PRIs e PRDs se referenciariam. Essa lista única contemplaria os dados de todos os funcionários, comissionados,
servidores de outros órgãos cedidos à organização, fornecedores, prestadores de serviço, consultores externos, clientes
(incluindo seus gestores de TI) etc. – enfim, todos que se fizerem úteis ou necessários durante a resposta a um incidente
(seja executando ações, sendo consultados ou acompanhando as tratativas).
Para facilitar a gestão, manutenção e atualização dos dados de contato que serão utilizados por vários PRIs e PRDs, sugere-
se fortemente a adoção de uma lista de contatos global, única e unificada. Nesse caso, os documentos apenas citariam os
atores responsáveis por cada atividade (como é feito na matriz de responsabilidades), cujos dados de contato seriam
buscados na lista de contatos global, que seria mantida atualizada por seus editores em site externo à organização (para
garantia de acesso caso os sites da Prodest estejam indisponíveis) e publicada internamente na intranet, para conhecimento
de todos os funcionários.
Recomenda-se que a base de contatos possua as seguintes informações:
 Nome  Celular
 Sobrenome (principal)  E-mail
 Diretoria  Empresa/Órgão
 Assessoria  Cargo/Papel
 Gerência  Status [de disponibilidade]
 Subgerência ou subárea  Horários de plantão [se aplicável]
 Ramal  Substituto [que deve estar listado
 Telefone fixo como contato também]
O modelo de lista de contatos abaixo se encontra na planilha disponível em drive.es.gov.br/public/planilha--en.
O fluxo de comunicação em uma situação de incidente deve ser compatível com os papéis estabelecidos na Matriz de
Responsabilidades do serviço ou ativo cujo incidente estiver sendo tratado, e deve ser estabelecido pelo gestor da área
responsável pelo tratamento do incidente, em comum acordo com todos os demais atores envolvidos (internos e externos).
Por exemplo: quem será o primeiro a ser acionado, quem irá substituir quem, quais canais de comunicação serão utilizados e
sob que circunstâncias, em quais dias e horários cada pessoa estará disponível para qual atividade etc.
Uma vez definido, o plano de comunicação deve ser formalizado e transcrito em seu respectivo PRI, que deverá ser de
conhecimento de toda a organização.
Página 13 de 34
PRI - Plano de Ação
Após definidos papéis e responsabilidades, e estabelecido o plano de comunicação entre as partes que serão envolvidas na
resposta a incidente, o PRI deve orientar quais ações administrativas ou técnicas, objetivas, macro e pré-definidas, serão
efetuadas pelas partes envolvidas – desde aquelas relacionadas ao acompanhamento, identificação, análise inicial e
contenção do incidente, até as ações de encerramento do tratamento e aplicação das medidas corretivas necessárias para
que o incidentes não se repita.
O checklist abaixo sugere várias dessas ações, sendo a maioria delas de nível tático, próprias dos PRIs, que são documentos
de caráter normativo (ou seja, que não descem ao nível máximo de detalhamento). Conforme explicado anteriormente, os
passo-a-passos de ações de nível operacional devem ser detalhados em PRDs (ex.: como reinstalar e configurar um sistema).
Detecção e análise
Os 3 primeiros passos devem ser seguidos na sequência apresentada:
□ 1. Determine quais sistemas foram impactados e isole-os imediatamente.

□ Se vários sistemas ou subredes parecerem afetados, coloque a rede offline no nível do switch, pois pode
não ser a melhor opção desconectar computadores individuais durante um incidente de ransomware.
Se não for possível desligar temporariamente toda a rede imediatamente, remova os cabos de rede dos
dispositivos afetados e/ou corte o acesso deles ao Wi-Fi, para conter a infecção e evitar que se alastre.
□ Após um comprometimento inicial, hackers podem monitorar a atividade ou as comunicações para
verificar se suas ações foram detectadas. Isole os ambientes de maneira coordenada (desconecte a rede
da Internet, retire cabos de rede de servidores e estações, corte comunicação entre subredes etc.) e use
métodos de comunicação não detectáveis (como chamadas telefônicas ou outros meios), para evitar
alertá-los de que foram descobertos e que ações de mitigação estão sendo realizadas. Não fazer isso
pode fazer com que eles se movam lateralmente para preservar o acesso já obtido – o que é uma tática
comum -- ou finalizarem a disseminação do ransomware em toda a rede antes que ela fique offline.
Nota: A etapa 2 impedirá que você mantenha artefatos de infecção de ransomware e possíveis evidências
armazenadas na memória volátil (RAM). Deve ser executado apenas se não for possível desligar
temporariamente a rede ou desconectar da rede os hosts afetados usando outros meios.
□ 2. Apenas no caso de você não conseguir desconectar os dispositivos da rede (cabeada e/ou sem fio),
desligue-os para evitar a propagação da infecção de ransomware.
□ 3. Faça uma triagem dos sistemas impactados, para fins de restauração e recuperação.
□ Identifique e priorize os sistemas críticos para restauração e confirme a natureza dos dados
armazenados nos sistemas impactados.
- Priorize a restauração e recuperação com base em uma lista pré-definida de ativos críticos que inclua
sistemas essenciais para segurança, continuidade das operações e processos de negócio e outros
serviços críticos, bem como sistemas dos quais eles dependem.
□ Identifique e anote os sistemas e dispositivos que não foram percebidos como afetados, para que possam
ser despriorizados para restauração e recuperação, permitindo o retorno à operação com mais eficiência.
□ 4. Conversar com suas equipes, para obter uma primeira compreensão do que ocorreu, com base na
análise inicial. E, a partir do resultado dessa análise, definir as estratégias de abordagem mais adequadas.
□ 5. Envolva suas equipes internas e externas e as partes interessadas para uma follow-up do que eles
podem fazer ou fornecer para ajudá-lo a mitigar, responder e se recuperar do incidente.
□ Compartilhe as informações à sua disposição para receber a assistência mais oportuna e relevante.
Mantenha seus pares e as demais áreas envolvidas e informados por meio de atualizações regulares à
medida que a situação se desenvolve (incluindo a alta direção).
Página 14 de 34
Pagar o resgate não garante que os dados sejam
descriptografados, que os sistemas não sejam ainda mais
comprometidos, ou que os dados não sejam divulgados.
As autoridades policiais não recomendam o pagamento.
Se uma investigação ou análise mais
detalhada for necessária, autoridades e
□ Deve-se registrar um Boletim de Ocorrência junto à Delegacia
especialistas podem estar interessados
Especializada de Repressão aos Crimes Cibernéticos da
em qualquer uma das seguintes
Polícia Civil/ES (pc.es.gov.br).
informações que possam ser
compartilhadas legalmente: □ Conforme for apropriado, deve-se considerar informar os órgãos
ou grupos de resposta e tratamento de incidentes de segurança
estaduais e federais (CETRIN/ES e CTIR/Brasil), especialmente
□ Arquivo executável recuperado para obtenção de apoio consultivo ou informações que possam
□ Cópias do arquivo “LEIAME-ME” - NÃO ser úteis para o tratamento do incidente.
REMOVA o arquivo ou a descriptografia pode
não ser possível □ As áreas de Comunicação ou Assessoria de Imprensa devem
atender solicitações por informações e coordenar os
□ Cópia/imagem do conteúdo da memória
RAM de sistemas com sinais adicionais de comunicados, de forma que notícias acuradas sobre o
comprometimento (uso de kits de incidente sejam compartilhadas, tanto internamente quanto
ferramentas de exploração, atividade RDP, externamente (público, clientes, prestadores de serviço,
arquivos adicionais encontrados localmente) fornecedores e imprensa).
□ Imagens de sistemas infectados com sinais □ Modelos de declarações e comunicados sobre incidentes
adicionais de comprometimento (uso de kits devem ser elaborados o quanto antes, pois desenvolvê-los
de ferramentas de exploração, atividade
durante o tratamento de um incidente, no “calor da emoção”,
RDP, arquivos adicionais encontrados
localmente) não é o ideal. Isso permitirá chegar a um consenso, com
antecedência, sobre o nível de detalhe a ser compartilhado
□ Amostras de malware
interna e externamente, e como as informações fluirão.
□ Nomes de qualquer outro malware
identificado no Sistema afetado
Contenção e erradicação
□ Amostras de arquivos criptografados
Se nenhuma das ações de mitigação inicial citadas no capítulo
□ Arquivos de log (logs de eventos do Windows anterior parecerem possíveis:
de sistemas comprometidos, logs de firewall
etc.) □ 6. Faça imagem e capture uma amostra da memória do
□ Quaisquer scripts do PowerShell encontrados sistema dos dispositivos afetados. Além disso, colete todos os
em execução nos sistemas seus logs relevantes, bem como amostras de quaisquer
arquivos (executáveis e associados) que possam ser
□ Quaisquer contas de usuário criadas no
Active Directory ou máquinas adicionadas à
relacionados ao malware causador do incidente, assim como
rede durante a ocorrência do incidente indicadores de comprometimento (por exemplo, comandos
suspeitos e endereços IP, entradas de Registry suspeitas ou
□ Endereços de e-mail usados pelos atacantes
outros arquivos desconhecidos detectados).
e quaisquer e-mails de phishing associados
□ Uma cópia da mensagem de resgate □ É preciso cuidado ao preservar as evidências de
natureza altamente volátil - ou de retenção
□ Valor do resgate (e se foi pago ou não) limitada - para evitar perda ou adulteração (por
□ Carteiras Bitcoin usadas pelos atacantes exemplo, memória do sistema, logs de segurança
□ Carteiras Bitcoin usadas para pagar o resgate do Windows, registros de conexão e acesso do
(se aplicável) proxy, dados em buffers de log do firewall).
□ Cópias de comunicações com os atacantes
□ 7. Consulte sites especializados em ransomware em
busca por possíveis descriptografadores disponíveis, pois
pesquisadores de segurança já quebraram os algoritmos
de criptografia de algumas variantes de ransomware. Por
exemplo: NoMoreRansom.
Página 15 de 34
Para continuar a conter e mitigar o incidente:
□ 8. Pesquise uma fonte confiável pela variante de
ransomware específica e siga quaisquer etapas adicionais ANÁLISES ONLINE
recomendadas para identificar e conter sistemas ou redes que
foram confirmados como afetados. Mediante solicitação voluntária, a
□ Elimine ou desabilite a execução de arquivos executáveis de CISA e O MS-ISAC podem ajudar na
ransomware conhecidos; isso minimizará danos e impacto análise (por exemplo, de e-mails de
em nossos sistemas. Exclua valores no Registry e arquivos phishing, logs, malware), sem
conhecidos e associados. nenhum custo, para ajudar uma
organização a entender a causa raiz
□ 9. Identifique os sistemas e contas envolvidos na violação de um incidente, através dos
inicial. Isso pode incluir contas de usuários de MS Active
Directory ou contas de e-mail. seguintes serviços online:
□ 10. Com base na violação ou nos detalhes do comprometimento ■ CISA – Advanced Malware Analysis
determinados acima, contenha todos os sistemas associados que Center:
possam ser usados para acesso não autorizado adicional ou
continuado. As violações geralmente envolvem a exfiltração de www.malware.us-cert.gov
credenciais em massa. Proteger a rede e outras fontes de
informação de acesso contínuo não autorizado com base em ■ MS-ISAC – Malicious Code Analysis
credenciais pode incluir as seguintes ações: Platform:
□ Desabilitar VPNs, servidores remotos, recursos de single
sign-on e ativos em nuvem ou expostos para a Internet. www.cisecurity.org/
spotlight/cybersecurity-spotlight-
□ 11. Ações adicionais sugeridas - etapas de identificação rápida malware-analysis/
de criptografia de dados em servidor:
□ No caso de você descobrir que os dados do lado do servidor □ Verifica um arquivo suspeito ou
estão sendo criptografados por uma estação de trabalho infectada, Uniform Resource Locator (URL)
as etapas de identificação rápida são: contra vários fornecedores de
antivírus para verificar se ele
1. Revise as listas “Computer Management > Sessions and
possui código que corresponda a
Open Files” nos servidores envolvidos para determinar o
assinaturas maliciosas
usuário ou sistema que está acessando esses arquivos.
conhecidas.
2. Revise as propriedades dos arquivos criptografados ou de
□ Executa um arquivo ou URL em
mensagens de resgate para identificar usuários que uma sandbox, para analisar seu
possam estar associados à propriedade desses arquivos. comportamento.
3. Revise o log de eventos “TerminalServices- □ Fornece ao usuário um relatório
RemoteConnectionManager” para verificar se há conexões resumido do comportamento
de rede RDP bem sucedidas. do malware, incluindo arquivos
4. Revise o log de segurança do Windows, logs de eventos acessados, tarefas criadas,
SMB e quaisquer logs relacionados que possam identificar conexões de saída e outras
autenticação significativa ou eventos de acesso. características
5. Execute o Wireshark no servidor afetado com um filtro comportamentais
para identificar os endereços IP envolvidos na gravação ou □ Pode-se optar por manter os
renomeação de arquivos ativamente (por exemplo, envios privados e fazer
"smb2.filename contém cryptxxx"). solicitações diretas de
□ 12. Examine sistemas de detecção ou de prevenção existentes assistência ao MS-ISAC; ou,
(antivírus, endpoint detection and response, firewalls, IDS, IPS também, agendar envios para
etc.) e logs. Isso pode destacar evidências de sistemas adicionais compartilhamento com a CISA.
ou de malware envolvidos nas fases anteriores do ataque.
Página 16 de 34
□ Procure evidências do malware precursor (“dropper”). Muitos eventos de ransomware são resultado
de infecções anteriores de malware não sanadas, como TrickBot, Dridex ou Emotet.
- Os operadores dessas variantes avançadas de malware geralmente vendem o acesso a uma
rede. Hackers às vezes usam esse acesso para exfiltrar dados e, em seguida, ameaçam liberar
os dados publicamente antes ou depois de sequestrar a rede, em uma tentativa de extorquir
ainda mais a vítima e pressioná-la a pagar.
- Hackers geralmente usam variantes de ransomware implantadas manualmente em uma rede
para ofuscar sua atividade após seu comprometimento. Deve-se ter cuidado para identificar o
malware dropper antes de recuperar backups, visando evitar comprometimento contínuo.
□ 13. Faça análises para identificar mecanismos de persistência de fora pra dentro e de dentro pra fora.
□ A persistência de fora pra dentro pode incluir acesso autenticado a ambientes via contas legítimas
invadidas, backdoors em sistemas de perímetro, exploração de vulnerabilidades externas etc.
□ A persistência de dentro pra fora pode incluir implantes de malware na rede interna ou uma
variedade de modificações. Por exemplo: uso de ferramentas de teste de penetração comercial,
como Cobalt Strike; uso do pacote PsTools, incluindo PsExec, para instalar remotamente e
controlar malware e coletar informações sobre - ou realizar gerenciamento remoto de - sistemas
Windows; uso de scripts do PowerShell.
□ A identificação pode envolver a implantação de soluções de detecção e resposta de endpoint,
auditorias de contas locais e de domínio, análise de dados encontrados em sistemas de logs
centralizados ou análise forense mais profunda de sistemas específicos, uma vez que o
movimento dentro do ambiente tenha sido mapeado.
□ 14. Se o incidente afetou a integridade de ativos críticos, restaure-os conforme a prioridade dos
serviços que eles suportam, seguindo seus Planos de Recuperação de Desastres (PRDs).
□ 15. Após o ambiente ter sido totalmente limpo e recuperado (incluindo quaisquer contas
afetadas e a remoção ou remediação de mecanismos de persistência maliciosos), redefina senhas
para todos os sistemas afetados e elimine quaisquer vulnerabilidades associadas e falhas na
segurança. Isso pode incluir varredura por vulnerabilidades em servidores e estações, aplicação de
patches, atualização de software e outras precauções de segurança não tomadas anteriormente.
□ 16. Com base em critérios estabelecidos, que podem incluir a execução das etapas acima ou a
busca de assistência externa, o tratamento do incidente pode ser considerado encerrado.
Recuperação e atividades pós-incidente

□ 17. Reconecte sistemas e restaure dados de backups criptografados offline com base em uma
priorização de serviços críticos.
□ É preciso cuidado para não infectar novamente os sistemas limpos durante a recuperação. Por
exemplo, se uma nova VLAN for criada para fins de recuperação, certifique-se de que apenas
sistemas não infectados por ransomware ou qualquer outro malware sejam adicionados a ela.
□ 18. Documente as lições aprendidas com o incidente e as atividades de resposta associadas para
informar as atualizações e refinar as políticas, planos e procedimentos organizacionais e orientar os
exercícios futuros dos mesmos.
□ 19. Considere compartilhar lições aprendidas e demais informações relevantes com os órgãos
estaduais e federais responsáveis pela prevenção, tratamento e resposta a incidentes.
Página 17 de 34
Página 18 de 34
Governo do Estado do Espírito Santo
Secretaria de Estado de Gestão e Recursos Humanos – SEGER
Instituto de Tecnologia da Informação e Comunicação do Estado do Espírito Santo
ANEXO
COLETÂNEA DE RECOMENDAÇÕES
DE SEGURANÇA ANTI-RANSOMWARE
V_07/04/2022
Alerta do CTIR.GOV.BR
1. Descrição do Problema
Com base nas estatísticas de eventos ocorridos no espaço cibernético, bem como nos diversos relatos que tem sido
feitos por colaboradores, o CTIR Gov recomenda a divulgação, a todos os órgãos de governo e entidades vinculadas, do
presente Alerta, sobre uma campanha nacional de ataques de Ransomware direcionado a sistemas VMware e Windows,
que caracteriza-se por ações maliciosas para criptografar arquivos ou bancos de dados de instituições, a fim de exigir
resgate em troca da descriptografia dos arquivos cifrados.
2. Impacto
Este ataque, sendo efetivo, impede o acesso aos dados em claro, os quais são criptografados e permanecem
inacessíveis.
3. Dispositivos Afetados
Windows Server 2008 R2 (todas as versões)

Windows Server 2008 R2 Service Pack 1 (todas as versões)
Windows Server 2012 (todas as versões)
Windows Server 2012 R2 (todas as versões)
Windows Server versão 1809 Standard
Windows Server versão 1809 Datacenter
Windows Server versão 1903
VMWare ESXi 6.0
VMWare ESXi 6.5
VMWare ESXi 6.7
VMWare ESXi 7.0
VMware Cloud Foundation ESXi 3.X
VMware Cloud Foundation ESXi 4.X
Página 19 de 34
4. Recomendações
As seguintes práticas são recomendadas para mitigar o risco a essa ameaça:
AMBIENTE DE INTERNET
1. Habilitar assinaturas de Ransomware no IPS;

2. Ativar assinaturas de proteção para as CVEs: CVE-2020-1472;
3. Bloquear Regras de acesso ANY para HTTP e HTTPS para internet;
4. Restringir acesso WEB a destinos não especificados e com reputação comprometida, analisando os endereços IP ou
domínios em bases online;
5. Identificar e bloquear (caso necessário) Endereços IP que estejam com volume de tráfego suspeito para a Internet;
6. (CRÍTICA) Fortalecer a inspeção de emails nas ferramentas de relay e antispam. Neste momento é importante que
vetores de ataques como phishings e malwares sejam combatidos com campanhas de conscientização (Referência:
https://cartilha.cert.br/golpes/). Sistemas de reputação também podem ser utilizados em alinhamento com as
ferramentas disponíveis.
7. (CRÍTICA) O SERPRO disponibilizou uma lista de reputação dos IPs. Essa lista foi criada pelo SOC e contém endereços
maliciosos que tentaram atacar sites de Governo. A lista é atualizada em Tempo Real e pode ser acessada através do
endereço: http://reputation.serpro.gov.br
8. (CRÍTICA) Aplicar imediatamente correções das seguintes vulnerabilidades:
- CVE-2020-1472: permite escalação de privilégios quando um atacante consegue estabelecer uma conexão com
o controlador de domínio usando NRPC (Netlogon Remote Protocol);
- CVE-2018-13379: afeta dispositivos do Fabricante Fortinet. Esta vulnerabilidade é considerada crítica e permite
o download de informações e configurações dos dispositivos.
AMBIENTE DE MONITORAÇÃO
1. Criação de “Arquivos Canário”, com checksum monitorado por ferramenta de infraestrutura (Arquivos que seriam
alterados apenas por um ransomware, mas nunca por um administrador ou script de sistema).
2. Monitorar assinaturas de IPS e logs (SIEM) para eventos suspeitos de tentativas de escalação de privilégio, como
exemplo da CVE 2020-1472 e conexões TCP Netlogon suspeitas com origem em redes externas.
3. (CRÍTICA) Sugestão de regra Yara para encontrar variantes do malware. Os órgãos podem usar estes padrões de
string como parâmetros de inspeção em seus controles:
rule RansomwareESXi
{
strings:
$string1 = "ransomware.c" nocase
$string2 = "cryptor.c" nocase
$string3 = "logic.c" nocase
$string4 = "enum_files.c" nocase
$string5 = "aes.c" nocase
$string6 = "rsa.c" nocase
$string7 = "crtstuff.c" nocase
$string8 = "mbedtls" nocase
condition:
all of them
}
rule BackdoorNotepad
{
Página 20 de 34
strings:
$string1 = "c:\\windows\\INF\\config.dat" nocase
condition:
$string1
}
4. (CRÍTICA) Monitorar tentativas de acesso à porta TCP/UDP 427 com destino a administração de virtualização que
não estejam aderentes às políticas de acesso à Gerência do Ambiente virtualizado;
5. Monitorar bloqueio de contas no Active Directory ou LDAP por tentativa de login falhas (account lockout).
6. Criar regra de monitoração de força bruta de autenticação em AD e autenticação Local. X tentativas falhas de login
dentro intervalo Y seg.
7. (CRÍTICA) Monitorar tentativas de acesso por meio de ataque pass-the-hash (autenticação sem uso de senha):
userName != “ANONYMOUS LOGON”
Microsoft-Windows-Security-Auditing = 4624
Microsoft-Windows-Security-Auditing = 4625
LogonProcessName = 'NtLmSsp'
AMBIENTE DE INTRANET
1. Garantir atualização dos endpoints e ativação das funcionalidades avançadas
2. (CRÍTICA) Bloqueios imediatos de arquivos com estas assinaturas:

- MD5 (svc-new/svc-new) = 4bb2f87100fca40bfbb102e48ef43e65
- MD5 (notepad.exe) = 80cfb7904e934182d512daa4fe0abbfb
- SHA1 (svc-new/svc-new) = 3bf79cc3ed82edd6bfe1950b7612a20853e28b09
- SHA1 (notepad.exe) = 9df15f471083698b818575c381e49c914dee69de
3. (CRÍTICA) Verificar com o fabricante da solução de endpoint protection funcionalidades que possam ser habilitadas
para proporcionar ou aprimorar a proteção contra Ransomware;
4. (CRÍTICA) Ativar assinaturas de proteção para as CVEs: CVE-2020-1472, CVE-2019-5544 e CVE-2020-3992;

TLP:WHITE
5. Habitar, caso disponível, a funcionalidade de firewall e IPS de endpoint para identificar situações de exploração de
vulnerabilidades ou ações maliciosas de forma lateral, no ambiente de rede local;
6. Verificar na solução de endpoint protection os registros de riscos de segurança e malwares identificados para tentar
identificar um possível vetor de ataque, e se prevenir de futuras ações;
7. Verificar se as atualizações do sistema operacional e aplicações dos servidores e estações de trabalho foram realizadas;
8. Caso possível, desabilitar temporariamente mapeamentos de rede para tentar conter a propagação das ações de um
malware;
9. Solicitar aos usuários realizar a troca de senha fazendo uso de uma política de senha previamente definida;
10. Bloquear acessos à internet sem Filtro de Conteúdo (servidores e estações de trabalho) - (Curto prazo)
11. Habilitar filtro de reputação no FCW para toda Rede
Página 21 de 34
12. (CRÍTICA) Revisão dos acessos via Netbios e internet em todos os Firewalls
13. Levantar e propor o bloqueio dos acessos de servidores à internet que não estejam usando filtro de conteúdo
14. Cancelar, temporariamente os poderes dos Administradores do AD (Active Directory)
15. Verificar usuários “logados” no AD, efetuar o sign out destes usuários.
16. Lançar informes aos usuários que acessam VPN com estações particulares para atualizarem antivírus
17. Mudar a permissão dos compartilhamentos de rede para SÓ LEITURA, (não vai parar o serviço e evita perda de dados, e
disseminação)
18. Reparamos que o malware (que tivemos acesso) usa a mesma API de criptografia que o antigo WannaCry. Ele pode ser
bloqueado com medidas nos principais antivírus corporativos como os exemplos abaixo:
- Symantec - No SEP existe uma política de controle de aplicativo que bloqueia a criação de arquivos com
extensão crypt criados pelo WannaCry.
- TREND - Na Trend possui o recurso de controle de aplicativo semelhante ao do SEP (Symantec).
19. Ainda sobre os Antivírus, habilitar módulos de Machine Learning e de análise de comportamento.
AMBIENTE DE SERVIDORES E BACKUP
1. (CRÍTICA) Desabilitar ou alterar a senha de usuários locais em servidores, caso existam;
2. (CRÍTICA) Desabilitar o CIM Server no VMware ESXi (76372)

- https://www.vmware.com/security/advisories/VMSA-2020-0023.html
- https://kb.vmware.com/s/article/76372 (How to Disable/Enable CIM Server on VMware ESXi)
3. Possibilidade de habilitar 2FA (2º fator de autenticação) para autenticação em ativos críticos. Para os órgãos que
possuem cofres de senhas, é possível que esta opção esteja disponível.
4. (CRÍTICA) Aplicar privilégios mínimos no Serviço de Diretório (Active Directory, LDAP) e desabilitar conta Guest
(convidado):
5. (CRÍTICA) Separar as contas de administração e administração de Domain (Domain Admin);
6. (CRÍTICA) Criar GPO para efetuar o logoff de usuários, por inatividade no AD em vez de desconectá-los (disconnect);
7. (CRÍTICA) Criar auditoria de contas administrativas de Domínio.
8. (CRÍTICA) Revisar as políticas de backups dos principais sistemas e base de dados, inclusive testar uma amostragem de
backup e garantir que a restauração está em conformidade.
Página 22 de 34
EM CASO DE ALTERAÇÕES DO ARQUIVO DE TESTE “ArquivoCanário”
1. Se o arquivo canário foi criptografado (possui uma extensão não conhecida e está indisponível para acesso),
característica de um ataque ransomware, desconecte o servidor da rede IMEDIATAMENTE por meio da plataforma
de virtualização no caso de máquinas virtuais ou desconectando-o fisicamente da rede no caso de máquinas físicas. Em
nenhuma hipótese o servidor deve ser desligado para que as evidências possam ser mantidas e, com isso, auxiliar no
processo de investigação.
2. Comunique à ETIR do seu órgão sobre o ocorrido enviando todas as evidências possíveis, e comunique ao CTIR.Gov.
3. Garanta que o backup da máquina e dos logs referentes aos últimos 7 dias esteja disponível e que não seja expirado.
4. Caso trate-se de uma máquina virtual, crie um clone da máquina afetada, sem reconectar a máquina original nem o
clone à rede, e disponibilize o arquivo da máquina clone para acesso à equipe da ETIR do seu órgão.
5. De posse do clone do servidor a ETIR deverá iniciar a investigação do ambiente, analisando logs de sistema operacional,
do AD/LDAP e fluxos de rede, visando identificar o horário de início do processo de criptografia, o arquivo de
ransomware envolvido, de que forma o arquivo foi transferido para o servidor, a origem do ataque e as vulnerabilidades
exploradas. Caso seja necessário, os fornecedores das soluções deverão ser acionados para apoiar nas investigações.
6. Atividades adicionais dependentes das evidências encontradas:
7. Antes de iniciar o processo de recuperação do backup do servidor, é importante tratar e corrigir as vulnerabilidades que
permitiram ao atacante comprometer o ambiente.
- Identificadas evidências de comprometimento de credenciais

i. Caso sejam identificadas evidências de comprometimento de credenciais, o órgão deverá
providenciar a troca imediata das senhas das credenciais envolvidas.
ii. O órgão deverá avaliar também a possibilidade de adotar um duplo fator de autenticação em suas soluções mais
críticas.
- Identificadas evidências de exploração de vulnerabilidades

i. Caso sejam encontradas vulnerabilidades exploradas durante o ataque, o órgão deverá providenciar a
aplicação dos patches necessários acionando os fornecedores caso seja preciso.
- Identificadas evidências de endereços de origem dos ataques

i. Caso sejam identificados os endereços IP de origem dos ataques, tais IP`s deverão ser bloqueados nas
ferramentas de proteção de perímetro, tais como Firewalls, IPS, WAF, a fim de impedir novas
tentativas de invasão da mesma origem.
8. Após a identificação dos vetores de ataque e vulnerabilidades exploradas, inicie a recuperação do servidor a partir do
backup, certificando-se de aplicar todas as correções e patches necessários antes de colocá-lo novamente em produção.
Página 23 de 34
OUTRAS AÇÕES
1. Revisar acessos privilegiados em todas as consoles de gerência (Firewall, IPS, Anti-DDoS, Filtro de Conteúdo,
Virtualizadores e ativos de rede)
2. Verificar e apagar contas que não são utilizadas nos ativos.
3. Órgãos com saída pela INFOVIA poderão solicitar adição de portas para facilitar a monitoração exclusiva de INTERNET
pelos seguintes canais: 0800-978-2337, css.serpro@serpro.gov.br ou
https://cssinter.serpro.gov.br/SCCDPortalWEB/pages/dynamicPortal.jsf?ITEMNUM=2221
RECOMENDAÇÕES GERAIS
 Não clicar em links de e-mails suspeitos;
 Evitar a visita a websites que oferecem downloads de programas pirateados ou suspeitos;
 Mesmo não sendo comprovada a existência de vulnerabilidades, manter os sistemas atualizados com a versão mais
recente ou aplicar os patches conforme orientação do fabricante;
 Isolar a máquina da rede ao primeiro sinal de infecção por Malware;
 Garantir o backup atualizado dos arquivos locais e dos armazenados em Servidores de Arquivos;
 Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação/execução de
binários e ou executáveis desconhecidos;
 Realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e-mails suspeitos ou
não reconhecidos como de origem esperada.
 Backup:
a) Que haja uma política de backup (cópia de segurança) definida;

b) Revisar as políticas de backup dos principais sistemas, executando testes em amostras para garantia de restauração;
c) Armazenar as cópias de segurança em local protegido, em rede exclusiva e isolada dos demais ativos, com acesso
restrito e controlado por Firewall, com o devido registro de conexões;
d) Se possível, armazenar os backups em mais de um local físico, separados geograficamente, de preferência em cofres
à prova de furto, incêndio e alagamento, com acesso controlado.
5. Correções disponíveis
• CVE-2018-13379
o Aplicação imediata de correção dessa vulnerabilidade, que afeta dispositivos do Fabricante Fortinet.
o Esta vulnerabilidade é considerada crítica e permite o download de informações e configurações dos dispositivos. Sua
exploração ocorre quando o módulo de acesso remoto está ativado.
• CVE-2020-1472
Página 24 de 34
o Aplicar a atualização KB4571702 de 11 de agosto de 2020.

• CVE-2019-5544
o Executar os patches de correção disponibilizados pela VMWare:
▪ Para versões ESXi 6.7, aplicar o patch ESXi670-201912001.
▪ Para versões Horizon DaaS 8.x, atualizar para a versão 9.0
• CVE-2020-3992
o Executar os patches de correção disponibilizados pela VMWare:
▪ Para versões ESXi 7.0, aplicar o patch ESXi670-ESXi70U1a-17119627.
▪ Para versões ESXi 6.7, aplicar o patch ESXi670-202011301-SG.
▪ Para versões ESXi 6.5, aplicar o patch ESXi650-202011401-SG.
• Para versões VMware Cloud Foundation ESXi 3.X e 4.X, não há patches de correção até o momento.
• Como solução de contorno, é necessário desabilitar o serviço OpenSLP através da interface de comando
[https://nvd.nist.gov/vuln/detail/CVE-2020-3992].
6. Referências
• Alerta CAIS RNP

o https://www.rnp.br/arquivos/documents/CAIS_Alerta_Multiplas_vulnerabilidades_cr%c3%adticas_e
m_plataformas.txt?RP7ZfG4CJoaecXaf6nsVXeWUXr_ovKuq=
• Adaptado das Recomendações confeccionadas pela Secretaria de Governo Digital SGD - Recomendações para
PREVENÇÃO dos Órgãos v.3 (06/11/2020, 18h35 - em PDF)
o https://portal.tcu.gov.br/fiscalizacao-de-tecnologia-da-informacao/atuacao/fiscalizacoes/auditoriasobre-backup/
• Lista de reputação IPs confeccionada pelo SERPRO

o http://reputation.serpro.gov.br/
• Microsoft Windows Elevação de privilégio (CVE-2020-1472)
• VMWare Execução remota de código (CVE-2020-3992)

o https://www.vmware.com/security/advisories/VMSA-2020-0023.html
• Execução remota de código (CVE-2019-5544)

https://www.vmware.com/security/advisories/VMSA-2019-0022.html
• RansomEXX:
o https://securelist.com/ransomexx-trojan-attacks-linux-systems/99279/
• Active Directory:
o https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securingprivileged-access-
reference-material
o https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472
Correção: https://msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
• VMWARE:
o https://www.vmware.com/security/advisories/VMSA-2020-0023.html
o https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3992
o https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5544
o Solução de Contorno: https://kb.vmware.com/s/article/76372
Página 25 de 34
• Artigo sobre uso de “arquivos canário”:

o https://www.researchgate.net/publication/240496151_CANARY_FILES_GENERATING_FAKE_FILES_T
O_DETECT_CRITICAL_DATA_LOSS_FROM_COMPLEX_COMPUTER_NETWORKS)
• Monitoração de “arquivos canário” com ferramenta livre Zabbix: chave de agente “vfs.file.cksum”:
o https://www.zabbix.com/documentation/current/manual/config/items/itemtypes/zabbix_agent
• Bases de reputação IP para referência e consulta:

o https://auth0.com/
o https://www.abuseipdb.com/
o https://www.virustotal.com/gui/
Página 26 de 34
ETIR.GOV - Medidas de prevenção
..:: Sugestões para o ambiente de INTERNET ::..
- Habilitar assinaturas de Ransomware no IPS;

- Ativar assinaturas de proteção para as CVEs: CVE-2020-1472;
- Bloquear Regras de acesso ANY para HTTP e HTTPS para internet;
- Restringir acesso WEB a destinos não especificados e com reputação comprometida, analisando os endereços IP ou domínios em
bases online;
- Identificar e bloquear (caso necessário) Endereços IP que estejam com volume de tráfego suspeito para a Internet;
..:: Sugestões para o ambiente de MONITORAÇÃO ::..
- Criação de “Arquivos Canário”, com checksum monitorado por ferramenta de infraestrutura

(Arquivos que seriam alterados apenas por um ransomware, mas nunca por um administrador ou script de sistema).
- Monitorar assinaturas de IPS e logs (SIEM) para eventos suspeitos de tentativas de escalação de privilégio, como exemplo da CVE
2020-1472 e conexões TCP Netlogon suspeitas com origem em redes externas.
..:: Sugestões para o ambiente de INTRANET ::..
- Garantir atualização dos endpoints e ativação das funcionalidades avançadas

- Bloqueios imediatos de arquivos com esta assinatura:
MD5 (svc-new/svc-new) = 4bb2f87100fca40bfbb102e48ef43e65
MD5 (notepad.exe) = 80cfb7904e934182d512daa4fe0abbfb
SHA1 (notepad.exe) = 9df15f471083698b818575c381e49c914dee69de
SHA1 (svc-new/svc-new) = 3bf79cc3ed82edd6bfe1950b7612a20853e28b09
- Verificar com o fabricante da solução de endpoint protection funcionalidades que podem ser habilitadas para proporcionar ou
aprimorar a proteção contra Ransomware;
- Ativar assinaturas de proteção para as CVEs: CVE-2020-1472, CVE-2019-5544 e CVE-2020-3992;
- Habitar, caso disponível, a funcionalidade de firewall e IPS de endpoint para identificar situações de exploração de vulnerabilidades
ou ações maliciosas de forma lateral, no ambiente de rede local;
- Verificar na solução de endpoint protection os registros de riscos de segurança e malwares identificados para tentar identificar um
possível vetor de ataque, e se prevenir de futuras ações;
- Verificar se os atualizações do sistema operacional e aplicações dos servidores e estações de trabalho foram realizadas;
- Se possível, desabilitar temporariamente mapeamentos de rede para tentar conter a propagação das ações de malware;
- Solicitar aos usuários realizar a troca de senha fazendo uso de uma política de senha previamente definida;
- Bloquear acessos à internet sem Filtro de Conteúdo (servidores e estações de trabalho) - (Curto prazo)
- Habilitar filtro de reputação no FCW para toda Rede
- Revisão dos acessos via Netbios e internet em todos os Firewalls
- Levantar e propor o bloqueio dos acessos de servidores à internet que não estejam usando filtro de conteúdo
- Cancelar, temporariamente os poderes dos Administradores do AD (Active Directory)
- Verificar usuários “logados” no AD, efetuar o sign out destes usuários.
- Lançar informes aos usuários que acessam VPN com estações particulares para atualizarem antivírus
..:: Sugestões para o ambiente de SERVIDORES E BACKUP ::..
- Caso os servidores possuam usuários locais configurados, desabilitá-los ou alterar a senha utilizadas por eles
- Desabilitar o CIM Server no VMware ESXi (76372)
https://kb.vmware.com/s/article/76372 (How to Disable/Enable CIM Server on VMware ESXi)
Página 27 de 34
..:: OUTRAS AÇÕES E SUGESTÕES ::..
- Revisar acessos privilegiados em todas as consoles de gerência (Firewall, IPS, Anti-DDoS, Filtro de Conteúdo, Virtualizadores e
ativos de rede)
- Verificar e apagar contas que não são utilizadas nos ativos
..:: CVEs e Referências possivelmente relacionados::..
Active Directory:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472
Correção:
https://msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
VMWARE:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3992
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5544
Solução de Contorno:
https://kb.vmware.com/s/article/76372
Artigo sobre uso de “arquivos canário”:

https://www.researchgate.net/publication/240496151_CANARY_FILES_GENERATING_FAKE
_FILES_TO_DETECT_CRITICAL_DATA_LOSS_FROM_COMPLEX_COMPUTER_NETWORKS)
Monitoração de “arquivos canário” com ferramenta livre Zabbix: chave de agente “vfs.file.cksum”:
https://www.zabbix.com/documentation/current/manual/config/items/itemtypes/zabbix_agent
Bases de reputação IP para referência e consulta:

https://auth0.com/
https://www.abuseipdb.com/
https://www.virustotal.com/gui/
- Vulnerabilidade do vCenter - How to Disable VMware Plugins in vCenter Server per VMSA-2021-0002, VMSA-2021-0010, VMSA-
2021-0010 (83829)
https://kb.vmware.com/s/article/83829
- Vulnerabilidades dos produtos vSphere (log4j) - VMware Response to Apache Log4j Remote Code Execution Vulnerabilities (CVE-
2021-44228, CVE-2021-45046)
Página 28 de 34
OUTRAS RECOMENDAÇÕES
 Definir uma política específica de controle de senhas administrativas de sistemas críticos, seguindo as melhores práticas;
 Adotar autenticação multifatorial para acesso a recursos administrativos, quando disponível;
 Efetuar campanhas de conscientização de usuários em relação a ataques de engenharia social, com especial atenção a tentativas de
phishing via e-mail;
 Implementar o princípio de privilégio mínimo, que garanta que usuários tenham o nível mínimo de acesso necessário para cumprir
suas tarefas;
 Atualizar os sistemas operacionais com os mais recentes patches de segurança;
 Monitorar continuamente os dispositivos conectados à rede corporativa, com especial atenção a atividades anômalas relacionadas a
processos de login;
 Efetuar a segmentação efetiva da rede, a fim de evitar a disseminação de códigos maliciosos; e
 Adotar políticas de execução de backup, além de procedimentos e testes de restauração.
Recomendamos, finalmente, o acesso aos links a seguir, que contêm detalhamentos técnicos acerca das medidas protetivas,
assinaturas para implementação em IDS/IPS e demais informações relacionadas ao tema:
- https://www.cisa.gov/uscert/ncas/alerts/aa21-291a
- https://pages.nist.gov/800-63-3/sp800-63b.html
- https://www.cisa.gov/stopransomware
- https://www.cisa.gov/cyber-hygiene-services
- https://www.cisa.gov/sites/default/files/publications/CISA_MS-ISAC_Ransomware%20Guide_S508C.pdf
Página 29 de 34
BASELINE SECURITY PRACTICES FALL SHORT

Fonte: Prevent Ransomware Attacks from Disrupting Your Business with Thales Data Security (White Paper)
• Security Awareness Training: training your employees to recognize suspicious phishing emails through simulation exercises to
defend against attack delivery. However, it only takes one employee to make the mistake of opening a phishing email and infecting
his company’s network.
• Deploy Secure Email/Web Gateways: This technique can be used to defend against ransomware attacks delivered through
email. However, security web/email gateways are unable to detect a new strain of malware, because it does not have the signature.
• Apply the Latest Software Patches: By regularly scanning all your systems and patching high priority vulnerabilities, helps defend
against holes exploited by a ransomware. However, ransomware can be delivered with day 0 methods, and it is difficult to guarantee
100% patched systems in our complex environments.
• Monitor DNS Queries: After a ransomware infects a server/endpoint, it typically calls home to a command and control (CnC) sever
to exchange encryption keys. Monitoring DNS queries to known ransomware domains (e.g. “killswitch”) and resolving them to internal
sinkholes can prevent ransomware from encrypting files. However, DNS servers are unable to block any unknown CnC domains used
by new ransomware attacks. In addition, modern ransomware attacks account for DNS monitoring and take evasive actions.
• Backup Your Critical Data Regularly: There still may be times when all your security defenses fall short, and the ransomware
attack succeeds in encrypting all your business critical data. The best way to recover from a ransomware attack is to maintain a secure
backup and also have a clear recovery plan that enables you to restore your business critical data. However, restoration is expensive
and time consuming. In addition, you still need to determine if the malware is still in your system, and you need to identify and close
the entry point, or restoration will only be a temporary fix.
• Fine-grain Access Control to your business critical data, which defines who (user/group) has access to specific protected files/
folders and what operations (encrypt/decrypt/read/write/directory list/execute) they can perform. Some malware depends on
escalating privileges to gain great system access. Appropriate access control solutions can bar privileged users from examining and
even accessing resources.
Página 30 de 34
PRODEST - SUGESTÕES ADICIONAIS E PROVIDÊNCIAS
 Permitir acessos remotos apenas via VPN (especialmente funcionários em trabalho remoto).
 Suspender acessos remotos que não sejam absolutamente necessários.
 Habilitar autenticação de dois fatores para VPN.
 Não deixar o serviço de acesso remoto do Windows (Remote Desktop Protocolo - Porta TCP/3389) publicado para Internet. Várias
vulnerabilidades críticas estão relacionadas a este serviço (acessos não autorizados, worms, ransomware etc.). Assim,
recomendamos desabilitá-lo imediatamente, caso não esteja sendo utilizado com as devidas medidas de segurança. Do contrário,
será apenas uma questão de tempo para que este servidor seja alvo de ataques direcionados. Em tempo: alterar a porta de
publicação do serviço não evitará a ocorrência de incidentes. Para mais detalhes sobre as vulnerabilidades do RDP e boas práticas
para sua implementação, gentileza consultar as bases de conhecimento da Microsoft e sites especializados.
 Restringir o acesso às portas TCP/22 (SSH) TCP/445 (Microsoft-DS - Active Directory, Windows shares, vírus Sasser, Agobot,
Zobotworm).
Medidas adicionais recentemente tomadas pela Prodest, além daquelas já praticadas em seus processos diários:
 Reforço no mecanismo de proteção de dados, com configuração de snapshots das áreas de armazenamento para salvaguarda de
dados de 7 dias, independente de solicitação dos clientes.
 Aprimoramento de método de autenticação e autorização de acesso a componentes críticos de infraestrutura.
 Nova revisão de credenciais de acesso e autorizações.
Porém, considerando que grande parte dos servidores virtuais são geridos pelos próprios órgãos, cuja segurança depende da ação dos
respectivos gestores de TI, reiteramos a necessidade de que esses servidores sejam mantidos atualizados, bem como que sejam revistas
as regras de publicação para a Internet que possibilitem acessos indesejados.
Nenhuma medida técnica será eficaz sem a conscientização dos usuários quanto ao uso seguro dos recursos de TIC (tais como aqueles
relacionados a phishing scam, vírus, sites maliciosos etc.) e atenção a possíveis abordagens envolvendo ataques de engenharia social.
CISA.GOV
AVOIDING RANSOMWARE ATTACKS
IMPLEMENT DETECTION SIGNATURES
 Implement the detection signatures identified above. These signatures will identify and block placement of the ransom
note on the first share that is encrypted, subsequently blocking additional SMB traffic from the encryptor system for 24
hours.
USE STRONG PASSWORDS
 Require all accounts with password logins (e.g., service account, admin accounts, and domain admin accounts.) to
have strong, unique passwords. Passwords should not be reused across multiple accounts or stored on the system
where an adversary may have access. Note: devices with local administrative accounts should implement a password
policy that requires strong, unique passwords for each individual administrative account.
Página 31 de 34
IMPLEMENT MULTI-FACTOR AUTHENTICATION
 Require multi-factor authentication for all services to the extent possible, particularly for webmail, virtual private
networks, and accounts that access critical systems.
PATCH AND UPDATE SYSTEMS
 Keep all operating systems and software up to date. Timely patching is one of the most efficient and cost-effective
steps an organization can take to minimize its exposure to cybersecurity threats.
LIMIT ACCESS TO RESOURCES OVER THE NETWORK
 Remove unnecessary access to administrative shares, especially ADMIN$ and C$. If ADMIN$ and C$ are deemed
operationally necessary, restrict privileges to only the necessary service or user accounts and perform continuous
monitoring for anomalous activity.
 Use a host-based firewall to only allow connections to administrative shares via SMB from a limited set of administrator
machines.
IMPLEMENT NETWORK SEGMENTATION AND TRAVERSAL MONITORING
Adversaries use system and network discovery techniques for network and system visibility and mapping. To limit an adversary from
learning the organization’s enterprise environment, limit common system and network discovery techniques by taking the following
actions:
 Segment networks to prevent the spread of ransomware. Network segmentation can help prevent the spread of
ransomware by controlling traffic flows between—and access to—various subnetworks and by restricting adversary
lateral movement.
 Identify, detect, and investigate abnormal activity and potential traversal of the indicated ransomware with a
networking monitoring tool. To aid in detecting the ransomware, implement a tool that logs and reports all network
traffic, including lateral movement activity on a network. Endpoint detection and response (EDR) tools are particularly
useful for detecting lateral connections as they have insight into common and uncommon network connections for each
host.
USE ADMIN DISABLING TOOLS TO SUPPORT IDENTITY AND PRIVILEGED ACCESS MANAGEMENT
If ransomware uses compromised credentials during non-business hours, the compromise may not be detected. Given that there has
been an observed increase in ransomware attacks during non-business hours, especially holidays and weekends, CISA, the FBI, and NSA
recommend organizations:
 Implement time-based access for accounts set at the admin-level and higher. For example, the Just-in-Time (JIT) access
method provisions privileged access when needed and can support enforcement of the principle of least privilege (as
well as the Zero Trust model). This is a process where a network-wide policy is set in place to automatically disable
admin accounts at the AD level when the account is not in direct need. When the account is needed, individual users
submit their requests through an automated process that enables access to a system, but only for a set timeframe to
support task completion.
 Disable command-line and scripting activities and permissions. Privilege escalation and lateral movement often
depend on software utilities that run from the command line. If threat actors are not able to run these tools, they will
have difficulty escalating privileges and/or moving laterally.
IMPLEMENT AND ENFORCE BACKUP AND RESTORATION POLICIES AND PROCEDURES
Página 32 de 34
 Maintain offline backups of data, and regularly maintain backup and restoration. This practice will ensure the
organization will not be severely interrupted, have irretrievable data, or be held up by a ransom demand.
 Ensure all backup data is encrypted, immutable (i.e., cannot be altered or deleted) and covers the entire organization’s
data infrastructure.
CISA, the FBI, and NSA urge critical infrastructure organizations to apply the following additional mitigations to reduce the risk of
credential compromise:
 Disable the storage of clear text passwords in LSASS memory.

 Consider disabling or limiting New Technology Local Area Network Manager (NTLM) and WDigest Authentication.
 Implement Credential Guard for Windows 10 and Server 2016 (Refer to Microsoft: Manage Windows Defender
Credential Guard for more information). For Windows Server 2012R2, enable Protected Process Light for Local Security
Authority (LSA).
 Minimize the AD attack surface to reduce malicious ticket-granting activity. Malicious activity such as “Kerberoasting”
takes advantage of Kerberos’ Ticket Granting service and can be used to obtain hashed credentials that attackers
attempt to crack.
 Set a strong password policy for service accounts.

 Audit Domain Controllers to log successful Kerberos Ticket-Granting Service requests and ensure the events are
monitored for anomalous activity.
Refer to the CISA-Multi-State information and Sharing Center (MS-ISAC) Joint Ransomware Guide for general mitigations to prepare for
and reduce the risk of compromise by ransomware attacks.
Note: critical infrastructure organizations with industrial control systems/operational technology networks should review joint CISA-FBI
Cybersecurity Advisory AA21-131A: DarkSide Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks
for more mitigations, including mitigations to reduce the risk of severe business or functional degradation should their entity fall victim
to a ransomware attack.
Página 33 de 34
RESPONDING TO RANSOMWARE ATTACKS

If a ransomware incident occurs at your organization, CISA, the FBI, and NSA recommend:
 Following the Ransomware Response Checklist on p. 11 of the CISA-Multi-State Information Sharing and Analysis
Center (MS-ISAC) Joint Ransomware Guide.
 Scanning backups. If possible, scan backup data with an antivirus program to check that it is free of malware.
 Reporting incidents immediately to the FBI at a local FBI Field Office, CISA at us-cert.cisa.gov/report, or the U.S. Secret
Service at a U.S. Secret Service Field Office.
 Applying incident response best practices found in the joint Advisory, Technical Approaches to Uncovering and
Remediating Malicious Activity, developed by CISA and the cybersecurity authorities of Australia, Canada, New Zealand,
and the United Kingdom.
Note: CISA, the FBI, and NSA strongly discourage paying a ransom to criminal actors. Paying a ransom may embolden adversaries to
target additional organizations, encourage other criminal actors to engage in the distribution of ransomware, and/or may fund illicit
activities. Paying the ransom also does not guarantee that a victim’s files will be recovered.
Resources
For more information and resources on protecting against and responding to ransomware, refer to StopRansomware.gov, a
centralized, whole-of-government webpage providing ransomware resources and alerts.
CISA’s Ransomware Readiness Assessment (RRA) is a no-cost self-assessment based on a tiered set of practices to help
organizations better assess how well they are equipped to defend and recover from a ransomware incident.
CISA offers a range of no-cost cyber hygiene services to help critical infrastructure organizations assess, identify, and reduce their
exposure to threats, including ransomware. By requesting these services, organizations of any size could find ways to reduce their risk
and mitigate attack vectors.
Página 34 de 34

Guia Contra Ransomware V - 1 (Prodest)

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Guia Contra Ransomware V - 1 (Prodest)

Enviado por

Direitos autorais:

Formatos disponíveis

GUIA CONTRA

Parte 1: Medidas de prevenção anti-ransomware

O público deste guia inclui profissionais de tecnologia da

Melhores práticas relacionadas a autenticação

Figura 1. Exemplo de diagrama de rede

Figura 2. Rede não segmentada Figura 3. Rede segmentada

Contato de apoio Referências em ransomware

PRI - Plano de Resposta a incidentes

Para ser eficaz, um PRI precisa das seguintes informações:

Este é um modelo de PRI utilizado pela Prodest: drive.es.gov.br/public/pri-modelo--en.

PRD - Plano de Recuperação de Desastres

Este é um modelo de PRD adotado pela Prodest: drive.es.gov.br/public/prd-modelo--en.

Dependendo dos ativos tecnológicos ou serviços afetados por um

Por estas razões, esses mapas devem se encontrar atualizados e

O modelo de matriz abaixo se encontra na planilha disponível para download em drive.es.gov.br/public/planilha--en.

Recomenda-se que a base de contatos possua as seguintes informações:

O modelo de lista de contatos abaixo se encontra na planilha disponível em drive.es.gov.br/public/planilha--en.

□ 1. Determine quais sistemas foram impactados e isole-os imediatamente.

Recuperação e atividades pós-incidente

Windows Server 2008 R2 (todas as versões)

As seguintes práticas são recomendadas para mitigar o risco a essa ameaça:

1. Habilitar assinaturas de Ransomware no IPS;

1. Garantir atualização dos endpoints e ativação das funcionalidades avançadas

2. (CRÍTICA) Bloqueios imediatos de arquivos com estas assinaturas:

4. (CRÍTICA) Ativar assinaturas de proteção para as CVEs: CVE-2020-1472, CVE-2019-5544 e CVE-2020-3992;

11. Habilitar filtro de reputação no FCW para toda Rede

14. Cancelar, temporariamente os poderes dos Administradores do AD (Active Directory)

AMBIENTE DE SERVIDORES E BACKUP

1. (CRÍTICA) Desabilitar ou alterar a senha de usuários locais em servidores, caso existam;

2. (CRÍTICA) Desabilitar o CIM Server no VMware ESXi (76372)

5. (CRÍTICA) Separar as contas de administração e administração de Domain (Domain Admin);

7. (CRÍTICA) Criar auditoria de contas administrativas de Domínio.

EM CASO DE ALTERAÇÕES DO ARQUIVO DE TESTE “ArquivoCanário”

6. Atividades adicionais dependentes das evidências encontradas:

- Identificadas evidências de comprometimento de credenciais

- Identificadas evidências de exploração de vulnerabilidades

- Identificadas evidências de endereços de origem dos ataques

2. Verificar e apagar contas que não são utilizadas nos ativos.

 Não clicar em links de e-mails suspeitos;

 Evitar a visita a websites que oferecem downloads de programas pirateados ou suspeitos;

 Isolar a máquina da rede ao primeiro sinal de infecção por Malware;

a) Que haja uma política de backup (cópia de segurança) definida;

o Aplicar a atualização KB4571702 de 11 de agosto de 2020.

• Alerta CAIS RNP

• Lista de reputação IPs confeccionada pelo SERPRO

• Microsoft Windows Elevação de privilégio (CVE-2020-1472)

• VMWare Execução remota de código (CVE-2020-3992)

• Execução remota de código (CVE-2019-5544)

• Artigo sobre uso de “arquivos canário”:

• Bases de reputação IP para referência e consulta:

ETIR.GOV - Medidas de prevenção

..:: Sugestões para o ambiente de INTERNET ::..

- Habilitar assinaturas de Ransomware no IPS;

..:: Sugestões para o ambiente de MONITORAÇÃO ::..

- Criação de “Arquivos Canário”, com checksum monitorado por ferramenta de infraestrutura

..:: Sugestões para o ambiente de INTRANET ::..

- Garantir atualização dos endpoints e ativação das funcionalidades avançadas

..:: Sugestões para o ambiente de SERVIDORES E BACKUP ::..

..:: OUTRAS AÇÕES E SUGESTÕES ::..

..:: CVEs e Referências possivelmente relacionados::..

Artigo sobre uso de “arquivos canário”:

Bases de reputação IP para referência e consulta:

BASELINE SECURITY PRACTICES FALL SHORT