O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) alertou à administração pública o aumento de ações envolvendo ransomware no Brasil, particularmente o malware Lockbit e suas variantes 2.0 e 3.0. O Lockbit é um malware do tipo ransomware que tem o objetivo de criptografar os dados das vítimas com intuito de solicitar resgate. Ele funciona como Ransomware-as-a-Service (RaaS), ou seja, um adversário pode contratar uma versão personalizada do malware, desde que entregue parte dos valores advindos dos ataques com o grupo que desenvolve o artefato malicioso.
De acordo com o CTIR Gov, o Lockbit se difere de outros tipos ransomware, porque ele é capaz de, a partir de uma infecção inicial, realizar várias táticas, técnicas e procedimentos para concluir seu objetivo. Como executar escaneamento de rede, escalação de privilégio, enumeração de usuários e privilégios, autopropagação e exploração de vulnerabilidades, tudo isso de maneira automatizada. Esse malware busca aprofundar a intrusão ao máximo na rede, antes de começar a criptografar os arquivos.
A ameaça, prossegue o CTIR Gov, indica que conceitos clássicos como “perímetro de segurança”, que segmenta a rede corporativa da Internet, não são suficientes para fazer frente a esse tipo de ataque. O Lockbit explora fraquezas das redes internas das organizações para se propagar e causar o máximo impacto. O comprometimento inicial ocorre de diversas formas, desde o já conhecido “Phishing”, até a cooptação de colaboradores das organizações (insiders) mediante pagamento de vantagens financeiras.
O órgão de seguranç indica:
– Manter os sistemas operacionais atualizados;
– Manter sempre um backup off-line, e usuários administradores diferentes dos gestores de domínios;
– Procure regularmente por vulnerabilidades em sua rede;
– Aplique o princípio do privilégio mínimo;
– Limite a utilização de serviços de acesso remoto, como RDP por exemplo;
– Utilize senhas fortes;
– Implemente autenticação de múltiplo fator (MFA); e
– Limite a disponibilidade das ferramentas Mimikatz, WinSCP, Microsoft Sysinternals PsExec e SoftPerfect Network Scanner.
