Recomendações da Agência de Segurança Cibernética da Catalunha contra ataques de ransomware

O Agência de Cibersegurança da Catalunha identificou um aumento nos incidentes de ransomware direcionados a prefeituras em todo o país nas últimas semanas. Esse tipo de ataque visa bloquear os sistemas da entidade criptografando suas informações, solicitando um resgate para sua restauração ou para a recuperação de dados. Esse resgate geralmente é de um valor alto e é solicitado em criptomoedas (geralmente bitcoin).

O “modus operandi” mais recente para realizar esses ataques é realizar invasões manuais nos sistemas de computadores da prefeitura. Eles geralmente aproveitam o acesso à Internet exposto e sistemas de trabalho remoto (teletrabalho), como VPNs, RDP ou Citrix, usando credenciais roubadas anteriormente ou explorando vulnerabilidades nessas mesmas tecnologias. Uma vez na rede interna, se necessário, eles roubam usuários privilegiados usando software malicioso, para espalhar o ransomware definitivo do próprio controlador de domínio ou dos servidores de virtualização.

Por estas razões, as principais recomendações que devem ser aplicadas são as seguintes:

  • Recomendadousar autenticação multifator (MFA) a sistemas e aplicativos expostos publicamente, a fim de reduzir a possibilidade de invasores acessarem inicialmente a rede por meio do uso de credenciais previamente comprometidas.
  • Aumentar a conscientização da equipe sobre segurança cibernética dificulta a entrada de invasores na rede das organizações. Os atores têm menos capacidade de implantar ransomware se não puderem acessar a rede.
  • Isso é também é essencial manter todos os sistemas e aplicativos atualizados, especialmente aqueles expostos publicamente (serviços VPN, sistemas operacionais de máquinas relacionados ao teletrabalho, etc.).

Apesar da aplicação das medidas preventivas mencionadas, nenhuma rede é 100% segura. Quando os cibercriminosos conseguem ficar online, há uma série de boas práticas que dificultam o movimento lateral e a escalada de privilégios. O objetivo dos invasores é controlar o maior número possível de sistemas, e a maneira mais comum de obtê-los é por meio de uma conta de administrador de domínio ou do próprio controlador de domínio.

  • Somente o pessoal de administração de TIC deve teracesso a contas de administrador. Assim, o número de contas de administrador deve ser mantido o menor possível, aplicando o princípio de privilégio mínimo, reduzindo a chance de um invasor obter uma conta privilegiada.
  • Além disso, a equipe de administração de TIC eles não devem fazer login com contas de administrador a outros computadores e estações de trabalho comumente usados. Qualquer computador na organização pode ser comprometido e o invasor pode extrair as credenciais usadas nele (por exemplo, usando Mimikatz) e obter acesso a uma conta de administrador.
  • Uma estratégia de segmentação de rede é outra boa prática que dificultaria o movimento lateral.

Por fim, e como regra de ouro diante das ameaças de ransomware, é de extrema importância ter uma boa estratégia de backup.

  • O impacto de um ataque de ransomware bem-sucedido é bastante reduzido quandoum backup recente isolado da rede (air-gapped) ou em um local externo. Nesse cenário, em vez da perda total de informações ou do alto custo econômico do pagamento do resgate, é provável que se reduza à indisponibilidade temporária do serviço ao gerenciar a infecção e recuperar os dados.

A Agência Catalã de Cibersegurança, graças ao CATALONIA-CERT, tem uma alta capacidade de resposta que lhe permite atuar de forma coordenada, em tempo e forma para minimizar o impacto dos incidentes de cibersegurança que ocorrem em todo o território. Em caso de sinistro, contacte-nos através do telefone 900 112 444 ou por e-mail para cert@ciberseguretat.cat.

No ano passado, a Agência de Cibersegurança da Catalunha definiu um serviço específico de cibersegurança para a administração local, que visa oferecer novas capacidades de proteção e resposta a ameaças e incidentes de cibersegurança e, assim, evitar ataques como os que são objeto deste comunicado de imprensa. Espera-se que este serviço esteja operacional no início do segundo trimestre de 2021, no entanto, a seguinte caixa de correio foi criada. security.aall@ciberseguretat.cat para resolver quaisquer dúvidas ou questões a este respeito.

X