Ataques a órgãos públicos: o que podemos aprender com eles?
O CTIR Gov, Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo, emitiu um primeiro alerta sobre os problemas de segurança em órgãos públicos no sábado, 7 de novembro. O alerta, que pode ser acessado em https://www.ctir.gov.br/arquivos/alertas/2020/alerta_2020_03_ataques_de_ransomware.pdf, discorre sobre a campanha de ransomware que atingiu (e ainda atinge) vários órgãos do governo, tendo causado grande impacto no STJ.
O cenário apresentado é bastante crítico pois afeta não só os sistemas operacionais Windows Server, mas também a plataforma de virtualização VMWare. Ao explorar estas vulnerabilidades, o atacante consegue elevação de privilégio (de forma simplificada permite a execução de códigos como se fossem executados por outro login, por exemplo um administrador) e execução remota de código (execução de código com privilégios de administrador sem a necessidade de autenticação na máquina).
O documento apresenta uma coletânea de outros reports de incidentes relacionados e ações que devem ser adotados nas redes do governo (e podem servir de base para ações em redes corporativas) para mitigação do problema.
RansomEXX
De acordo com análises de especialistas de segurança, o malware RansomEXX é o responsável pelo ataque. O RansomEXX é utilizado em ataques individualizados, com e-mails de contato e trechos de código contendo o nome da organização vítima.
Como o RansomEXX tem como objetivo principal apenas a criptografia dos dados, diferentemente de outras cepas de ransomware atuais que se valem de acesso a sites de comando e controle para lhes dizer o que fazer, é muito provável que o atacante tenha tido tempo suficiente dentro da rede do órgão para analisá-la, identificar como se movimentar dentro da rede (movimentação lateral), conseguir as permissões necessárias e só então lançar o ataque ransomware.
Para aumentar o potencial de ataque, uma versão para servidores com Sistema Operacional Linux já estaria em circulação.
SonarQube
O problema de segurança do ambiente do governo não estava restrito apenas ao ataque RansomEXX. Conforme alerta do FBI de 3 de novembro (enviado de forma sigilosa ao governo brasileiro em 14 de outubro), máquinas identificadas como sendo do STF estavam expostas na internet a partir de uma instalação do SonarQube configurada de forma frágil.
O alerta inicial sigiloso do FBI se deve ao fato de que esta mesma vulnerabilidade foi utilizada para exfiltrar (extrair ilegalmente dados de um ambiente) códigos fontes do governo e de grandes empresas dos EUA.
O SonarQube é uma ferramenta de verificação de segurança de desenvolvimento de código instalada localmente na empresa e que se conecta a servidores de versionamento de código, como o GitHub. Segundo o pesquisador Bob Diachenko, entre 30% e 40% das instalações do SonarQube estariam vulneráveis. O alerta do FBI cita como vulnerabilidade o uso das credenciais padrão admin/admin na porta 9000, sem bloqueio de acesso externo.
Como proteger meu ambiente
Mantenha os sistemas operacionais de seus servidores atualizados de acordo com as últimas versões disponibilizadas pelos fabricantes.
Mantenha atualizadas as versões de seu firewall e de suas soluções de endpoints.
Restrinja o acesso a servidores e estações de trabalho dentro da sua rede ao menor grau possível. Se o acesso externo for necessário, isole estes servidores de modo que caso sejam impactados, o atacante não consiga se deslocar dentro de sua rede. Use o firewall para o acesso a estes e destes servidores, mesmo dentro de sua rede.
Reveja a política de navegação de seus usuários. Restrinja o acesso a sites com baixa reputação.
Reforce o treinamento de seu time sobre phishing.
Restrinja o acesso as portas de administração de ambiente, como 427 em ambientes virtualizados.
Sempre que possível utilize duplo fator de autenticação (2FA).
Se sua empresa está pensando em melhorar a segurança corporativa, venha bater um papo com nosso time e construirmos juntos as melhores soluções para seu negócio.
Ligue para 21 2029-0034, envie um e-mail para contato@tigatecnologia.com ou informe seus dados em nossa página fale conosco que entraremos em contato.