Segurança

ABIN e CTIR Gov lançam alerta contra Ransomware NoEscape

A Agência Brasileira de Inteligência (ABIN) e o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) emitiram um alerta conjunto para alertar sobre o impacto do Ransomware NoEscape e solicitam informação imediata em caso de ataque. Os órgãos advertem que o NoEscape apresenta semelhantes Táticas, Técnicas e Procedimentos (TTPs) de outra ameaça, o Avaddon Ransomware. Algumas publicações o consideram uma evolução do Avaddon, cuja campanha durou de junho de 2020 a junho de 2021, que comprometeu ao menos três mil vítimas e terminou após atrair atenção de forças de segurança.

À Adiministração direta e indireta, ABIN e CTIR Gov informam que o NoEscape é um Ransomware-as-a-Service (RaaS), proporcionando criação e gestão de artefatos para ataques a sistemas Windows e Linux. O modo de atuação é similar ao de outros RaaS atuais: além da encriptação dos arquivos e exigência de pagamento para sua recuperação, há a exposição pública das vítimas em sites na Dark Web, exfiltração e vazamento de dados sensíveis e, em alguns casos, ataques distribuídos de negação de serviço (DDoS) e Spam via telefone, e-mail e mensagens SMS.

Em ataque recente, as seguintes ações maliciosas precederam a execução propriamente dita do Ransomware NoEscape:

Comprometimento de servidor de e-mails Microsoft Exchange desatualizado. Foram implantados dois webshells nesse servidor que permitiram acesso inicial à rede da vítima;

Emprego das ferramentas “Anydesk” e “Screenconnect” para baixar outros artefatos utilizados para dar prosseguimento ao ataque. Ambos são softwares legítimos usados para acesso remoto a computadores, comumente utilizados por atores maliciosos para evasão de ferramentas de defesa;


Uso da rede Tor para conexão a canais de Comando e Controle;

Emprego do Cobalt Strike para Comando e Controle;

Emprego das ferramentas “NetRouteView” e “Nmap” para reconhecimento da rede da vítima;

Uso de versão de “Mimikatz” denominada “Safetykatz” para obtenção de credenciais em computadores comprometidos;

Utilização da ferramenta “7Zip” para compactar dados e a ferramenta “RClone” para exfiltração dos dados da rede da vítima;

Utilização da ferramenta “PowerRun” para executar outros artefatos com privilégios elevados; e

Utilização de scripts “.bat” executados remotamente com WMI, ferramenta administrativa do Windows, para parar a execução de softwares de segurança (antivírus, firewalls, proteção de endpoint) e para apagar backups automatizados do Windows (volume shadows).

O CTIR Gov reforça às instituições da Administração Pública Federal (APF) e demais entidades/instituições a necessidade da adoção das seguintes medidas de mitigação e prevenção:

Implementar uma política de execução de backup que descreva os procedimentos e testes de restauração, com previsão de locais fisicamente segmentados e seguros para armazenamento de mídias e plano de recuperação;

Manter ações de atualização de Sistemas Operacionais, Softwares e Firmwares, de modo a minimizar a exposição a ameaças. Especial atenção deve ser dada à atualização do software antivírus, que deve estar habilitado para detecção em tempo real em todos os endpoints viáveis;

Assegurar a execução da Política de Controle de Senhas da organização. Recomenda-se observar as recomendações sobre processos de autenticação, ciclo de vida de autenticadores e controle de acesso lógico, disponível em https://pages.nist.gov/800-63-3/sp800-63b.html;

Adotar uma política de senhas fortes em conjunto com o uso de autenticação de multifator (MFA) para todos os serviços críticos que disponibilizem este recurso, principalmente em e-mail e redes virtuais privadas (VPN);

Elaborar plano de tratamento e resposta a incidentes, com o devido treinamento de sua execução, para a promoção de ações imediatas; e

Reforçar campanhas de conscientização e educação de usuários sobre ameaças recebidas por e-mail, de modo a identificar ataques de engenharia social e prevenir infecções por malware.

Botão Voltar ao topo