Governo alerta para ransomware em servidores Microsoft Exchange vulneráveis
O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Governo (CTIR Gov) recebeu atualizações sobre ataques do “Play Ransomware”, descoberto em novembro do ano passado.
O grupo “Play Ransomware” tem aprimorado sua capacidade de exploração por meio da incorporação de novas ferramentas e códigos maliciosos, explorando vulnerabilidades como ProxyNotShell, OWASSRF e Execução Remota de Código (RCE) contra servidores Microsoft Exchange vulneráveis. O acesso inicial normalmente utiliza credenciais válidas, abuso de servidores RDP expostos e a exploração das vulnerabilidades.
O CTIR Gov solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições que:
Sejam adotadas as medidas necessárias para a correção das vulnerabilidades listadas nas CVEs listadas no item 3 deste Alerta;
Seja avaliado o Alerta Conjunto “AA23-352A” e tomadas as ações elencadas na seção “MITIGATIONS” do documento publicado em:
https://www.cisa.gov/sites/default/files/2023-12/aa23-352a-stopransomware-play-ransomware.pdf
Sejam utilizados os indicadores de comprometimento disponíveis no arquivo anexo nas ferramentas de segurança, com a finalidade de auxiliar na proteção das infraestruturas contra a ameaça; e
Seja analisada a seção “TECHNICAL DETAILS” do PDF, que detalha as técnicas usadas pelo grupo, bem como relaciona as ferramentas utilizadas em ataques, sendo de grande importância para o entendimento da ameaça e a tomada das ações de prevenção relacionadas.
O Centro de Prevenção a ataques cibernéticos do Governo solicita também que as ETIR reportem imediatamente ao CTIR Gov qualquer indício de comprometimento relacionado à ameaças de Ransomware.