Rhysida: ransomware avança e acende sinal amarelo no Governo
O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) fez um alerta para as as ações maliciosas de Ransomware, particularmente ao Rhysida.
O órgão solicita às ETIR (órgãos que têm a missão de receber, analisar e responder as notificações e atividades relacionadas a incidentes de segurança) notifiquem imediatamente o CTIR Gov sobre comprometimentos relacionados a ataques de Ransomware, informando IOC’s (Indicadores de Comprometimento) e TTP’s (Técnicas, Táticas e Procedimentos).
De acordo com as publicações de parceiros internacionais, o ransomware Rhysida busca alvos de oportunidade. As ações envolveram diversos setores, como: educação, saúde, industria e governo. Com base em inteligência de fontes abertas (OSINT), o Rhysida atua no modelo de Ransomware-as-a-Service (RaaS).
Como vetor de acesso, o Rhysida tem se utilizado do abuso de acessos remotos, invadindo e persistindo na rede alvo, particularmente abusando de credenciais vazadas de VPN. Além desse vetor, fontes indicam a exploração da vulnerabilidade Zerologon (CVE-2020-1472) e phishing com anexos de conteúdo malicioso.
Para ofuscar a ação e evitar a detecção, o Rhysida estabelece conexões RDP visando a movimentação lateral e a reconfiguração do acesso VPN e o uso do PowerShell. Após a enumeração, criptografa os dados da rede usando chave de criptografia RSA de 4096 bits com algoritmo ChaCha20. Além da criptografia de dados, também exfiltra dados para realizar uma dupla extorsão.
O CTIR Gov reforça às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições a necessidade da adoção das seguintes medidas de prevenção:
Implementar uma política de execução de backup que descreva os procedimentos e testes de restauração. Deve prever locais fisicamente segmentados e seguros para armazenamento de mídias, além de incluir um plano de recuperação;
Utilizar o conceito de segmentação de redes como ação de prevenção contra disseminação de ransomware e restrição de movimentos laterais. Em complemento, deve utilizar ferramentas de detecção e resposta de endpoint (EDR) para detectar atividades maliciosas ou anormais;
Manter ações de atualização de Sistemas Operacionais, Softwares e Firmwares, de modo a minimizar a exposição a ameaças. Especial atenção deve ser dada à atualização do software antivírus, que deve estar habilitado para detecção em tempo real em todos os endpoints, onde for viável;
Assegurar a execução da Política de Controle de Senhas da organização.
Adotar autenticação de multifator (MFA) para todos os serviços críticos que disponibilizem este recurso, principalmente em e-mail e redes virtuais privadas (VPN);
Restrição do uso do PowerShell;
Manutenção de backups off-line, testados e limpos; e
Reforçar campanhas de conscientização e educação de usuários sobre ameaças recebidas por e-mail, de modo a identificar ataques de engenharia social e prevenir infecções por malware.