Alerta de Segurança: Ransomware Rhysida – Medidas de Prevenção e Proteção

No cenário atual de ameaças cibernéticas, é essencial estar ciente das últimas tendências e atores maliciosos. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) tem acompanhado de perto as ações do ransomware Rhysida, um ator de ameaça que tem causado impacto em diversos setores, incluindo educação, saúde, indústria e governo. Neste artigo, discutiremos as características e os vetores de ataque do Rhysida, além de fornecer medidas de prevenção e proteção para mitigar os riscos. 

O Rhysida opera no modelo de Ransomware-as-a-Service (RaaS), buscando alvos de oportunidade em diferentes setores. Utilizando vetores de acesso como abuso de acessos remotos, exploração da vulnerabilidade Zerologon (CVE-2020-1472) e phishing com anexos maliciosos, o Rhysida invade e persiste nas redes-alvo. Para evitar detecção, o ransomware estabelece conexões RDP, realiza movimentação lateral e reconfiguração do acesso VPN, além de usar o PowerShell para executar suas ações maliciosas. O Rhysida criptografa os dados da rede usando uma chave de criptografia RSA de 4096 bits com algoritmo ChaCha20 e, além disso, exfiltra dados para realizar uma dupla extorsão. 

Diante dessa ameaça em constante evolução, é fundamental adotar medidas de prevenção e proteção para mitigar os riscos de infecção pelo ransomware Rhysida. O CTIR Gov reforça a importância dessas medidas para as instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições a implementá-las. Aqui estão algumas medidas recomendadas: 

– Implemente uma política de execução de backup que inclua procedimentos e testes de restauração. Os backups devem ser armazenados em locais fisicamente segmentados e seguros, com um plano de recuperação bem definido. 

– Utilize a segmentação de redes para prevenir a disseminação do ransomware e restringir movimentos laterais. Além disso, adote ferramentas de detecção e resposta de endpoint (EDR) para identificar atividades maliciosas ou anormais. 

– Mantenha seus sistemas operacionais, softwares e firmwares atualizados para minimizar a exposição a ameaças. Dê especial atenção à atualização do software antivírus, que deve estar habilitado para detecção em tempo real em todos os endpoints. 

– Assegure a execução da Política de Controle de Senhas da organização, seguindo as recomendações sobre processos de autenticação, ciclo de vida de autenticadores e controle de acesso lógico disponíveis em NIST Special Publication 800-63B . 

– Adote a autenticação de multifator (MFA) para todos os serviços críticos, principalmente em e-mails e redes virtuais privadas (VPN). 

– Restrinja o uso do PowerShell para reduzir a superfície de ataque. 

– Mantenha backups off-line, testados e livres de infecção. 

– Reforce campanhas de conscientização e educação dos usuários sobre ameaças recebidas por e-mail, a fim de identificar ataques de engenharia social e prevenir infecções por malware. 

O ransomware Rhysida representa uma ameaça significativa para organizações de diversos setores. Ao adotar medidas de prevenção e proteção, como as mencionadas acima, é possível reduzir os riscos de infecção e minimizar o impacto de ataques cibernéticos. Esteja sempre atualizado sobre as últimas ameaças e siga as melhores práticas de segurança cibernética para proteger sua organização contra o ransomware Rhysida e outras ameaças em constante evolução. 

Fonte: gov.br