Ir para o Conteúdo 1 Ir para a Página Inicial 2 Ir para o menu de Navegação 3 Ir para a Busca 4 Ir para o Mapa do site 5
Abrir menu principal de navegação
CTIR Gov - Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo
Termos mais buscados
  • imposto de renda
  • inss
  • assinatura
  • cnh social
  • enem
Termos mais buscados
  • imposto de renda
  • inss
  • assinatura
  • Acesso à Informação
    • Institucional
      • Apresentação
      • Competências
      • Base Jurídica
      • Organograma
      • Histórico
      • Quem é quem
    • Ações e Programas
    • Auditorias
    • Consulta Pública
    • Convênios e Transferências
    • Dados Abertos
    • Informações Classificadas
    • Licitações e Contratos
    • Participação Social
    • Perguntas Frequentes
    • Portal Brasileiro de Dados Abertos
    • Receitas e Despesas
    • Servidores
    • Serviço de Informação ao Cidadão
  • Assuntos
    • Abrangência Operacional (Constituency)
    • Alertas e Recomendações
      • Alertas
      • Recomendações
    • Ascender Defesas
    • Base Normativa
      • Instrução Normativa GSI Nº 1, de 27 de maio de 2020
      • Norma Complementar nº 05/IN01/DSIC/GSIPR
      • Norma Complementar nº 08/IN01/DSIC/GSIPR
      • Norma Complementar nº 21/IN01/DSIC/GSIPR
      • Demais Normativos e Legislações
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
      • Colóquios
      • Oficinas Técnicas
    • Notícias
      • 2025
      • 2024
      • 2023
      • 2022
      • 2021
      • Anos Anteriores
    • Perguntas Frequentes
      • Sobre o Decreto 10.748/2021
    • Portaria GSI/PR Nº 120, de 21 de dezembro de 2022
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
      • REGIC - Decreto Nº 10.748, de 16 de Julho de 2021
      • Órgãos integrantes
    • RFC 2350
      • RFC 2350 (Português BR)
      • RFC 2350 (English)
    • Serviços
    • TLP
  • Canais de Atendimento
    • Fale Conosco
    • Ouvidoria
    • Imprensa
    • Endereço
    • Comunicação de Incidentes de Rede
      • Comunicação de Incidentes de Rede
      • Network Incident Reporting
      • Comunicación de Incidentes en la Red
    • Orientações para Notificação de Incidentes Cibernéticos ao CTIR Gov
  • Centrais de Conteúdo
    • Imagens
      • Logotipo/Design do CTIR Gov
      • Regic
    • Vídeos
      • Palestras
    • Publicações
      • Boletim Informativo Mensal
      • Legislação (SIC)
    • Palestras em PDF
      • Coloquios
      • Fóruns
      • Oficinas
      • Webinários
    • Termo de Adesão do Decreto 10.748/2021 - REGIC
  • Composição
  • Sobre o CTIR Gov
    • Abrangência Operacional (Constituency)
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
    • RFC 2350
    • Serviços
  • Guia sobre Ransomware
  • GOV.BR
    • Serviços
      • Buscar serviços por
        • Categorias
        • Órgãos
        • Estados
      • Serviços por público alvo
        • Cidadãos
        • Empresas
        • Órgãos e Entidades Públicas
        • Demais segmentos (ONGs, organizações sociais, etc)
        • Servidor Público
    • Temas em Destaque
      • Orçamento Nacional
      • Redes de Atendimento do Governo Federal
      • Proteção de Dados Pessoais
      • Serviços para Imigrantes
      • Política e Orçamento Educacionais
      • Educação Profissional e Tecnológica
      • Educação Profissional para Jovens e Adultos
      • Trabalho e Emprego
      • Serviços para Pessoas com Deficiência
      • Combate à Discriminação Racial
      • Política de Proteção Social
      • Política para Mulheres
      • Saúde Reprodutiva da Mulher
      • Cuidados na Primeira Infância
      • Habitação Popular
      • Controle de Poluição e Resíduos Sólidos
    • Notícias
      • Serviços para o cidadão
      • Saúde
      • Agricultura e Pecuária
      • Cidadania e Assistência Social
      • Ciência e Tecnologia
      • Comunicação
      • Cultura e Esporte
      • Economia e Gestão Pública
      • Educação e Pesquisa
      • Energia
      • Forças Armadas e Defesa Civil
      • Infraestrutura
      • Justiça e Segurança
      • Meio Ambiente
      • Trabalho e Previdência
      • Turismo
    • Galeria de Aplicativos
    • Acompanhe o Planalto
    • Navegação
      • Acessibilidade
      • Mapa do Site
      • Termo de Uso e Aviso de Privacidade
    • Consultar minhas solicitações
    • Órgãos do Governo
    • Por dentro do Gov.br
      • Dúvidas Frequentes em relação ao Portal gov.br
      • Dúvidas Frequentes da conta gov.br
      • Ajuda para Navegar o Portal
      • Conheça os elementos do Portal
      • Política de e-participação
      • Termos de Uso
      • Governo Digital
      • Guia de Edição de Serviços do Portal Gov.br
    • Canais do Executivo Federal
    • Dados do Governo Federal
      • Dados Abertos
      • Painel Estatístico de Pessoal
      • Painel de Compras do Governo Federal
      • Acesso à Informação
    • Empresas e Negócios
Links Úteis
  • Galeria de Aplicativos
  • Participe
  • Galeria de Aplicativos
  • Participe
Redes sociais
  • Twitter
  • YouTube
  • RSS
  • RSS
  • Linkedin
Você está aqui: Página Inicial Assuntos Alertas e Recomendações Alertas 2023 ALERTA 17/2023
Info

Notícias

ALERTA 17/2023

Ações de prevenção contra o Ransomware NoEscape
Compartilhe por Facebook Compartilhe por Twitter Compartilhe por LinkedIn Compartilhe por WhatsApp link para Copiar para área de transferência
Publicado em 14/12/2023 11h29
[TLP:CLEAR]
 
1. Este alerta foi elaborado em conjunto pela Agência Brasileira de Inteligência (ABIN) e pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov). O trabalho conjunto visa fornecer informações relativas a campanhas do Ransomware NoEscape, bem como orientações sobre ações preventivas.
 
2. O Ransomware NoEscape, cujas ações iniciaram em junho de 2023, apresenta semelhantes Táticas, Técnicas e Procedimentos (TTPs) de outra ameaça, o Avaddon Ransomware. Algumas publicações o consideram uma evolução do Avaddon, cuja campanha durou de junho de 2020 a junho de 2021, que comprometeu ao menos três mil vítimas e terminou após atrair atenção de forças de segurança.
 
3. O NoEscape é um Ransomware-as-a-Service (RaaS), proporcionando criação e gestão de artefatos para ataques a sistemas Windows e Linux. O modo de atuação é similar ao de outros RaaS atuais: além da encriptação dos arquivos e exigência de pagamento para sua recuperação, há a exposição pública das vítimas em sites na Dark Web, exfiltração e vazamento de dados sensíveis e, em alguns casos, ataques distribuídos de negação de serviço (DDoS) e Spam via telefone, e-mail e mensagens SMS.
 
4. Em ataque recente, as seguintes ações maliciosas precederam a execução propriamente dita do Ransomware NoEscape:
  • Comprometimento de servidor de e-mails Microsoft Exchange desatualizado. Foram implantados dois webshells nesse servidor que permitiram acesso inicial à rede da vítima;
  • Emprego das ferramentas “Anydesk” e “Screenconnect” para baixar outros artefatos utilizados para dar prosseguimento ao ataque. Ambos são softwares legítimos usados para acesso remoto a computadores, comumente utilizados por atores maliciosos para evasão de ferramentas de defesa;
  • Uso da rede Tor para conexão a canais de Comando e Controle;
  • Emprego do Cobalt Strike para Comando e Controle;
  • Emprego das ferramentas “NetRouteView” e “Nmap” para reconhecimento da rede da vítima;
  • Uso de versão de “Mimikatz” denominada “Safetykatz” para obtenção de credenciais em computadores comprometidos;
  • Utilização da ferramenta “7Zip” para compactar dados e a ferramenta “RClone” para exfiltração dos dados da rede da vítima;
  • Utilização da ferramenta “PowerRun” para executar outros artefatos com privilégios elevados; e
  • Utilização de scripts “.bat” executados remotamente com WMI, ferramenta administrativa do Windows, para parar a execução de softwares de segurança (antivírus, firewalls, proteção de endpoint) e para apagar backups automatizados do Windows (volume shadows).
5. No Trend Micro's Threat Encyclopedia foram listadas como variantes conhecidas para Windows os arquivos Ransom.Win32.NOESCAPE.A e Ransom.Win32.NOESCAPE.B. Ademais, verificou-se que o Ransomware suporta múltiplos modos de criptografia, tais como algoritmos RSA e ChaCHA20.
 
6. O CTIR Gov reforça às instituições da Administração Pública Federal (APF) e demais entidades/instituições a necessidade da adoção das seguintes medidas de mitigação e prevenção:
  • Implementar uma política de execução de backup que descreva os procedimentos e testes de restauração, com previsão de locais fisicamente segmentados e seguros para armazenamento de mídias e plano de recuperação;
  • Manter ações de atualização de Sistemas Operacionais, Softwares e Firmwares, de modo a minimizar a exposição a ameaças. Especial atenção deve ser dada à atualização do software antivírus, que deve estar habilitado para detecção em tempo real em todos os endpoints viáveis;
  • Assegurar a execução da Política de Controle de Senhas da organização. Recomenda-se observar as recomendações sobre processos de autenticação, ciclo de vida de autenticadores e controle de acesso lógico, disponível em https://pages.nist.gov/800-63-3/sp800-63b.html;
  • Adotar uma política de senhas fortes em conjunto com o uso de autenticação de multifator (MFA) para todos os serviços críticos que disponibilizem este recurso, principalmente em e-mail e redes virtuais privadas (VPN);
  • Elaborar plano de tratamento e resposta a incidentes, com o devido treinamento de sua execução, para a promoção de ações imediatas; e
  • Reforçar campanhas de conscientização e educação de usuários sobre ameaças recebidas por e-mail, de modo a identificar ataques de engenharia social e prevenir infecções por malware.
7. Informações técnicas complementares, contendo Indicadores de Comprometimento (IoC's) e Técnicas, Táticas e Procedimentos (TTP's), podem ser acessadas em: https://socradar.io/dark-web-profile-noescape-ransomware/
 
8. Solicitamos que as ETIR notifiquem imediatamente o CTIR Gov sobre comprometimentos relacionados a ataques de Ransomware, preferencialmente informando IOC's e TTP's.
 
9. O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST): https://www.gov.br/ctir/pt-br/assuntos/tlp
 
Atenciosamente,
Equipes CTIR Gov e ABIN.
 
[TLP:CLEAR]
Comunicações e Transparência Pública
Compartilhe por Facebook Compartilhe por Twitter Compartilhe por LinkedIn Compartilhe por WhatsApp link para Copiar para área de transferência
  • Acesso à Informação
    • Institucional
      • Apresentação
      • Competências
      • Base Jurídica
      • Organograma
      • Histórico
      • Quem é quem
    • Ações e Programas
    • Auditorias
    • Consulta Pública
    • Convênios e Transferências
    • Dados Abertos
    • Informações Classificadas
    • Licitações e Contratos
    • Participação Social
    • Perguntas Frequentes
    • Portal Brasileiro de Dados Abertos
    • Receitas e Despesas
    • Servidores
    • Serviço de Informação ao Cidadão
  • Assuntos
    • Abrangência Operacional (Constituency)
    • Alertas e Recomendações
      • Alertas
      • Recomendações
    • Ascender Defesas
    • Base Normativa
      • Instrução Normativa GSI Nº 1, de 27 de maio de 2020
      • Norma Complementar nº 05/IN01/DSIC/GSIPR
      • Norma Complementar nº 08/IN01/DSIC/GSIPR
      • Norma Complementar nº 21/IN01/DSIC/GSIPR
      • Demais Normativos e Legislações
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
      • Colóquios
      • Oficinas Técnicas
    • Notícias
      • 2025
      • 2024
      • 2023
      • 2022
      • 2021
      • Anos Anteriores
    • Perguntas Frequentes
      • Sobre o Decreto 10.748/2021
    • Portaria GSI/PR Nº 120, de 21 de dezembro de 2022
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
      • REGIC - Decreto Nº 10.748, de 16 de Julho de 2021
      • Órgãos integrantes
    • RFC 2350
      • RFC 2350 (Português BR)
      • RFC 2350 (English)
    • Serviços
    • TLP
  • Canais de Atendimento
    • Fale Conosco
    • Ouvidoria
    • Imprensa
    • Endereço
    • Comunicação de Incidentes de Rede
      • Comunicação de Incidentes de Rede
      • Network Incident Reporting
      • Comunicación de Incidentes en la Red
    • Orientações para Notificação de Incidentes Cibernéticos ao CTIR Gov
  • Centrais de Conteúdo
    • Imagens
      • Logotipo/Design do CTIR Gov
      • Regic
    • Vídeos
      • Palestras
    • Publicações
      • Boletim Informativo Mensal
      • Legislação (SIC)
    • Palestras em PDF
      • Coloquios
      • Fóruns
      • Oficinas
      • Webinários
    • Termo de Adesão do Decreto 10.748/2021 - REGIC
  • Composição
  • Sobre o CTIR Gov
    • Abrangência Operacional (Constituency)
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
    • RFC 2350
    • Serviços
  • Guia sobre Ransomware
Redefinir Cookies
Redes sociais
  • Twitter
  • YouTube
  • RSS
  • RSS
  • Linkedin
Acesso àInformação
Todo o conteúdo deste site está publicado sob a licença Creative Commons Atribuição-SemDerivações 3.0 Não Adaptada.
Voltar ao topo da página
Fale Agora Refazer a busca