Ir para o Conteúdo 1 Ir para a Página Inicial 2 Ir para o menu de Navegação 3 Ir para a Busca 4 Ir para o Mapa do site 5
Abrir menu principal de navegação
CTIR Gov - Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo
Termos mais buscados
  • imposto de renda
  • inss
  • assinatura
  • cnh social
  • enem
Termos mais buscados
  • imposto de renda
  • inss
  • assinatura
  • Acesso à Informação
    • Institucional
      • Apresentação
      • Competências
      • Base Jurídica
      • Organograma
      • Histórico
      • Quem é quem
    • Ações e Programas
    • Auditorias
    • Consulta Pública
    • Convênios e Transferências
    • Dados Abertos
    • Informações Classificadas
    • Licitações e Contratos
    • Participação Social
    • Perguntas Frequentes
    • Portal Brasileiro de Dados Abertos
    • Receitas e Despesas
    • Servidores
    • Serviço de Informação ao Cidadão
  • Assuntos
    • Abrangência Operacional (Constituency)
    • Alertas e Recomendações
      • Alertas
      • Recomendações
    • Ascender Defesas
    • Base Normativa
      • Instrução Normativa GSI Nº 1, de 27 de maio de 2020
      • Norma Complementar nº 05/IN01/DSIC/GSIPR
      • Norma Complementar nº 08/IN01/DSIC/GSIPR
      • Norma Complementar nº 21/IN01/DSIC/GSIPR
      • Demais Normativos e Legislações
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
      • Colóquios
      • Oficinas Técnicas
    • Notícias
      • 2025
      • 2024
      • 2023
      • 2022
      • 2021
      • Anos Anteriores
    • Perguntas Frequentes
      • Sobre o Decreto 10.748/2021
    • Portaria GSI/PR Nº 120, de 21 de dezembro de 2022
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
      • REGIC - Decreto Nº 10.748, de 16 de Julho de 2021
      • Órgãos integrantes
    • RFC 2350
      • RFC 2350 (Português BR)
      • RFC 2350 (English)
    • Serviços
    • TLP
  • Canais de Atendimento
    • Fale Conosco
    • Ouvidoria
    • Imprensa
    • Endereço
    • Comunicação de Incidentes de Rede
      • Comunicação de Incidentes de Rede
      • Network Incident Reporting
      • Comunicación de Incidentes en la Red
    • Orientações para Notificação de Incidentes Cibernéticos ao CTIR Gov
  • Centrais de Conteúdo
    • Imagens
      • Logotipo/Design do CTIR Gov
      • Regic
    • Vídeos
      • Palestras
    • Publicações
      • Boletim Informativo Mensal
      • Legislação (SIC)
    • Palestras em PDF
      • Coloquios
      • Fóruns
      • Oficinas
      • Webinários
    • Termo de Adesão do Decreto 10.748/2021 - REGIC
  • Composição
  • Sobre o CTIR Gov
    • Abrangência Operacional (Constituency)
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
    • RFC 2350
    • Serviços
  • Guia sobre Ransomware
  • GOV.BR
    • Serviços
      • Buscar serviços por
        • Categorias
        • Órgãos
        • Estados
      • Serviços por público alvo
        • Cidadãos
        • Empresas
        • Órgãos e Entidades Públicas
        • Demais segmentos (ONGs, organizações sociais, etc)
        • Servidor Público
    • Temas em Destaque
      • Orçamento Nacional
      • Redes de Atendimento do Governo Federal
      • Proteção de Dados Pessoais
      • Serviços para Imigrantes
      • Política e Orçamento Educacionais
      • Educação Profissional e Tecnológica
      • Educação Profissional para Jovens e Adultos
      • Trabalho e Emprego
      • Serviços para Pessoas com Deficiência
      • Combate à Discriminação Racial
      • Política de Proteção Social
      • Política para Mulheres
      • Saúde Reprodutiva da Mulher
      • Cuidados na Primeira Infância
      • Habitação Popular
      • Controle de Poluição e Resíduos Sólidos
    • Notícias
      • Serviços para o cidadão
      • Saúde
      • Agricultura e Pecuária
      • Cidadania e Assistência Social
      • Ciência e Tecnologia
      • Comunicação
      • Cultura e Esporte
      • Economia e Gestão Pública
      • Educação e Pesquisa
      • Energia
      • Forças Armadas e Defesa Civil
      • Infraestrutura
      • Justiça e Segurança
      • Meio Ambiente
      • Trabalho e Previdência
      • Turismo
    • Galeria de Aplicativos
    • Acompanhe o Planalto
    • Navegação
      • Acessibilidade
      • Mapa do Site
      • Termo de Uso e Aviso de Privacidade
    • Consultar minhas solicitações
    • Órgãos do Governo
    • Por dentro do Gov.br
      • Dúvidas Frequentes em relação ao Portal gov.br
      • Dúvidas Frequentes da conta gov.br
      • Ajuda para Navegar o Portal
      • Conheça os elementos do Portal
      • Política de e-participação
      • Termos de Uso
      • Governo Digital
      • Guia de Edição de Serviços do Portal Gov.br
    • Canais do Executivo Federal
    • Dados do Governo Federal
      • Dados Abertos
      • Painel Estatístico de Pessoal
      • Painel de Compras do Governo Federal
      • Acesso à Informação
    • Empresas e Negócios
Links Úteis
  • Galeria de Aplicativos
  • Participe
  • Galeria de Aplicativos
  • Participe
Redes sociais
  • Twitter
  • YouTube
  • RSS
  • RSS
  • Linkedin
Você está aqui: Página Inicial Assuntos Alertas e Recomendações Alertas 2024 ALERTA 11/2024
Info

Notícias

ALERTA 11/2024

Ataques Cibernéticos a Sistemas de Virtualização
Compartilhe por Facebook Compartilhe por Twitter Compartilhe por LinkedIn Compartilhe por WhatsApp link para Copiar para área de transferência
Publicado em 02/08/2024 16h34 Atualizado em 02/08/2024 16h45

[TLP:CLEAR]

1. O CTIR Gov tem observado um aumento em ataques de Ransomware direcionados a ambientes virtualizados, particularmente contra infraestruturas VMware ESXi. Plataformas de virtualização são componentes importantes da infraestrutura de TI organizacional, mas frequentemente possuem configurações incorretas e, eventualmente, vulnerabilidades.

2. Esses problemas de segurança são frequentemente explorados por ferramentas automatizadas e grupos de Ransomware, seguindo um padrão que permite a elaboração de estratégias de defesa visando aumentar a resiliência dos ativos em ambientes virtualizados.

3. Ataques a ambientes de virtualização seguem, normalmente, a seguinte lógica:

  • Acesso inicial: Utilização de credenciais vazadas, ataques de phishing ou exploração de vulnerabilidades conhecidas;
  • Movimentação lateral e elevação de privilégios: Escalonamento de privilégios para obter credenciais administrativas para hosts ESXi ou vCenter, utilizando métodos como alteração de membros de grupos de domínio, ataques de força bruta, tentativas de sequestro de RDP ou exploração de vulnerabilidades;
  • Validação de acesso: Após o acesso inicial, utilização do vCenter para habilitar o protocolo SSH nos servidores ESXi, possibilitando execução remota de comandos;
  • Exfiltração de dados: Cópia de dados para locais remotos com posterior ameaça de divulgá-los publicamente para causar danos adicionais à reputação da organização;
  • Comprometimento de backups: Além do ambiente virtualizado, os sistemas de backup também são alvos dos atacantes;
  • Execução do Ransomware: Desligamento de todas as máquinas virtuais e início da criptografia da pasta de volumes do sistema de arquivos ESXi; e
  • Disseminação adicional: Dependendo do nível do acesso, os atacantes podem propagar o Ransomware para servidores e estações de trabalho não virtualizados, ampliando o impacto do ataque além do ambiente de virtualização.

4. Diante deste cenário, o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) reforça às instituições aderentes à REGIC e demais entidades/instituições a necessidade da adoção das seguintes medidas de prevenção:

- Configurar mecanismos de autenticação com múltiplo fator de autenticação (MFA) e políticas rígidas de autorização para reduzir a superfície de ataque, garantindo que apenas o pessoal necessário tenha permissão para acessar o ambiente virtualizado e que cada um tenha sua própria conta privilegiada com permissões mínimas. Senhas complexas e únicas devem ser usadas para cada host ESXi e vCenter. Mais informações sobre MFA podem ser obtidas em:

  • https://docs.vmware.com/en/VMware-vSphere/8.0/vsphere-authentication/GUID-ACFFCBEC-6C1C-4BF9-9971-04AEE9362AFE.html
  • https://learn.microsoft.com/en-us/security/privileged-access-workstations/privileged-access-devices
  • https://learn.microsoft.com/en-us/security/privileged-access-workstations/privileged-access-deployment

- Garantir que o vCenter e os hosts ESXi recebam atualizações de segurança periódicas. Desativar protocolos não utilizados, como SSH nos hosts ESXi. Configurar o modo de bloqueio para permitir gerenciamento apenas via vCenter. Desativar a execução de scripts não assinados nos hosts ESXi. Informações detalhadas:

  • https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-88B24613-E8F9-40D2-B838-225F5FF480FF.html
  • https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-9047A43D-BB1F-4878-A971-EEFCAC183C86.html

- Implementar políticas de rede restritivas para todos os componentes de virtualização, de modo a dificultar movimentação lateral. O acesso administrativo deve ser controlado, com visibilidade de tráfego de saída para identificar e bloquear eventual tentativa de exfiltração de dados;

- Avaliar, de acordo com a Política de Segurança da Informação da organização, a pertinência da desvinculação dos hosts ESXi do Active Directory, de modo a mitigar riscos de vulnerabilidades que, se exploradas, podem permitir elevação de privilégios e acesso administrativo completo ao sistema de virtualização. Mais informações em:

  • https://knowledge.broadcom.com/external/article/369707/
  • https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24505
  • https://nvd.nist.gov/vuln/detail/CVE-2024-37085

- Sistematizar o monitoramento de logs, de modo que todos os componentes do ambiente de virtualização enviem logs para a solução de Gerenciamento de Informações e Eventos de Segurança (SIEM) para retenção e correlação. Mais infomaçoes em:

  • https://knowledge.broadcom.com/external/article?legacyId=2003322

- Configurar o SIEM para emitir alertas na ocorrência de atividades suspeitas que possam indicar que a infraestrutura virtualizada foi comprometida, como mudanças na senha do root, desativação de recursos de segurança ou ações incomuns/suspeitas, como desligamento de todas as VM do ambiente ou tentativas de login usando credenciais de domínio; e

- Alinhar o processo de backup com a análise de impacto nos negócios da organização, com verificação regular de integridade, isolados do ambiente de produção e do AD, com acesso controlado com autenticação multifator e com documentação no Plano de Resposta a Incidentes para consulta em caso de ataques.

5. Recomendamos a leitura do guia de configuração de segurança do VMware vSphere, bem como a utilização da planilha de controles de configurações que pode ser usada para guiar a implementação das medidas recomendadas. Sugere-se, ainda, executar as 17 boas práticas recomendadas. Os arquivos podem ser consultados em:

  • https://core.vmware.com/vmware-vsphere-security-configuration-guide-8-802-20231005-01
  • https://www.vmware.com/docs/vmware-best-practices-to-protect-Ransomware-nsx-security
  • https://blogs.vmware.com/explore/2024/02/13/how-to-procect-esxi-and-vsphere-from-Ransomware/

6. Solicitamos que as ETIR notifiquem imediatamente o CTIR Gov sobre comprometimentos relacionados a ataques de Ransomware, preferencialmente informando IOC's e TTP's.

7. O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST): https://www.gov.br/ctir/pt-br/assuntos/tlp

Equipe CTIR Gov.

[TLP:CLEAR]

Comunicações e Transparência Pública
Compartilhe por Facebook Compartilhe por Twitter Compartilhe por LinkedIn Compartilhe por WhatsApp link para Copiar para área de transferência
  • Acesso à Informação
    • Institucional
      • Apresentação
      • Competências
      • Base Jurídica
      • Organograma
      • Histórico
      • Quem é quem
    • Ações e Programas
    • Auditorias
    • Consulta Pública
    • Convênios e Transferências
    • Dados Abertos
    • Informações Classificadas
    • Licitações e Contratos
    • Participação Social
    • Perguntas Frequentes
    • Portal Brasileiro de Dados Abertos
    • Receitas e Despesas
    • Servidores
    • Serviço de Informação ao Cidadão
  • Assuntos
    • Abrangência Operacional (Constituency)
    • Alertas e Recomendações
      • Alertas
      • Recomendações
    • Ascender Defesas
    • Base Normativa
      • Instrução Normativa GSI Nº 1, de 27 de maio de 2020
      • Norma Complementar nº 05/IN01/DSIC/GSIPR
      • Norma Complementar nº 08/IN01/DSIC/GSIPR
      • Norma Complementar nº 21/IN01/DSIC/GSIPR
      • Demais Normativos e Legislações
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
      • Colóquios
      • Oficinas Técnicas
    • Notícias
      • 2025
      • 2024
      • 2023
      • 2022
      • 2021
      • Anos Anteriores
    • Perguntas Frequentes
      • Sobre o Decreto 10.748/2021
    • Portaria GSI/PR Nº 120, de 21 de dezembro de 2022
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
      • REGIC - Decreto Nº 10.748, de 16 de Julho de 2021
      • Órgãos integrantes
    • RFC 2350
      • RFC 2350 (Português BR)
      • RFC 2350 (English)
    • Serviços
    • TLP
  • Canais de Atendimento
    • Fale Conosco
    • Ouvidoria
    • Imprensa
    • Endereço
    • Comunicação de Incidentes de Rede
      • Comunicação de Incidentes de Rede
      • Network Incident Reporting
      • Comunicación de Incidentes en la Red
    • Orientações para Notificação de Incidentes Cibernéticos ao CTIR Gov
  • Centrais de Conteúdo
    • Imagens
      • Logotipo/Design do CTIR Gov
      • Regic
    • Vídeos
      • Palestras
    • Publicações
      • Boletim Informativo Mensal
      • Legislação (SIC)
    • Palestras em PDF
      • Coloquios
      • Fóruns
      • Oficinas
      • Webinários
    • Termo de Adesão do Decreto 10.748/2021 - REGIC
  • Composição
  • Sobre o CTIR Gov
    • Abrangência Operacional (Constituency)
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
    • RFC 2350
    • Serviços
  • Guia sobre Ransomware
Redefinir Cookies
Redes sociais
  • Twitter
  • YouTube
  • RSS
  • RSS
  • Linkedin
Acesso àInformação
Todo o conteúdo deste site está publicado sob a licença Creative Commons Atribuição-SemDerivações 3.0 Não Adaptada.
Voltar ao topo da página
Fale Agora Refazer a busca