Ir para o Conteúdo 1 Ir para a Página Inicial 2 Ir para o menu de Navegação 3 Ir para a Busca 4 Ir para o Mapa do site 5
Abrir menu principal de navegação
CTIR Gov - Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo
Termos mais buscados
  • imposto de renda
  • inss
  • assinatura
  • cnh social
  • enem
Termos mais buscados
  • imposto de renda
  • inss
  • assinatura
  • Acesso à Informação
    • Institucional
      • Apresentação
      • Competências
      • Base Jurídica
      • Organograma
      • Histórico
      • Quem é quem
    • Ações e Programas
    • Auditorias
    • Consulta Pública
    • Convênios e Transferências
    • Dados Abertos
    • Informações Classificadas
    • Licitações e Contratos
    • Participação Social
    • Perguntas Frequentes
    • Portal Brasileiro de Dados Abertos
    • Receitas e Despesas
    • Servidores
    • Serviço de Informação ao Cidadão
  • Assuntos
    • Abrangência Operacional (Constituency)
    • Alertas e Recomendações
      • Alertas
      • Recomendações
    • Ascender Defesas
    • Base Normativa
      • Instrução Normativa GSI Nº 1, de 27 de maio de 2020
      • Norma Complementar nº 05/IN01/DSIC/GSIPR
      • Norma Complementar nº 08/IN01/DSIC/GSIPR
      • Norma Complementar nº 21/IN01/DSIC/GSIPR
      • Demais Normativos e Legislações
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
      • Colóquios
      • Oficinas Técnicas
    • Notícias
      • 2025
      • 2024
      • 2023
      • 2022
      • 2021
      • Anos Anteriores
    • Perguntas Frequentes
      • Sobre o Decreto 10.748/2021
    • Portaria GSI/PR Nº 120, de 21 de dezembro de 2022
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
      • REGIC - Decreto Nº 10.748, de 16 de Julho de 2021
      • Órgãos integrantes
    • RFC 2350
      • RFC 2350 (Português BR)
      • RFC 2350 (English)
    • Serviços
    • TLP
  • Canais de Atendimento
    • Fale Conosco
    • Ouvidoria
    • Imprensa
    • Endereço
    • Comunicação de Incidentes de Rede
      • Comunicação de Incidentes de Rede
      • Network Incident Reporting
      • Comunicación de Incidentes en la Red
    • Orientações para Notificação de Incidentes Cibernéticos ao CTIR Gov
  • Centrais de Conteúdo
    • Imagens
      • Logotipo/Design do CTIR Gov
      • Regic
    • Vídeos
      • Palestras
    • Publicações
      • Boletim Informativo Mensal
      • Legislação (SIC)
    • Palestras em PDF
      • Coloquios
      • Fóruns
      • Oficinas
      • Webinários
    • Termo de Adesão do Decreto 10.748/2021 - REGIC
  • Composição
  • Sobre o CTIR Gov
    • Abrangência Operacional (Constituency)
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
    • RFC 2350
    • Serviços
  • Guia sobre Ransomware
  • GOV.BR
    • Serviços
      • Buscar serviços por
        • Categorias
        • Órgãos
        • Estados
      • Serviços por público alvo
        • Cidadãos
        • Empresas
        • Órgãos e Entidades Públicas
        • Demais segmentos (ONGs, organizações sociais, etc)
        • Servidor Público
    • Temas em Destaque
      • Orçamento Nacional
      • Redes de Atendimento do Governo Federal
      • Proteção de Dados Pessoais
      • Serviços para Imigrantes
      • Política e Orçamento Educacionais
      • Educação Profissional e Tecnológica
      • Educação Profissional para Jovens e Adultos
      • Trabalho e Emprego
      • Serviços para Pessoas com Deficiência
      • Combate à Discriminação Racial
      • Política de Proteção Social
      • Política para Mulheres
      • Saúde Reprodutiva da Mulher
      • Cuidados na Primeira Infância
      • Habitação Popular
      • Controle de Poluição e Resíduos Sólidos
    • Notícias
      • Serviços para o cidadão
      • Saúde
      • Agricultura e Pecuária
      • Cidadania e Assistência Social
      • Ciência e Tecnologia
      • Comunicação
      • Cultura e Esporte
      • Economia e Gestão Pública
      • Educação e Pesquisa
      • Energia
      • Forças Armadas e Defesa Civil
      • Infraestrutura
      • Justiça e Segurança
      • Meio Ambiente
      • Trabalho e Previdência
      • Turismo
    • Galeria de Aplicativos
    • Acompanhe o Planalto
    • Navegação
      • Acessibilidade
      • Mapa do Site
      • Termo de Uso e Aviso de Privacidade
    • Consultar minhas solicitações
    • Órgãos do Governo
    • Por dentro do Gov.br
      • Dúvidas Frequentes em relação ao Portal gov.br
      • Dúvidas Frequentes da conta gov.br
      • Ajuda para Navegar o Portal
      • Conheça os elementos do Portal
      • Política de e-participação
      • Termos de Uso
      • Governo Digital
      • Guia de Edição de Serviços do Portal Gov.br
    • Canais do Executivo Federal
    • Dados do Governo Federal
      • Dados Abertos
      • Painel Estatístico de Pessoal
      • Painel de Compras do Governo Federal
      • Acesso à Informação
    • Empresas e Negócios
Links Úteis
  • Galeria de Aplicativos
  • Participe
  • Galeria de Aplicativos
  • Participe
Redes sociais
  • Twitter
  • YouTube
  • RSS
  • RSS
  • Linkedin
Você está aqui: Página Inicial Assuntos Notícias 2023 Ameaça cibernética ativa - Emotet e Trickbot
Info

Notícias

Ameaça cibernética ativa - Emotet e Trickbot

Emotet e Trickbot são dois malwares comumente envolvidos em atividades maliciosas na internet. Essas ameaças têm sido utilizadas conjuntamente e representam preocupação para organizações em todo o mundo.
Compartilhe por Facebook Compartilhe por Twitter Compartilhe por LinkedIn Compartilhe por WhatsApp link para Copiar para área de transferência
Publicado em 05/12/2023 11h47 Atualizado em 05/12/2023 15h28
Emotet e Trickbot


[TLP: CLEAR]

O Emotet é um malware originalmente desenvolvido como um trojan bancário. O objetivo era exfiltrar dados, como senhas e login. O Emotet é conhecido por sua capacidade de instalação furtiva, não sendo detectado por antivírus básicos. O Emotet se espalha como um worm e busca comprometer outros dispositivos da rede. O principal vetor para o Emotet são as campanhas de phishing por e-mail, que contém um link malicioso ou um documento infectado para download. O Emotet evoluiu nos últimos anos e tem sido utilizado como "Malware-as-a-Service" (MaaS).

O uso do Trickbot tem como objetivo principal o roubo de informações bancárias e o acesso não autorizado a sistemas corporativos. Ele é frequentemente propagado por meio de “kits de exploração” ou inserido em botnets. O Trickbot também é conhecido por ter recursos avançados, como a capacidade de se propagar lateralmente em uma rede, estabelecer backdoors e favorecer a realização de ataques de ransomware.

O Emotet e o Trickbot se complementam. O Emotet é frequentemente usado como um vetor inicial de infecção, abrindo caminho para o Trickbot ser instalado e manter-se no sistema até a ação final do ataque. Com o Trickbot ativo, possibilita infectar todo segmento de rede, explorando vulnerabilidades e se movendo lateralmente para comprometer mais dispositivos.

Além disso, o Trickbot é frequentemente usado para baixar e instalar outras formas de malware, como o ransomware, que podem causar prejuízos significativos e resultar em perda de dados, indisponibilidade e custos financeiros substanciais.

Alguns grupos de ransomware que apresentam indícios de uso do Emotet ou do Trickbot em suas ações incluem:

  1. Ryuk: O grupo Ryuk utiliza o Emotet como uma etapa inicial para infectar sistemas e, em seguida, implantam o Trickbot para realizar reconhecimento e, posteriormente, executa a criptografia dentro das redes comprometidas.
  2. Conti: Ator de ransomware que provavelmente utilizou o Emotet e o Trickbot em suas campanhas. Eles aproveitam o Emotet para se infiltrar em sistemas e, em seguida, implantam o Trickbot para obter acesso privilegiado, explorar vulnerabilidades e executar o ransomware.
  3. DoppelPaymer: O grupo foi associado ao uso do Emotet e do Trickbot. Provavelmente empregam esses malwares para comprometer sistemas e, em seguida, implantam o ransomware.

Exemplos de vulnerabilidades exploradas em ataques envolvendo o Emotet e o Trickbot:

  1. CVE-2017-0199: Essa vulnerabilidade afeta o Microsoft Office e permite a execução remota de código quando um usuário abre um arquivo. O Emotet e o Trickbot podem explorar essa vulnerabilidade por meio de documentos maliciosos anexados a e-mails de phishing.
  2. CVE-2017-11882: Esta é outra vulnerabilidade que afeta o Microsoft Office e permite a execução remota de código. Foi explorada por meio de documentos que continham código malicio em documentos de texto. O Emotet e o Trickbot se aproveitaram dessa falha para infectar sistemas e disseminar malware.
  3. CVE-2019-0708: Conhecida como "BlueKeep", essa vulnerabilidade afeta o serviço de Desktop Remoto (RDP) do Windows. Permite que um invasor remoto execute código malicioso sem autenticação. O Emotet e o Trickbot foram capazes de explorar essa vulnerabilidade para se infiltrar em sistemas desatualizados e comprometer redes corporativas.
  4. CVE-2020-1472: Essa vulnerabilidade, chamada de "Zerologon", afeta o protocolo Netlogon no Windows Server. Permite ataques de escalonamento de privilégios, permitindo que um invasor assuma o controle de um controlador de domínio. O Trickbot aproveitou essa falha para se espalhar lateralmente em redes comprometidas.

O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) da Secretaria de Segurança da Informação e Cibernética (SSIC) do Gabinete de Segurança Institucional da Presidência da República (GSI/PR) recomenda medidas preventivas a seguir para organizações da Administração Pública Federal (APF).

  • Gestão de Vulnerabilidades: implemente ações de gerenciamento de vulnerabilidades objetivando a identificação e correção em ativos. As principais vulnerabilidades utilizadas para propagar os malwares em questão são antigas e já possuem correção. Todavia, a ausência de uma política de gerenciamento de atualizações em muitas organizações mantém estas ameaças ativas e eficazes.
  • Bloquear macros: O Trickbot e o Emotet frequentemente exploram macros maliciosas. Realize a configuração de ativos para que as macros sejam desativadas por padrão em arquivos recebidos.
  • Política de privilégios mínimos: objetivo central é a imposição da restrição de direitos e permissões de acesso para usuários, contas, aplicativos, sistemas, dispositivos (como os de Internet das Coisas – IoT) e processos de computação ao mínimo necessário para executar as atividades rotineiras e autorizadas. De uma forma geral, estabeleça ações de Gestão de Acesso Privilegiado (PAM).
  • Listas de reputação: sistemas de segurança permitem a utilização de listas de reputação de IPs e URLs conhecidos por hospedar malwares. Com isso pode-se bloquear o acesso a dispositivos ou sites comprometidos.
  • Monitoramento de atividades de rede: Implemente soluções de monitoramento contínuo na rede para detectar as atividades suspeitas e prováveis infecções com a maior celeridade possível.

A SSIC/GSI/PR implementa diversas iniciativas visando o incremento da resiliência cibernética na APF para manter os diversos serviços digitais de governo disponíveis. Acompanhe novidades em nossos sites:

https://www.gov.br/gsi/pt-br/composicao/SSIC/dsic

https://www.gov.br/ctir/pt-br

https://www.gov.br/gsi/pt-br/composicao/SSIC/dsic/nucleo

[TLP: CLEAR]

Comunicações e Transparência Pública
Compartilhe por Facebook Compartilhe por Twitter Compartilhe por LinkedIn Compartilhe por WhatsApp link para Copiar para área de transferência
  • Acesso à Informação
    • Institucional
      • Apresentação
      • Competências
      • Base Jurídica
      • Organograma
      • Histórico
      • Quem é quem
    • Ações e Programas
    • Auditorias
    • Consulta Pública
    • Convênios e Transferências
    • Dados Abertos
    • Informações Classificadas
    • Licitações e Contratos
    • Participação Social
    • Perguntas Frequentes
    • Portal Brasileiro de Dados Abertos
    • Receitas e Despesas
    • Servidores
    • Serviço de Informação ao Cidadão
  • Assuntos
    • Abrangência Operacional (Constituency)
    • Alertas e Recomendações
      • Alertas
      • Recomendações
    • Ascender Defesas
    • Base Normativa
      • Instrução Normativa GSI Nº 1, de 27 de maio de 2020
      • Norma Complementar nº 05/IN01/DSIC/GSIPR
      • Norma Complementar nº 08/IN01/DSIC/GSIPR
      • Norma Complementar nº 21/IN01/DSIC/GSIPR
      • Demais Normativos e Legislações
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
      • Colóquios
      • Oficinas Técnicas
    • Notícias
      • 2025
      • 2024
      • 2023
      • 2022
      • 2021
      • Anos Anteriores
    • Perguntas Frequentes
      • Sobre o Decreto 10.748/2021
    • Portaria GSI/PR Nº 120, de 21 de dezembro de 2022
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
      • REGIC - Decreto Nº 10.748, de 16 de Julho de 2021
      • Órgãos integrantes
    • RFC 2350
      • RFC 2350 (Português BR)
      • RFC 2350 (English)
    • Serviços
    • TLP
  • Canais de Atendimento
    • Fale Conosco
    • Ouvidoria
    • Imprensa
    • Endereço
    • Comunicação de Incidentes de Rede
      • Comunicação de Incidentes de Rede
      • Network Incident Reporting
      • Comunicación de Incidentes en la Red
    • Orientações para Notificação de Incidentes Cibernéticos ao CTIR Gov
  • Centrais de Conteúdo
    • Imagens
      • Logotipo/Design do CTIR Gov
      • Regic
    • Vídeos
      • Palestras
    • Publicações
      • Boletim Informativo Mensal
      • Legislação (SIC)
    • Palestras em PDF
      • Coloquios
      • Fóruns
      • Oficinas
      • Webinários
    • Termo de Adesão do Decreto 10.748/2021 - REGIC
  • Composição
  • Sobre o CTIR Gov
    • Abrangência Operacional (Constituency)
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
    • RFC 2350
    • Serviços
  • Guia sobre Ransomware
Redefinir Cookies
Redes sociais
  • Twitter
  • YouTube
  • RSS
  • RSS
  • Linkedin
Acesso àInformação
Todo o conteúdo deste site está publicado sob a licença Creative Commons Atribuição-SemDerivações 3.0 Não Adaptada.
Voltar ao topo da página
Fale Agora Refazer a busca