RECOMENDAÇÃO 02/2024

[TLP:CLEAR]

1. A Cybersecurity and Infrastructure Security Agency (CISA), em conjunto com o Federal Bureau of Investigation (FBI), o Department of Health and Human Services (HHS) e o Multi-State Information Sharing and Analysis Center (MS-ISAC) emitiram um aviso sobre a ameaça do Ransomware Black Basta, que já afetou pelo menos 12 de 16 diferentes setores de Infraestruturas Críticas.

2. O Black Basta opera como "Ransomware como serviço" (RaaS). Os ataques cibernéticos de seus afiliados já afetaram organizações em toda a América do Norte, Europa e Austrália e impactaram operações de mais de 500 infraestruturas digitais pelo mundo.

3. A ameaça emprega técnicas comuns de acesso inicial, como phishing e exploração de vulnerabilidades conhecidas, além de utilizar o modelo de dupla extorsão, extraindo dados e criptografando sistemas e arquivos.

4. Tem sido observada uma tendência de ataques a organizações de saúde, possivelmente devido ao tamanho das estruturas, dependência tecnológica, acesso a informações pessoais e graves impactos na interrupção dos serviços.

5. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Governo (CTIR Gov) solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições a consultar o documento, compreender os detalhes técnicos, identificar as técnicas e táticas e utilizar os Indicadores de Comprometimento (hashes de arquivos, IPs e domínios maliciosos) para alimentar suas ferramentas de segurança:

• https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a

5.1. Além dos IOCs do documento, informamos Indicadores de Comprometimento adicionais:

• IOCs_Adicionais_BlackBasta.txt

6. Recomendamos, ainda, que os responsáveis pela segurança das redes de Organizações Públicas de Saúde confiram especial atenção às técnicas e táticas utilizadas pelos atores da ameaça, priorizando a execução das seguintes ações:

• Assegurar as atualizações para sistemas operacionais, software e firmware assim que forem lançadas, com prioridade à atualização das Vulnerabilidades Conhecidas Exploradas (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
• Exigir autenticação multifator (MFA) para todos os serviços compatíveis e buscar integração dos sistemas com o Login Único do Governo Federal. Informações técnicas sobre a integração estão disponíveis em: https://acesso.gov.br/roteiro-tecnico
• Reforçar campanhas de conscientização de segurança digital para colaboradores, especialmente relacionadas a reconhecimento e notificação de tentativas de phishing;
• Garantir a execução de backup de sistemas críticos e configurações de dispositivos de modo a permitir restauração em caso de incidentes; e
• Assegurar que as ferramentas de segurança de endpoint sejam configuradas e atualizadas constantemente.

7. Em concordância com o previsto no Decreto 10.748/2021, o CTIR Gov solicita que as entidades responsáveis pelas ETIR Setoriais orientem a comunidade de suas respectivas áreas sobre o tratado nesta Recomendação, de acordo com suas diretrizes e políticas específicas.

Equipe CTIR Gov.

[TLP:CLEAR]