Solicitar Contato

Iremos retornar seu contato em 24h!

3 + 6 =

STJ, Ministério da Saúde e governo do Distrito Federal são alvo de

ataque hacker em escala inédita no Brasil

Overview

Vamos descomplicar as vantagens de optar por uma rede corporativa com a tecnologia SD-WAN. Demostraremos como a solução apresentada pela Fortinet é excelente para pequenas, médias e grandes empresas.

O ataque hacker à entidades governamentais

Esta semana, diversas entidades do governo brasileiro sofreram ataques hackers em uma escala nunca vista no país, atingindo o Superior Tribunal de Justiça, o Ministério da Saúde e diversas entidades do governo do Distrito Federal, causando desde perdas de arquivos até a interrupção de serviços à população.

Até o momento, não há informações de que os ataques estejam conectados. O mais grave deles, ao STJ, está sendo investigado pela Polícia Federal, militares e um grupo de especialistas em segurança da informação. Segundo o presidente Jair Bolsonaro, o responsável por este ataque já foi identificado, mas até o momento não há mais detalhes.

Ainda assim, desde terça-feira os ministros não conseguem acessar e mails ou qualquer um dos mais de 250,000 casos sob sua jurisdição. Como forma de controlar os danos, o departamento de TI do tribunal tirou o site do ar. Enquanto isso, os julgamentos foram suspensos e todos os prazos processuais foram adiados até 9 de novembro.

Servidores que trabalham na corte disseram ao site The Brazilian Report que o ataque possivelmente acontecer devido a vulnerabilidades criadas por usuários que acessam remotamente a rede do tribunal trabalhando em suas casas — usando conexões de internet desprotegidas. Especialistas de TI aconselharam os 33 ministros e 2,900 funcionários a não usar os computadores em que trabalham até que o problema seja solucionado.

O departamento de TI do tribunal levou cerca de seis horas para identificar e reagir ao ataque. A equipe encarregada de solucionar o problema suspeita que o hacker (ou hackers) podem ter criptografado todo banco de dados do tribunal — incluindo backups. Pode ser um caso de ransomware similar ao que ocorreu em Baltimore no ano passado, quando hackers apreenderam partes dos sistemas que o governo municipal usava, exigindo dinheiro para a libertação.

Especialistas de TI estão tentando restaurar arquivos de casos importantes por meio de backups físicos, que existem exatamente para este tipo de situação. No entanto, ainda não se sabe se todos os casos serão restaurados — vai depender da data do último backup.

      

      

      

      

Governo está em alerta máximo para ataques

Outros órgãos públicos sofreram ataques, mas não está claro se foram os mesmos criminosos Funcionários do Ministério da Saúde informaram que houve uma instabilidade na rede na quinta-feira, que deixou bancos de dados do Sistema Único de Saúde (SUS) e e-mails de trabalho estão indisponíveis.

Enquanto isso, várias instituições do governo do Distrito Federal retiraram os sistemas do ar após ataques maliciosos à rede GDFNet verificados por especialistas em TI. Entre as agências afetadas estão o Detran, a rede de saúde pública do distrito federal e até mesmo escolas públicas que atendem a 4,5 milhões de pessoas na região metropolitana de Brasília. A Universidade de Brasília reportou ataque similar.

O ataque levantou o alerta máximo no Tribunal Superior Eleitoral, às vésperas das eleições municipais de 15 de novembro. O tribunal publicou uma nota de esclarecimento dizendo que está fortalecendo seus esforços de proteção de dados para evitar qualquer problema com os dados eleitorais. O tribunal também esclareceu que as urnas eletrônicas não são conectadas à internet e que os votos são transmitidos através de redes criptografadas.

Estratégia Coordenada

O gerente técnico da FastHelp Lucas Ismael Pinto alerta que apenas o trabalho remoto não justifica um ataque coordenado como o que ocorreu ao STJ.

Lucas lembra que o ataque foi focado em máquinas virtuais, uma tecnologia de virtualização de servidores utilizada pela maioria das empresas atualmente. Por isso, ele alerta que é preciso se manter vigilante em relação aos patches e atualizações para este tipo de sistemas, que solucionam vulnerabilidades como a que foi explorada pelos criminosos.

{

O trabalho remoto pode acarretar mais problemas, se for conectado à rede um computador pessoal sem o mínimo de segurança, como um antivírus. No caso do STJ, tem vulnerabilidades exploradas que um patch teria impedido. Mas, ainda assim, foi um ataque coordenado.

A remediação para este tipo de problema vai desde estratégias radicais, como literalmente desligar os sistemas, até outras medidas, como a aplicação de patches fornecidos pela VMWare. Ele alerta que este tipo de mitigação pode causar disrupções momentâneas, como a reinicialização do sistema do servidor que hospeda o VMWare, mas que os clientes da FastHelp estão sendo orientados a fazê-la de qualquer forma.

No mais, a prevenção segue sendo o melhor remédio. Para evitar falhas graves como esta, Lucas recomenda que empresas mantenham seus sistemas atualizados, com regras corretamente aplicadas nos sistemas de firewall e proteção de endpoint, além de monitorar os fabricantes de soluções para alertas e atualizações.

Atualizações necessárias para se proteger

Lucas Ismael Pinto, graduado em Redes de Computadores e Pós-graduado em Segurança da Informação com mais de 15 anos de experiência na área de Tecnologia da Informação; certificado em soluções especialistas de Cyber Security, Gerenciamento de TI e e metodologia ágil e Gerente de Projetos e Serviços da FastHelp.

Cláudio Neto, formando em segurança da informação pelo IESB; especialista em produtos McAfee e Nutanix; Ceritificado em Scrum, McAfee EndPoint Suite e Nutanix Professional Multicloud e Técnico de Suporte da FastHelp.

Versões Afetadas

VMware ESXi VMware Workstation Pro

Player (Workstation) VMware Fusion Pro

Fusion (Fusion) NSX-T VMware Cloud Foundation VMware vCenter Server

Comunicado Oficial

Comunicado Oficial

Faça o download do comunicado oficial do Governo Federal.

Tudo indica que foi explorado uma vulnerabilidade, rastreada como CVE-2020-3992, foi descrita como um bug de uso após liberação que afeta o serviço OpenSLP no ESXi. Um invasor remoto não autenticado pode explorar a falha para executar código arbitrário. Uma das mensagens entre os técnicos da corte descreve o ataque:

{

Basicamente foi um ataque do tipo ransomware. Uma conta Domain Admin foi explorada o que permitiu que o hacker tivesse acesso aos nossos servidores, se inserisse em grupos de administração do ambiente virtual e, por fim, criptografasse boa parte das nossas máquinas virtuais.

Novas correções foram lançadas para ESXi 6.5, 6.7 e 7.0, mas os patches ainda estão pendentes para VMware Cloud Foundation, a plataforma de nuvem híbrida para gerenciar máquinas virtuais e orquestrar contêineres. 

Tendo em vista a integridade dos dados dos nossos clientes, a FastHelp tenta propor a melhor solução e ajudar a manter sua empresa segura. 

Segue abaixo um guia de primeiros passos para mitigar a falha: 

  1. Para implementar a solução alternativa, caso o serviço vulnerável não esteja em uso, aplique o KB lançado pela VMware para desativar o serviço vulnerável no VMware ESXi.
  2. Caso não esteja sendo utilizado, desabilite o serviço de BITLOCKER do Windows.
  3. Segundo informações, tivemos acesso ao hash MD5 dos arquivos utilizados para servidor de comando e controle (IoC) dos ataques:
    • O primeiro é ELF64 e pode ser executado em ESXi: MD5 (svc-new/svc-new) = 4bb2f87100fca40bfbb102e48ef43e65.
    • o segundo pode ser executado Windows: MD5 (notepad.exe) = 80cfb7904e934182d512daa4fe0abbfb.
    • SHA1 (notepad.exe) = 9df15f471083698b818575c381e49c914dee69de
    • SHA1 (svc-new/svc-new) = 3bf79cc3ed82edd6bfe1950b7612a20853e28b09
    • Faça uma varredura em seu ambiente em busca desses arquivos e coloque um bloqueio nesses hashes em suas políticas de proteção de acesso.
  4. Garantir atualização dos endpoints e ativação das funcionalidades avançadas. Verificar com o fabricante da solução de endpoint protection funcionalidades que podem ser habilitadas para proporcionar ou aprimorar a proteção contra Ransomware;
  5. Ativar assinaturas de proteção para as CVEs: CVE-2020-1472, CVE-2019-5544 e CVE-2020-3992;
  6. Trocar e restringir a senha de admin dos ESX e restringir o acesso ao ssh do gerenciador.
  7. Recomendações: Não se esqueça de reservar uma janela de manutenção para fazer as aplicações dos patches de segurança nas ferramentas.

Entre em contato conosco

You have Successfully Subscribed!

Política de Privacidade

Este site usa cookies para fornecer seus serviços e melhorar sua experiência no site. Ao utilizar nosso portal, você concorda com o uso de cookies e nossa política de privacidade.

You have Successfully Subscribed!