2. O grupo “Play Ransomware” tem aprimorado sua capacidade de exploração por meio da incorporação de novas ferramentas e códigos maliciosos, explorando vulnerabilidades como ProxyNotShell, OWASSRF e Execução Remota de Código (RCE) contra servidores Microsoft Exchange vulneráveis.
3. O acesso inicial normalmente utiliza credenciais válidas, abuso de servidores RDP expostos e exploração das seguintes Common Vulnerabilities and Exposures (CVEs):
4. O CTIR Gov solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições que:
4.1. Sejam adotadas as medidas necessárias para a correção das vulnerabilidades listadas nas CVEs listadas no item 3 deste Alerta;
4.3. Sejam utilizados os indicadores de comprometimento disponíveis no arquivo anexo nas ferramentas de segurança, com a finalidade de auxiliar na proteção das infraestruturas contra a ameaça; e
4.4. Seja analisada a seção “TECHNICAL DETAILS” do PDF, que detalha as técnicas usadas pelo grupo, bem como relaciona as ferramentas utilizadas em ataques, sendo de grande importância para o entendimento da ameaça e a tomada das ações de prevenção relacionadas.
6. Solicitamos que as ETIR reportem imediatamente ao CTIR Gov qualquer indício de comprometimento relacionado à ameaças de Ransomware.
Share this content:
using WordPress and
Comments are closed