Hospital dos EUA paga resgate para não ter PII publicados da Dark Web

05/10/2020 mindsecblog Notícias 1

Hospital dos EUA paga resgate para não ter PII publicados da Dark Web. O ataque começou em um ataque de phishing que comprometeu a senha de um funcionário

O University Hospital New Jersey em Newark (UHNJ), New Jersey, pagou um resgate de ransomware de US $ 670.000 neste mês para evitar a publicação de 240 GB de dados roubados, incluindo informações de pacientes, o que poderia incorrer em penalidade ainda maiores devido as leis de proteção de dados pessoais Americana

O ataque ao hospital ocorreu no início de setembro por uma operação de ransomware conhecida como SunCrypt, que se infiltra em uma rede, rouba arquivos não criptografados e, em seguida, criptografa todos os dados.

Depois que os operadores do SunCrypt fizeram publico um arquivo de 48.000 documentos pertencentes ao UHNJ, um representante do hospital contatou os agentes da ameaça por meio de seu portal de pagamento dark web para negociar a suspensão de qualquer publicação de dados de pacientes.

Pago para proteger os dados de seus pacientes

O BleepingComputer diz ter estranhado a conversa cordial entre o hospital e os criminosos na negociação do pedido de resgate.

Depois que uma amostra dos dados roubados privados do hospital foi publicada no site de vazamento de dados do SunCrypt, o hospital contatou os atores da ameaça através do site de pagamento Tor, onde foram informados de que o resgate era de $ 1,7 milhão. Os agressores disseram a eles que este resgate, entretanto, “é negociável devido à situação do COVID-19“.

Como o UHNJ tinha apenas dois servidores criptografados, eles estavam mais preocupados com a liberação dos dados do paciente e dispostos a pagar um resgate para evitar que fossem mais liberados. “Queremos evitar qualquer vazamento adicional de nossos dados e é por isso que estamos falando com você”, disse UHNJ ao operador do ransomware.

Não está totalmente claro quais informações estavam contidas nos arquivos roubados, mas os operadores de ransomware alegaram ter “varreduras de ID, DOB, SSN, tipo de doença“.

Depois de uma série de negociações, eles concordaram com um resgate de $ 672.744, ou 61,90 bitcoins, e o hospital enviou um pagamento para o endereço de bitcoin fornecido em 19 de setembro.

Depois que as negociações foram concluídas, o operador do ransomware disse ao UHNJ: “Você também fez um ótimo trabalho. Nossa administração nos deve.”

Como parte das negociações, os operadores de ransomware concordaram em fornecer um descriptografador, todos os dados roubados, um relatório de segurança e um acordo para não divulgar quaisquer dados roubados ou atacar o UHNJ novamente.

O Bleepcomputing relata que de acordo com o relatório de segurança recebido pela UHNJ, sua rede foi comprometida depois que um funcionário caiu em um esquema de phishing e forneceu suas credenciais de rede. Os operadores de ransomware então usaram essas credenciais de rede roubadas para fazer login no servidor Citrix da UHNJ e obter acesso à rede.

SunCrypt afirma que não terá mais como alvo hospitais

Em março, enquanto a pandemia do Coronavirus estava aumentando em todo o mundo, o BleepingComputer diz que contatou diferentes operações de ransomware para ver se eles atacariam organizações médicas e de saúde.

Os operadores de ransomware CLOP, DoppelPaymer, Maze e Nefilim declararam que não teriam como alvo hospitais e descriptografariam gratuitamente qualquer criptografado por engano.

O ransomware Netwalker foi o único que respondeu que qualquer organização, incluindo um hospital criptografado, teria que pagar.

O jornalista de violação de dados ‘Dissent Doe‘ do Databreaches.net relatou recentemente que entraram em contato com a SunCrypt depois de perceber que os dados do UHNJ foram removidos do site de vazamento de dados do ransomware.

A resposta deles ao jornalista foi um tanto surpreendente. Embora eles não fizessem nenhum comentário sobre a entidade médica, quando questionados se considerariam não atacar entidades médicas daqui para frente, seu porta-voz respondeu imediatamente: “Já está feito”. E eles queriam que soubéssemos que, mesmo quando atacaram uma entidade médica no passado, eles cuidadosamente evitaram trancar sistemas de suporte de vida ou interferir em qualquer operação hospitalar. “Não brincamos com a vida das pessoas. E nenhum outro ataque será feito contra as organizações médicas, mesmo dessa forma suave“, disse SunCrypt ao Databreaches.net.

Segundo o site, a SunCrypt disse que se compromete a deixar as entidades médicas em paz, O DataBreaches.net espera que eles cumpram sua promessa. O site questionou em quem eles estarão se concentrando e , de acordo com o porta-voz, “a Suncrypt está atrás das empresas de segurança cibernética” e eles dizem que todos veremos uma prova disso em breve.