Vários hospitais alvos na maior onda de ataques de ransomware dos EUA no que parece ser uma nova escalada de ataques cibernéticos direcionados.
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) divulgou um aviso de alerta na quarta-feira, dia 28 de outubro, à noite sobre a atividade de ransomware voltada para instalações de saúde. No Twitter, a CISA disse que “há uma ameaça iminente e crescente de crime cibernético para hospitais e provedores de saúde dos EUA“.
O comunicado conjunto de cibersegurança foi co-autoria da Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA), o Federal Bureau of Investigation (FBI) e o Departamento de Saúde e Serviços Humanos (HHS). Este comunicado descreve as táticas, técnicas e procedimentos (TTPs) usados por cibercriminosos contra alvos no setor de saúde e saúde pública (HPH) para infectar sistemas com ransomware, notadamente Ryuk e Conti, para obter ganhos financeiros.
“A CISA, o FBI e (o Departamento de Saúde e Serviços Humanos) têm informações confiáveis sobre uma ameaça crescente e iminente de crime cibernético aos hospitais e prestadores de saúde dos EUA“, afirmou o comunicado. “CISA, FBI e HHS estão compartilhando essas informações para fornecer um aviso aos provedores de saúde para garantir que tomem precauções oportunas e razoáveis para proteger suas redes contra essas ameaças.“
CISA, FBI e HHS avaliam que ciberatores maliciosos estão visando o setor HPH com malware TrickBot e BazarLoader, geralmente levando a ataques de ransomware, roubo de dados e interrupção de serviços de saúde.
Segundo o comunicado, essas questões serão particularmente desafiadoras para organizações dentro da pandemia COVID-19; portanto, os administradores precisarão equilibrar esse risco ao determinar seus investimentos em segurança cibernética.
Segundo o CISA e FBI, a empresa cibercriminosa por trás do TrickBot, que provavelmente também é o criador do malware BazarLoader, continuou a desenvolver novas funcionalidades e ferramentas, aumentando a facilidade, velocidade e lucratividade da vitimização. Esses agentes de ameaças usam cada vez mais carregadores – como TrickBot e BazarLoader (ou BazarBackdoor) – como parte de suas campanhas cibernéticas maliciosas. Os cibercriminosos disseminam o TrickBot e o BazarLoader por meio de campanhas de phishing que contêm links para sites maliciosos que hospedam o malware ou anexos com o malware. Os carregadores iniciam a cadeia de infecção distribuindo a carga útil; eles implantam e executam o backdoor a partir do servidor de comando e controle (C2) e o instalam na máquina da vítima.
O que começou como um cavalo de Troia bancário e descendente do malware Dyre, o TrickBot agora oferece a seus operadores um conjunto completo de ferramentas para conduzir uma miríade de atividades cibernéticas ilegais. Essas atividades incluem coleta de credenciais, exfiltração de correio, criptomineração, exfiltração de dados de ponto de venda e implantação de ransomware, como Ryuk e Conti.
Ransomware é um tipo de malware, ou software malicioso, que criptografa os arquivos da vítima. Em seguida, o invasor normalmente exige um resgate da vítima para restaurar o acesso aos dados mediante o pagamento. Os usuários geralmente recebem instruções sobre como pagar uma taxa para obter a chave de descriptografia. Os custos podem variar de algumas centenas a milhares de dólares, geralmente pagáveis a cibercriminosos em Bitcoin.
Ransomware e outros ataques cibernéticos tiveram um aumento acentuado neste ano, e os hospitais estão particularmente vulneráveis desde o início da pandemia global. Desde julho, hospitais em estados como Nova York, Nebraska, Ohio, Missouri e Michigan foram todos atacados por alguma forma de ransomware.
Até agora, o St. Lawrence Health Systems em Nova York e o Sky Lakes Medical Center em Oregon confirmaram à CNNque foram visados nos últimos dias. A University of Vermont Health Network disse em um comunicado à imprensa na quinta-feira que está enfrentando um problema “significativo” e “contínuo” de rede em todo o sistema e está investigando todas as causas possíveis, incluindo “um ataque cibernético malicioso“.
“Estamos enfrentando a ameaça à segurança cibernética mais significativa que já vimos nos Estados Unidos“, disse Charles Carmakal, vice-presidente sênior e CTO da Mandiant. “Um ator de ameaça com motivação financeira do Leste Europeu está deliberadamente visando e interrompendo hospitais dos EUA, forçando-os a desviar os pacientes para outros provedores de saúde. Os pacientes podem passar por um tempo de espera prolongado para receber cuidados intensivos.“
Allan Liska, analista de inteligência da empresa Recorded Future, disse à CNN que sua empresa sabe de pelo menos seis ataques nas últimas 24 horas e “provavelmente há mais“. É “absolutamente a maior coisa que já vimos. Em termos de ransomware, é o maior ataque que já vimos“, disse ele, acrescentando que é “esmagador ver tantos hospitais atingidos ao mesmo tempo“.
Chris Krebs, diretor da CISA, alertou os profissionais de saúde e saúde pública para “levantarem os escudos! Suponha que Ryuk esteja dentro de casa. Executivos – estejam prontos para ativar os planos de continuidade de negócios e recuperação de desastres. Equipes de TI – patch, MFA, verificar logs, certifique-se de ter um bom ponto de backup. “
Em um comunicado do St. Lawrence Health Systems, o vírus foi identificado como uma nova variante do ransomware Ryuk, anteriormente desconhecido para fornecedores de software antivírus e agências de segurança.
Não se sabe quem executou os ataques, mas no geral, os incidentes representam uma expansão sólida das metas hospitalares em um curto período de tempo que têm buscado aproveitar o esmagamento que os hospitais enfrentam na esteira da pandemia global.
O ransomware pode ter efeitos devastadores. Mais recentemente, paralisou a rede de TI de um hospital alemão, resultando na morte de uma mulher que buscava tratamento de emergência.
De acordo com o vice-presidente corporativo de segurança do cliente e confiança da Microsoft, Tom Burt, o Ryuk é um cripto-ransomware sofisticado porque identifica e criptografa arquivos de rede e desativa a restauração do sistema do Windows para evitar que as pessoas possam se recuperar do ataque sem backups externos. Ryuk tem atacado organizações, incluindo governos municipais, tribunais estaduais, hospitais, lares de idosos, empresas e grandes universidades.
De acordo com Burt, Ryuk foi atribuído a ataques contra um empreiteiro do Departamento de Defesa, na cidade de Durham, na Carolina do Norte, um provedor de TI para 110 lares de idosos e vários hospitais durante a pandemia de Covid-19.
Fonte: CNN & CISA
Like this:
Like Loading...
Related
Deixe sua opinião!