Hackers atacam instalações críticas de saúde com ransomware durante pandemia de coronavírus

Como os hospitais de todo o mundo estão lutando para responder à crise do coronavírus, os cibercriminosos – sem consciência e empatia – estão continuamente alvejando organizações de saúde, centros de pesquisa e outras organizações governamentais com ransomware.

A nova pesquisa, publicada pela Palo Alto Networks e compartilhada com o The Hacker News, confirmou que “os atores de ameaças que lucram com o cibercrime vão de qualquer forma, incluindo alvejar organizações que estão na linha de frente e responder diariamente à pandemia”. . ”

Embora a empresa de segurança não tenha citado as últimas vítimas, disse que uma organização de saúde do governo canadense e uma universidade canadense de pesquisa médica sofreram ataques de ransomware, já que grupos criminosos buscam explorar a crise para obter ganhos financeiros.

Os ataques foram detectados entre 24 e 26 de março e foram iniciados como parte das campanhas de phishing com coronavírus que se espalharam nos últimos meses.

A divulgação da Palo Alto Networks ocorre quando o Departamento de Saúde e Serviços Humanos dos EUA ( HHS ), a empresa de biotecnologia 10x Genomics , o Hospital Universitário Brno na República Tcheca e a Hammersmith Medicines Research foram atingidos por ataques cibernéticos nas últimas semanas.

Ataque de Ransomware através da exploração CVE-2012-0158

Segundo os pesquisadores, a campanha começou com e-mails maliciosos enviados de um endereço falsificado que imitava a Organização Mundial da Saúde (noreply @ who [.] Int) que foi enviada a várias pessoas associadas à organização de saúde que está ativamente envolvida no COVID-19 esforços de resposta.

As iscas de e-mail continham um documento em formato RTF (Rich Text Format) chamado ” 20200323-sitrep-63-covid-19.doc “, que, quando aberto, tentou infectar com o EDA2 ransomware, explorando uma vulnerabilidade conhecida de estouro de buffer ( CVE-2012-0158 ) nos controles ActiveX do ListView / TreeView da Microsoft na biblioteca MSCOMCTL.OCX.

“É interessante notar que, embora o nome do arquivo faça referência clara a uma data específica (23 de março de 2020), o nome do arquivo não foi atualizado ao longo da campanha para refletir as datas atuais”, observaram os pesquisadores da Palo Alto Networks.

“Também é interessante que os autores de malware não tentaram fazer com que suas iscas parecessem legítimas de forma alguma; fica claro desde a primeira página do documento que algo está errado”.

Na execução, o binário do ransomware entra em contato com o servidor de comando e controle (C2) para baixar uma imagem que serve como a principal notificação de infecção por ransomware no dispositivo da vítima e depois transmite os detalhes do host para criar uma chave personalizada para criptografar os arquivos.

Além de receber a chave, o host infectado usa uma solicitação HTTP Post para enviar a chave de descriptografia, criptografada usando AES, ao servidor C2.

A Palo Alto Networks constatou que a variedade de ransomware era EDA2 com base na estrutura de código do binário e nos comportamentos baseados em host e em rede do ransomware. O EDA2 e o Hidden Tear são considerados um dos primeiros ransomwares de código aberto criados para fins educacionais, mas desde então foram abusados ​​por hackers para perseguir seus próprios interesses.

Um aumento nos incidentes de Ransomware

Os ataques de ransomware são uma conseqüência de um aumento em outros ataques cibernéticos relacionados à pandemia. Eles incluíram uma série de e-mails de phishing que tentam usar a crise para convencer as pessoas a clicar em links que baixam malware ou ransomware em seus computadores.

Além disso, o Relatório de Phishing de Marca da Check Point Research para o primeiro trimestre de 2020 observou um salto no phishing móvel, devido ao fato de as pessoas gastarem mais tempo em seus telefones para obter informações relacionadas ao surto e ao trabalho. Os invasores foram encontrados imitando serviços populares como Netflix, Airbnb e Chase Bank para roubar credenciais de login.

Com os hospitais sob restrições de tempo e pressão devido à pandemia em curso, os hackers contam com as organizações para pagar resgates para recuperar o acesso a sistemas críticos e evitar interrupções no atendimento ao paciente.

Um relatório divulgado pela RisKIQna semana passada, constatou que os ataques de ransomware a instalações médicas aumentaram 35% entre 2016 e 2019, com a demanda média de resgate sendo de US $ 59.000 em 127 incidentes. A empresa de segurança cibernética afirmou que os hackers também favoreciam pequenos hospitais e centros de saúde por razões que variam de suporte à segurança enxuta a maior probabilidade de atender às demandas de resgate.

O aumento nos ataques de ransomware contra o setor médico levou a Interpol a emitir um alerta sobre a ameaça aos países membros.

“Os cibercriminosos estão usando o ransomware para manter reféns digitalmente hospitais e serviços médicos, impedindo-os de acessar arquivos e sistemas vitais até que um resgate seja pago”, afirmou a agência.

Para proteger os sistemas contra esses ataques, a Interpol alertou as organizações a atentar para tentativas de phishing, criptografar dados confidenciais e fazer backups periódicos de dados, além de armazená-los offline ou em uma rede diferente para impedir criminosos cibernéticos.

Fonte: THN