Hackers atacam instalações críticas de saúde com ransomware durante pandemia de coronavírus
Como os hospitais de todo o mundo estão lutando para responder à crise do coronavírus, os cibercriminosos – sem consciência e empatia – estão continuamente alvejando organizações de saúde, centros de pesquisa e outras organizações governamentais com ransomware.
A nova pesquisa, publicada pela Palo Alto Networks e compartilhada com o The Hacker News, confirmou que “os atores de ameaças que lucram com o cibercrime vão de qualquer forma, incluindo alvejar organizações que estão na linha de frente e responder diariamente à pandemia”. . ”
Embora a empresa de segurança não tenha citado as últimas vítimas, disse que uma organização de saúde do governo canadense e uma universidade canadense de pesquisa médica sofreram ataques de ransomware, já que grupos criminosos buscam explorar a crise para obter ganhos financeiros.
Os ataques foram detectados entre 24 e 26 de março e foram iniciados como parte das campanhas de phishing com coronavírus que se espalharam nos últimos meses.
A divulgação da Palo Alto Networks ocorre quando o Departamento de Saúde e Serviços Humanos dos EUA ( HHS ), a empresa de biotecnologia 10x Genomics , o Hospital Universitário Brno na República Tcheca e a Hammersmith Medicines Research foram atingidos por ataques cibernéticos nas últimas semanas.
Ataque de Ransomware através da exploração CVE-2012-0158
Segundo os pesquisadores, a campanha começou com e-mails maliciosos enviados de um endereço falsificado que imitava a Organização Mundial da Saúde (noreply @ who [.] Int) que foi enviada a várias pessoas associadas à organização de saúde que está ativamente envolvida no COVID-19 esforços de resposta.
As iscas de e-mail continham um documento em formato RTF (Rich Text Format) chamado ” 20200323-sitrep-63-covid-19.doc “, que, quando aberto, tentou infectar com o EDA2 ransomware, explorando uma vulnerabilidade conhecida de estouro de buffer ( CVE-2012-0158 ) nos controles ActiveX do ListView / TreeView da Microsoft na biblioteca MSCOMCTL.OCX.
“É interessante notar que, embora o nome do arquivo faça referência clara a uma data específica (23 de março de 2020), o nome do arquivo não foi atualizado ao longo da campanha para refletir as datas atuais”, observaram os pesquisadores da Palo Alto Networks.
“Também é interessante que os autores de malware não tentaram fazer com que suas iscas parecessem legítimas de forma alguma; fica claro desde a primeira página do documento que algo está errado”.
Na execução, o binário do ransomware entra em contato com o servidor de comando e controle (C2) para baixar uma imagem que serve como a principal notificação de infecção por ransomware no dispositivo da vítima e depois transmite os detalhes do host para criar uma chave personalizada para criptografar os arquivos.
Além de receber a chave, o host infectado usa uma solicitação HTTP Post para enviar a chave de descriptografia, criptografada usando AES, ao servidor C2.
A Palo Alto Networks constatou que a variedade de ransomware era EDA2 com base na estrutura de código do binário e nos comportamentos baseados em host e em rede do ransomware. O EDA2 e o Hidden Tear são considerados um dos primeiros ransomwares de código aberto criados para fins educacionais, mas desde então foram abusados por hackers para perseguir seus próprios interesses.
Um aumento nos incidentes de Ransomware
Os ataques de ransomware são uma conseqüência de um aumento em outros ataques cibernéticos relacionados à pandemia. Eles incluíram uma série de e-mails de phishing que tentam usar a crise para convencer as pessoas a clicar em links que baixam malware ou ransomware em seus computadores.
Além disso, o Relatório de Phishing de Marca da Check Point Research para o primeiro trimestre de 2020 observou um salto no phishing móvel, devido ao fato de as pessoas gastarem mais tempo em seus telefones para obter informações relacionadas ao surto e ao trabalho. Os invasores foram encontrados imitando serviços populares como Netflix, Airbnb e Chase Bank para roubar credenciais de login.
Com os hospitais sob restrições de tempo e pressão devido à pandemia em curso, os hackers contam com as organizações para pagar resgates para recuperar o acesso a sistemas críticos e evitar interrupções no atendimento ao paciente.
Um relatório divulgado pela RisKIQna semana passada, constatou que os ataques de ransomware a instalações médicas aumentaram 35% entre 2016 e 2019, com a demanda média de resgate sendo de US $ 59.000 em 127 incidentes. A empresa de segurança cibernética afirmou que os hackers também favoreciam pequenos hospitais e centros de saúde por razões que variam de suporte à segurança enxuta a maior probabilidade de atender às demandas de resgate.
O aumento nos ataques de ransomware contra o setor médico levou a Interpol a emitir um alerta sobre a ameaça aos países membros.
“Os cibercriminosos estão usando o ransomware para manter reféns digitalmente hospitais e serviços médicos, impedindo-os de acessar arquivos e sistemas vitais até que um resgate seja pago”, afirmou a agência.
Para proteger os sistemas contra esses ataques, a Interpol alertou as organizações a atentar para tentativas de phishing, criptografar dados confidenciais e fazer backups periódicos de dados, além de armazená-los offline ou em uma rede diferente para impedir criminosos cibernéticos.
Fonte: THN