FBI e DHS alertam sobre possíveis ataques de ransomware em sistemas importantes de saúde
O Federal Bureau of Investigation (FBI), os Departamentos de Segurança Interna e de Saúde e Serviços Humanos (HHS) dos EUA emitiram um alerta conjunto na quarta-feira alertando sobre um aumento “iminente” de ransomware e outros ataques cibernéticos contra hospitais e prestadores de saúde.
“Atores cibernéticos maliciosos são orientadas para o [Cuidados de Saúde e Saúde Pública] Sector com malware TrickBot, muitas vezes levando a ataques de ransomware, roubo de dados e interrupção dos serviços de saúde”, a Segurança Cibernética e da Agência de Segurança Infra-estrutura disse em seu comunicado.
O infame botnet normalmente se espalha através de e-mail de spam malicioso para destinatários desavisados e pode roubar dados financeiros e pessoais e lançar outro software, como ransomware, em sistemas infectados.
É importante notar que os cibercriminosos já usaram o TrickBot contra um importante provedor de saúde, o Universal Health Services , cujos sistemas foram danificados pelo ransomware Ryuk no mês passado.
O TrickBot também viu uma grande interrupção em sua infraestrutura nas últimas semanas, com a Microsoft orquestrando uma remoção coordenada para tornar seus servidores de comando e controle (C2) inacessíveis.
“O desafio aqui é por causa das tentativas de queda, a infraestrutura do TrickBot mudou e não temos a mesma telemetria que tínhamos antes”, disse Alex Holden da Hold Security ao The New York Times .
Embora o relatório federal não nomeie nenhum ator de ameaça, o comunicado faz uma nota sobre a nova estrutura de backdoor Anchor do TrickBot, que foi recentemente portada para o Linux para atingir mais vítimas de alto perfil.
“Esses ataques geralmente envolviam exfiltração de dados de redes e dispositivos de ponto de venda”, disse a CISA. “Como parte do novo conjunto de ferramentas Anchor, os desenvolvedores do Trickbot criaram Anchor_DNS, uma ferramenta para enviar e receber dados de máquinas vítimas usando tunelamento de Sistema de Nome de Domínio (DNS).”
Como o Hacker News relatou ontem, Anchor_DNS é um backdoor que permite que as máquinas das vítimas se comuniquem com servidores C2 via túnel DNS para evitar produtos de defesa de rede e fazer com que suas comunicações se misturem ao tráfego DNS legítimo.
Também coincidindo com o aviso está um relatório separado da FireEye, que chamou um grupo de ameaças com motivação financeira que chama de ” UNC1878 ” para a implantação de ransomware Ryuk em uma série de campanhas dirigidas contra hospitais, comunidades de aposentados e centros médicos.
Instando o setor de HPH a corrigir sistemas operacionais e implementar segmentação de rede, a CISA também recomendou não pagar resgates, acrescentando que isso pode encorajar malfeitores a visar organizações adicionais.
“Faça backups regulares de dados, intervalos de ar e proteja com senha as cópias offline”, disse a agência. “Implementar um plano de recuperação para manter e reter várias cópias de dados confidenciais ou proprietários e servidores em um local seguro e fisicamente separado.”
Fonte: https://thehackernews.com/2020/10/ransomware-attack-hospital.html