Malware usado na Ucrânia gera alerta para o setor de saúde dos EUA

Entidades dos setores de saúde e saúde pública devem estar vigilantes no monitoramento e trabalhar proativamente para evitar que sejam vítimas de malware de limpeza e ataques de grupos de ameaças com vínculos com a Rússia, à luz do ataque não provocado à Ucrânia, de acordo com um alerta do Departamento. Centro de Coordenação de Cibersegurança de Saúde e Serviços Humanos.

O alerta se junta a um aviso anterior da American Hospital Association que detalha os esforços de remediação recomendados que as entidades fornecedoras devem empregar para reforçar proativamente sua postura cibernética à luz da maior ameaça às organizações de infraestrutura.

O conflito em curso “se espalhou para o ciberespaço”, com aliados de ambos os lados trabalhando para frustrar as capacidades cibernéticas dos outros grupos. O alerta mais recente mostra as táticas específicas e as ameaças baseadas em malware que podem afetar as organizações de prestação de serviços de saúde.

No momento, o HC3 não tem conhecimento de nenhuma ameaça específica ao setor de saúde, mas espera-se que duas variantes de malware sejam “utilizadas em quaisquer ataques colaterais, que podem afetar o setor de saúde e saúde pública dos EUA nesta campanha”.

O alerta também detalha três grupos de ameaças que podem impactar esses setores, que incluem agências governamentais russas, grupos cibercriminosos russos e outras entidades que não fazem parte do governo.

“Isso não quer dizer que outros atores de ameaças possam ou não se envolver, mas esses três grupos são o foco principal neste momento”, de acordo com o alerta. “É muito possível que outros grupos de cibercriminosos tenham ou se juntem ao conflito e tragam consigo suas ferramentas, táticas, técnicas e armas personalizadas.”

Alerta destaca grupo de ameaças Conti, malware observado na Ucrânia

A Rússia é bem conhecida por suas capacidades cibernéticas que visam “infraestrutura crítica em prol de seus objetivos geopolíticos”. Em particular, o incidente NotPetya de 2017 lançado contra a Ucrânia teve um efeito cascata em todo o mundo, incluindo pelo menos 10 entidades ligadas ao setor de saúde dos EUA.

Especificamente, as entidades de saúde devem se familiarizar com as táticas usadas pela Conti , que notoriamente tem como alvo o setor de saúde, mesmo em meio à crise pandêmica em andamento. A Conti é conhecida por explorar Provedores de Serviços Gerenciados (MSPs), enquanto emprega grandes caças, ataques em vários estágios e esforços de extorsão combinados com ataques de ransomware.

Os provedores também devem analisar informações sobre duas variantes de malware de limpeza atualmente em “uso significativo” contra a Ucrânia: HermeticWiper e WhisperGate .

HermeticWiper é uma nova forma de malware de limpeza de disco com pelo menos uma versão identificada com o nome de arquivo Trojan.Killdisk, usado para atacar organizações da Ucrânia pouco antes da invasão russa. O malware é implantado com um arquivo executável, assinado com um certificado emitido para “Hermetica Digital Ltd” e contém arquivos de driver de 32 e 64 bits compactados pelo algoritmo Lempel-Ziv.

“O malware descartará o arquivo correspondente de acordo com a versão do sistema operacional do sistema infectado”, observa o alerta. Uma vez implantado, “o limpador danificará o Master Boot Record (MBR) do computador infectado, tornando-o inoperável”.

O limpador tem como alvo os dispositivos Windows e manipula o registro de inicialização de forma a causar falha. Ele também ajusta seus privilégios de token de processo, enquanto dá ao malware controle de acesso de leitura a qualquer arquivo na lista de controle de acesso. Fora de suas capacidades destrutivas, o HermeticWiper parece não ter mais recursos.

A segunda variante de malware do limpador, WhisperGate, é uma nova forma de malware de limpeza de disco que se acredita operar em três partes: um limpador de arquivos, um gerenciador de inicialização que corrompe os discos locais e um downloader baseado no Discord. O bootload complementa sua contraparte do limpador de arquivos, que trabalha em conjunto para “corromper irrevogavelmente os dados da vítima e tentar se disfarçar como operações de ransomware”.

Pesquisadores de segurança identificaram várias variantes do HermeticWiper e do WhisperGate em estado selvagem, para as quais o HC3 incluiu uma lista de fornecedores de recursos que as organizações devem revisar para entender melhor a ameaça e os impactos. Esses recursos incluem medidas recomendadas de defesa, mitigação e remediação e indicadores de comprometimento. 

Além disso, o HC3 enfatizou que essas são apenas duas possíveis variantes de malware com possíveis impactos na saúde. Dadas as altas capacidades da Rússia, os provedores devem revisar os insights federais sobre ameaças e táticas apoiadas pela Rússia.

Fonte: https://www.scmagazine.com/