A Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA), o FBI e o Departamento de Saúde e Serviços Humanos (HHS) emitiram um comunicado conjunto descrevendo as táticas, técnicas e procedimentos usados por cibercriminosos contra alvos no setor de saúde e saúde pública para infectar sistemas com o ransomware Ryuk. Segundo o comunicado, as informações são confiáveis sobre uma ameaça crescente e iminente de crime cibernético em hospitais e provedores de saúde dos Estados Unidos.
Eles destacam que desde 2016, a empresa cibercriminosa por trás do malware Trickbot continuou a desenvolver novas funcionalidades e ferramentas, aumentando a facilidade, velocidade e lucratividade da vitimização. O que começou como um cavalo de Troia (trojan) bancário e descendente do malware Dyre, oferece a seus operadores um conjunto completo de ferramentas para conduzir uma miríade de atividades cibernéticas ilegais. Essas atividades incluem coleta de credenciais, exfiltração de correio, criptomineração, exfiltração de dados de ponto de venda e implantação de ransomware, como o Ryuk.
No início de 2019, o FBI começou a observar novos módulos Trickbot chamados Anchor, que os agentes maliciosos normalmente usam em ataques contra vítimas de alto perfil, como grandes corporações. Esses ataques geralmente envolviam exfiltração de dados de redes e dispositivos de ponto de venda. Como parte do novo conjunto de ferramentas Anchor, os desenvolvedores do Trickbot criaram Anchor_DNS, uma ferramenta para enviar e receber dados das máquinas das vítimas usando o tunelamento do Sistema de Nomes de Domínio (DNS).
No comunicado, é explicado como o Trickbot se comporta até chegar no ransomware Ryuk que foi implantado como uma carga útil de cavalos de Troia bancários, como o Trickbot. O Ryuk apareceu pela primeira vez em agosto de 2018 como um derivado do ransomware Hermes 2.1, que surgiu no final de 2017 e estava disponível para venda no mercado aberto em agosto de 2018. Ao negociar a rede da vítima, os atores do Ryuk geralmente usam produtos comerciais prontos para roubar credenciais.
O comunicado também explica as técnicas de ataque do Ryuk e como é possível mitigar esse risco. A CISA, o FBI e o HHS incentivam as organizações do setor de saúde a manterem planos de continuidade de negócios para minimizar interrupções de serviço, estabelecendo um programa de continuidade viável que ajudará a mantê-las funcionando durante ataques cibernéticos ou outras emergências. Também é recomendável às organizações revisarem ou estabelecerem planos de patch, políticas de segurança, acordos de usuário e planos de continuidade de negócios para garantir que abordem as ameaças atuais representadas por agentes maliciosos.
Comentários Recomendados
Não há comentários para mostrar.
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.