EUA: Hospitais UHS são atingidos por um ataque do ransomware Ryuk em todo o país
A Universal Health Services (UHS), um hospital Fortune 500 e provedor de serviços de saúde, supostamente fechou sistemas em instalações de saúde nos Estados Unidos após um ataque cibernético que atingiu sua rede durante a manhã de domingo.
UHS opera mais de 400 instalações de saúde nos EUA e no Reino Unido, tem mais de 90.000 funcionários e fornece serviços de saúde a aproximadamente 3,5 milhões de pacientes a cada ano.
A empresa Fortune 500 teve receitas anuais de US $ 11,4 bilhões em 2019 e está no 330º lugar no ranking da Forbes das maiores empresas públicas dos EUA.
Atacado durante a noite
De acordo com relatórios vindos de funcionários do UHS, os hospitais do UHS nos Estados Unidos, incluindo os da Califórnia, Flórida, Texas, Arizona e Washington DC, ficam sem acesso a sistemas de computador e telefone.
No momento, os hospitais afetados estão redirecionando ambulâncias e realocando pacientes que precisam de cirurgia para outros hospitais próximos.
“Quando o ataque aconteceu vários programas antivírus foram desativados pelo ataque e discos rígidos apenas iluminou-se com a atividade”, um dos relatórios lê .
“Depois de mais ou menos 1 minuto disso, os computadores se desconectaram e desligaram. Quando você tenta religar os computadores, eles automaticamente desligam.
“Não temos acesso a nada baseado em computador, incluindo laboratórios antigos, ekgs ou estudos de radiologia. Não temos acesso ao nosso sistema de radiologia PACS.”
Os funcionários também foram instruídos a desligar todos os sistemas para impedir que os invasores alcancem todos os dispositivos da rede.
Ryuk ransomware por trás do ataque
Embora o UHS não tenha feito nenhuma declaração oficial sobre o ataque, relatórios vindos de funcionários mostram todos os sinais de um ataque de ransomware, começando com seu lançamento durante a noite para evitar a detecção antes de criptografar o máximo de sistemas possível e o desligamento imediato de todos os sistemas após foi descoberto para evitar que mais dispositivos sejam bloqueados.
Um funcionário disse à BleepingComputer que, durante o ciberataque, os arquivos estavam sendo renomeados para incluir a extensão .ryk. Esta extensão é usada pelo Ryuk ransomware.
Outro funcionário do UHS nos disse que uma das telas dos computadores afetados mudou para exibir uma nota de resgate dizendo “Shadow of the Universe”, uma frase semelhante à que aparece na parte inferior das notas de resgate de Ryuk.
Com base nas informações compartilhadas com o BleepingComputer por Vitali Kremez da Advanced Intel , o ataque ao sistema UHS provavelmente começou por meio de um ataque de phishing.
De acordo com Kremez, sua plataforma de inteligência Andariel detectou os cavalos de Troia Emotet e TrickBot afetando a UHS Inc. ao longo de 2020 e, mais recentemente, em setembro de 2020.
O trojan Emotet é espalhado por meio de e-mails de phishing contendo anexos maliciosos que instalam o malware no computador da vítima.
Depois de algum tempo, o Emotet também instalará o TrickBot, que acaba abrindo um shell reverso para os operadores do Ryuk após coletar informações confidenciais de redes comprometidas.
Depois que os atores do Ryuk obtêm acesso manual à rede, eles começam com o reconhecimento e, depois de obter credenciais de administrador, implantam cargas úteis de ransomware em dispositivos de rede usando PSExec ou PowerShell Empire.
Infelizmente, se este for um ataque de ransomware, também há uma grande chance de os invasores roubarem dados de pacientes e funcionários, o que aumentará ainda mais os danos.
Na semana passada, relatamos que um ataque de ransomware que afetou um hospital alemão levou à morte de um paciente em condições de risco de vida, após ser redirecionado para um hospital mais distante.
Quatro mortes também foram relatadas após o incidente que impactou as instalações do SUS, causado pelos médicos que tiveram que esperar os resultados do laboratório chegarem via correio. O BleepingComputer não foi capaz de corroborar de forma independente se as mortes estavam relacionadas ao ataque.
O BleepingComputer contatou o UHS para obter mais informações sobre o ataque, mas não obteve resposta.
Atualização de 28 de setembro, 12:23 EDT: UHS confirmou que foi vítima de um incidente de segurança e diz que nenhum paciente ou dados do funcionário foram afetados no incidente:
A rede de TI nas instalações dos Serviços Universais de Saúde (UHS) está offline no momento, devido a um problema de segurança de TI.
Implementamos extensos protocolos de segurança de TI e estamos trabalhando diligentemente com nossos parceiros de segurança de TI para restaurar as operações de TI o mais rápido possível. Enquanto isso, nossas instalações estão usando seus processos de backup estabelecidos, incluindo métodos de documentação offline. O atendimento ao paciente continua a ser prestado com segurança e eficácia.
Nenhum dado de paciente ou funcionário parece ter sido acessado, copiado ou comprometido de outra forma.
