FBI e DHS alertam sobre possíveis ataques de ransomware em sistemas importantes de saúde

“Atores cibernéticos maliciosos são orientadas para o [Cuidados de Saúde e Saúde Pública] Sector com malware TrickBot, muitas vezes levando a ataques de ransomware, roubo de dados e interrupção dos serviços de saúde”, a Segurança Cibernética e da Agência de Segurança Infra-estrutura disse em seu comunicado.

O infame botnet normalmente se espalha através de e-mail de spam malicioso para destinatários desavisados ​​e pode roubar dados financeiros e pessoais e lançar outro software, como ransomware, em sistemas infectados.

É importante notar que os cibercriminosos já usaram o TrickBot contra um importante provedor de saúde, o Universal Health Services , cujos sistemas foram danificados pelo ransomware Ryuk no mês passado.

O TrickBot também viu uma grande interrupção em sua infraestrutura nas últimas semanas, com a Microsoft orquestrando uma remoção coordenada para tornar seus servidores de comando e controle (C2) inacessíveis.

“O desafio aqui é por causa das tentativas de queda, a infraestrutura do TrickBot mudou e não temos a mesma telemetria que tínhamos antes”, disse Alex Holden da Hold Security ao The New York Times .

Embora o relatório federal não nomeie nenhum ator de ameaça, o comunicado faz uma nota sobre a nova estrutura de backdoor Anchor do TrickBot, que foi recentemente portada para o Linux para atingir mais vítimas de alto perfil.

“Esses ataques geralmente envolviam exfiltração de dados de redes e dispositivos de ponto de venda”, disse a CISA. “Como parte do novo conjunto de ferramentas Anchor, os desenvolvedores do Trickbot criaram Anchor_DNS, uma ferramenta para enviar e receber dados de máquinas vítimas usando tunelamento de Sistema de Nome de Domínio (DNS).”

Como o Hacker News relatou ontem, Anchor_DNS é um backdoor que permite que as máquinas das vítimas se comuniquem com servidores C2 via túnel DNS para evitar produtos de defesa de rede e fazer com que suas comunicações se misturem ao tráfego DNS legítimo.

Também coincidindo com o aviso está um relatório separado da FireEye, que chamou um grupo de ameaças com motivação financeira que chama de ” UNC1878 ” para a implantação de ransomware Ryuk em uma série de campanhas dirigidas contra hospitais, comunidades de aposentados e centros médicos.

Instando o setor de HPH a corrigir sistemas operacionais e implementar segmentação de rede, a CISA também recomendou não pagar resgates, acrescentando que isso pode encorajar malfeitores a visar organizações adicionais.

“Faça backups regulares de dados, intervalos de ar e proteja com senha as cópias offline”, disse a agência. “Implementar um plano de recuperação para manter e reter várias cópias de dados confidenciais ou proprietários e servidores em um local seguro e fisicamente separado.”

Fonte: https://thehackernews.com/2020/10/ransomware-attack-hospital.html