Novo grupo de ransomware compromete sistemas de hospitais nos EUA e preocupa FBI
O FBI lançou um alerta a nível nacional sobre a ameaça de ransomware Hive, após o grupo derrubar a rede do Memorial Health System na metade de agosto.
O alerta explica que o Hive é um ransomware operado por afiliados, cuja atuação foi observada pela primeira vez em junho; a ameaça implementa “diversos mecanismos para comprometer redes de negócios, incluindo e-mails de phishing com anexos maliciosos, para obter acesso à rede, e Remote Desktop Protocol, para mover lateralmente, uma vez infiltrado”, explica o FBI.
Depois de comprometer a rede da vítima, os criminosos, munidos do ransomware, extraem dados e criptografam arquivos na rede. Em seguida, deixam uma nota de resgate em cada diretório afetado dentro do sistema da vítima, que fornece instruções sobre como comprar o software para descriptografar o sistema.
“A nota de resgate também ameaça vazar dados extraídos da vítima no site ‘HiveLeaks‘”, pontua a agência de segurança estadunidense.
O que está por trás do Hive
“O ransomware Hive busca processos relacionados a backups, antivírus / antispyware e cópia de arquivos e os encerra para facilitar a criptografia de arquivos. Os arquivos criptografados geralmente terminam com a extensão .hive.”
O alerta também explica como o ransomware corrompe sistemas e backups antes de direcionar as vítimas a um link do “departamento de vendas” do grupo, que pode ser acessado por meio de um navegador TOR. O link leva as vítimas a um chat ao vivo com as pessoas por trás do ataque, mas o FBI observou que algumas vítimas sequer precisaram entrar em contato – os próprios cibercriminosos foram atrás delas.
Além disso, a maioria das vítimas tem um prazo de pagamento que varia entre dois e seis dias, mas algumas conseguiram estender esse período por meio de negociação.
O grupo opera um “site de vazamento” próprio, que eles usam para intimidar as vítimas a pagar a quantia solicitada em troca da chave de descriptografia. O FBI incluiu, no alerta, indicadores de comprometimento de rede, um link para o local da divulgação de dados e uma amostra de uma nota de resgate enviada a uma vítima.
Setor de saúde em risco
Contudo, o que faz do Hive mais do que “apenas mais um ransomware”, é sua ameaça para o setor hospitalar. John Riggi, consultor sênior de cibersegurança da American Hospital Association, disse que o Hive é “especialmente preocupante” para organizações de saúde.
O grupo atacou pelo menos 28 organizações desse stor, até agora, incluindo o Memorial Health System, que foi atingido por um ataque de ransomware no dia 15 de agosto. A organização sem fins lucrativos administra vários hospitais, clínicas e centros de saúde em Ohio e West Virginia, nos Estados Unidos.
Todos os casos cirúrgicos urgentes e exames de radiologia marcado para o dia 16 de agosto no hospital foram cancelados por conta do ataque. Além disso, os Departamentos de Emergência do Memorial Health System foram forçados a internar seus pacientes em hospitais vizinhos, se dispondo a continuar recebendo apenas pacientes que sofriam de acidentes vasculares cerebrais ou acidentes traumáticos. Qualquer outra pessoa que precisasse de ajuda era transportada para unidades hospitalares parceiras.
O FBI, a CISA e especialistas em segurança cibernética ajudaram o Memorial Health System a responder ao ataque.
Três dias depois, no entanto, o CEO do hospital admitiu que decidira pagar pelo resgate para receber as chaves de descriptografia.
“Concluímos um acordo e recebemos as chaves para desbloquear nossos servidores e começar a processar a recuperação. […] É uma boa notícia para nossa equipe termos recuperado nossas ferramentas. Trabalhamos com 800 servidores e mais de 3.000 dispositivos pessoais, que nossos médicos usam para atender seus pacientes. Por enquanto, manteremos apenas os serviços essenciais, mas, na próxima semana, devemos voltar aos serviços normais para atender a nossos pacientes com muito cuidado em face das adversidades”, comunicou ele.
Os sistemas do hospital desbloqueados no fim de semana subsequente ao ataque e o hospital afirma que não houve “indícios de que os dados de qualquer paciente ou funcionário tenham sido divulgados publicamente”.
Os responsáveis pelo Hive, porém, ainda são um mistério. O FBI desconfia de uma entidade do Leste Europeu que é “relativamente nova e sofisticada”, mas nenhum culpado foi apontado diretamente.
Mantenha seus sistemas protegidos. Conheça as soluções de segurança da Compugraf e saiba como podemos ajudar!
