Usuários de sistemas desatualizados do Microsoft Office 365 e de serviços de VPN são os mais afetados

Em março deste ano, o home office se tornou uma necessidade súbita e urgente, movimentando empresas a adotarem serviços de colaboração em nuvem, como o Microsoft Office 365, por exemplo, para que suas equipes pudessem continuar trabalhando.

Infelizmente, e compreensivelmente, a pressão foi alta para que essas empresas – que até ontem ou conheciam de forma superficial os serviços de cloud, ou sequer usavam qualquer serviço do tipo – passassem a depender quase que inteiramente de estar na nuvem.

Combinando a pressa com o desconhecimento e configurações errôneas e descuidadas, o caminho é asfaltado para que agentes maliciosos tenham acesso a dados corporativos sensíveis.

De acordo com este novo relatório que cobre as 10 principais vulnerabilidades exploradas rotineiramente pelo Departamento de Segurança Interna (DHS), pela Agência de Segurança de Infraestrutura (CISA) e pelo FBI – a mudança abrupta para o trabalho remoto o levou à implantação apressada de serviços de colaboração em nuvem, aumentando o risco de ataque cibernético em diversas organizações.

As omissões resultantes nas configurações de segurança são as principais culpadas. Mas essa é apenas uma das vulnerabilidades que as agências perceberam que estão sendo exploradas este ano.

Outra tendência para 2020 são os ciberataques que miram cada vez mais em vulnerabilidades de VPN (Rede Privada Virtual) sem patch. Estes são dois dos ataques específicos de vulnerabilidade de VPN que as agências detectaram:

• Uma vulnerabilidade de execução arbitrária de código, conhecida como CVE-2019-19781, em servidores da Citrix. A Citrix enviou patches porque os servidores vulneráveis ​​foram atacados em janeiro, porém a organização não deixou claro o que essa falha permitiria que os invasores fizessem. Com base na análise das mitigações propostas pela Citrix, a especulação era de que o problema permitia a travessia de diretórios – em outras palavras, oferecia aos criminosos uma maneira de acessar qualquer informação dos diretórios sem a necessidade de se autenticar.
• Uma vulnerabilidade arbitrária na leitura de arquivos nos servidores Pulse Secure, conhecida como CVE-2019-11510, que atrai agentes mal-intencionados até hoje. O que é lamentável é que, apesar de as correções estarem disponíveis desde abril de 2019, em janeiro de 2020 os invasores ainda estavam usando as falhas para se infiltrar em servidores sem patch, invadir redes corporativas e instalar ransomwares.

Sistemas sem patches pavimentam o caminho para os cibercriminosos

Tudo isso em 2020, e ainda nem chegamos ao ponto principal do relatório: as 10 vulnerabilidades mais exploradas dos anos de 2016 a 2019 – e que, de quebra, continuam rendendo algumas dores de cabeça este ano.

As agências de cibersegurança dos EUA nos alertam: é vital para a saúde das corporações ao redor do mundo que os profissionais de segurança de TI das empresas do setor público e privado tenham como “sua maior prioridade corrigir essas vulnerabilidades mais conhecidas, frequentemente exploradas ao longo dos últimos anos”.

A lógica por trás do relatório é fornecer detalhes sobre vulnerabilidades que são alvo rotineiro de ciber atacantes internacionais – classificadas como Vulnerabilidades e Exposições Comuns (CVEs) – para que as organizações reduzam o risco dessas ameaças, de acordo com os EUA.

Diretamente do relatório:

Atores cibernéticos continuam a explorar vulnerabilidades de software conhecidas publicamente – e muitas vezes datadas – contra conjuntos amplos de alvos, incluindo organizações do setor público e privado. A exploração dessas vulnerabilidades geralmente requer menos recursos em comparação com explorações de dia zero, por exemplo, para as quais não há patches disponíveis.

Em outras palavras, existem maneiras de forçar os atacantes a trabalhar muito mais: a saber, corrigindo os sistemas em tempo hábil, assim que possível, quando os patches forem lançados:

Os setores público e privado podem degradar algumas ameaças cibernéticas por meio de um esforço maior para corrigir seus sistemas e implementar programas para manter tais sistemas atualizados. Uma campanha concentrada em rever essas vulnerabilidades introduziria atritos nas tradições operacionais de adversários estrangeiros e os forçaria a desenvolver ou adquirir explorações que são mais caras e menos efetivas. Uma campanha de correções também reforçaria a segurança da rede, concentrando os poucos recursos defensivos nas atividades que representam maior risco para as empresas.

As 10 principais vulnerabilidades dos serviços em nuvem

A lista abaixo elenca as principais vulnerabilidades nas quais concentrar campanhas de correção através de patches. São as 10 principais vulnerabilidades mais exploradas em 2016-2019.

Nela, incluímos sua identificação de CVE, quais os produtos vulneráveis, quais os malwares associados (isto é, qual a família de malware comumente associada à exploração de cada CVE) e algumas estratégias de mitigação.

CVE-2017-11882

• Produtos vulneráveis: Produtos do Microsoft Office 2007 SP3 / 2010 SP2 / 2013 SP1 / 2016
• Malware associado: Loki, FormBook, Pony / FAREIT
• Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes

CVE-2017-0199

• Produtos vulneráveis: Microsoft Office 2007 SP3 / 2010 SP2 / 2013 SP1 / 2016, Vista SP2, Server 2008 SP2, Windows 7 SP1, Windows 8.1
• Malware associado: FINSPY, LATENTBOT, Dridex
• Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes

CVE-2017-5638

• Produtos vulneráveis: Apache Struts 2 2.3.x antes da atualização 2.3.32 e 2.5.x antes da atualização 2.5.10.1
• Malware associado: JexBoss
• Mitigação: Atualize para o Struts 2.3.32 ou Struts 2.5.10.1

CVE-2012-0158

• Produtos vulneráveis: Microsoft Office 2003 SP3, 2007 SP2 e SP3 e 2010 Gold e SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4 e 2008 SP2, SP3 e R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2 e 2009 Gold e R2; Visual FoxPro 8.0 SP1 e 9.0 SP2; e Visual Basic 6.0
• Malware associado: Dridex
• Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes.

CVE-2019-0604

• Produtos vulneráveis: Microsoft SharePoint
• Malware associado: China Chopper
• Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes.

CVE-2017-0143

• Produtos vulneráveis: Microsoft Windows Vista SP2; Windows Server 2008 SP2 e R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold e R2; Windows RT 8.1; e Windows 10 Gold, 1511 e 1607; e Windows Server 2016
• Malware associado: vários usando o EternalSynergy e o EternalBlue Exploit Kit
• Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes.

CVE-2018-4878

• Produtos vulneráveis: Adobe Flash Player anterior à atualização 28.0.0.161
• Malware associado: DOGCALL
• Mitigação: atualize a instalação do Adobe Flash Player para a versão mais recente.

CVE-2017-8759

• Produtos vulneráveis: Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 e 4.7
• Malware associado: FINSPY, FinFisher, WingBird
• Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes

CVE-2015-1641

• Produtos vulneráveis: Microsoft Word 2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word para Mac 2011, Office Compatibility Pack SP3, Serviços de Automação do Word no SharePoint Server 2010 SP2 e 2013 SP1 e Office Web Apps Server 2010 SP2 e 2013 SP1
• Malware associado: Toshliph, UWarrior
• Mitigação: atualize os produtos Microsoft afetados com os patches de segurança mais recentes

CVE-2018-7600

• Produtos vulneráveis: Drupal antes da 7.58, 8.x antes da atualização 8.3.9, 8.4.x antes da atualização 8.4.6 e 8.5.x antes da atualização 8.5.1
• Malware associado: Kitty
• Mitigação: Atualize para a versão mais recente do Drupal 7 ou 8 core.

Como fazer a mitigação das CVEs mais exploradas em 2020, até agora

CVE-2019-11510

• Produtos vulneráveis: Pulse Connect Secure 9.0R1 – 9.0R3.3, 8.3R1 – 8.3R7, 8.2R1 – 8.2R12, 8.1R1 – 8.1R15 e Pulse Policy Secure 9.0R1 – 9.0R3.1, 5.4R1 – 5.4R7, 5.3 R1 – 5.3R12, 5.2R1 – 5.2R12, 5.1R1 – 5.1R15
• Mitigação: atualize os dispositivos Pulse Secure afetados com os patches de segurança mais recentes.

CVE-2019-19781

• Produtos vulneráveis: Citrix Application Delivery Controller, Citrix Gateway e Citrix SDWAN WANOP
• Mitigação: atualize os dispositivos Citrix afetados com os patches de segurança mais recentes

Supervisões nas configurações de segurança do Microsoft O365

• Produtos vulneráveis: Microsoft O365
• Mitigação: Siga as recomendações de segurança do Microsoft O365

Não encontrou nenhum serviço adotado pela sua empresa nessa lista? O alerta vale mesmo assim!

Manter seus sistemas atualizados e seguir as recomendações do seu time de segurança é imprescindível para evitar ataques significativos por questões que poderiam facilmente ser evitadas.

Confira nas redes da Compugraf as recomendações dos nossos especialistas de segurança e não se esqueça de compartilhar esta notícia com o seu time!

Usando uma exploração conhecida para infectar sistemas antigos, o worm de ransomware, WannaCry, continua sendo um estudo de catástrofes evitáveis

Há três anos, WannaCry, um dos worms de ransomware mais agressivos de que se tem registro até hoje, ficou conhecido por comprometer rapidamente centenas de milhares de computadores e servidores desatualizados e sem patches, criptografando dados nos sistemas e desativando as operações das organizações afetadas.

A lista de vítimas variava de hospitais do Serviço Nacional de Saúde, no Reino Unido, fábricas de automóveis da Renault-Nissan, na França, e operações de transporte da FedEx, nos Estados Unidos. O custo de limpeza dos danos causados pelo WannaCry e a interrupção dos negócios superaram 8 bilhões de dólares, de acordo com estimativas.

O ataque chocou as empresas devido à velocidade com que se espalhava e aos seus efeitos destruidores.

"Foi a primeira vez que armas cibernéticas foram usadas contra o grande público", diz Craig Williams, diretor de extensão do grupo de pesquisa de segurança cibernética da CISCO. "Antes disso, havia worms, mas eles eram destrutivos porque eram auto-replicáveis e não chegavam nem perto de causar um estrago desse tamanho. Mesmo com amplo aviso sobre as vulnerabilidades [que acabaram potencializado os danos do ransomware], muitas pessoas não se preocuparam em corrigi-las e outras sequer tinham proteções."

O alerta do WannaCry para as empresas

Se o WannaCry nos deixou uma lição, é a seguinte: empresas que usam sistemas desatualizados, e não corrigem rigorosamente esses sistemas, correm riscos, não apenas de violações de dados, mas de ataques de ransomware que podem atrapalhar definitivamente as operações. .

Infelizmente, muitas empresas continuam ignorando essas lições e ainda estão usando software desatualizado e vulnerável a ataques destrutivos.

Jacob Noffke, principal engenheiro cibernético da Raytheon Intelligence & Space, em comunicado enviado à Dark Reading, declara:

"Muitos fizeram upgrade de seus sistemas operacionais mais antigos, isolaram melhor os sistemas sem patch usando firewalls e têm soluções de backup sólidas para minimizar o impacto e as chances de que o ransomware cause estragos em suas redes no futuro. Mas, infelizmente, nem todas as organizações fizeram o dever de casa – e, à medida que os ataques de ransomware continuam a evoluir, aqueles com defesas mais fracas serão o principal alvo de cibercriminosos que desejam capitalizar em ataques inspirados no WannaCry".

O WannaCry apareceu em 12 de maio de 2017, se espalhando rapidamente para mais de 200.000 sistemas Windows em 150 países em todo o mundo.

O ransomware se espalhou como um worm, usando a auto-propagação por meio de uma exploração remota tornada pública dois meses antes. A exploração, uma ex-arma cibernética criada pela Agência de Segurança Nacional e vazada pelo grupo de hackers Shadow Brokers, pode comprometer facilmente os sistemas que executam versões mais antigas do Microsoft Windows, como Windows XP, Windows 7, Windows Server 2003 e Windows Server 2008.

Em quatro dias, o ataque se espalhou para mais de 300.000 sistemas, segundo estimativas da época. Mais de 95% de todas as máquinas infectadas executaram versões sem patch do Windows 7 porque o WannaCry não atacou os sistemas Windows XP corretamente.

O ataque ao WannaCry, no entanto, ficou aquém do seu potencial de causar danos por causa dos esforços de Marcus Hutchins, um pesquisador de segurança cibernética – mais tarde revelado um ex-escritor de malware – que identificou um "botão de interrupção" no programa que poderia ser usado para parar o ataque.

O que aprendemos com o WannaCry?

Além de não usar sistemas desatualizados e sem patches, o WannaCry deixou ao setor de cibersegurança várias outras lições importantes:

O (ultra)passado nos assombra

O WannaCry deixou claro para as empresas que manter um software antigo conectado à Internet, sem as defesas apropriadas, é uma péssima ideia.

No entanto, correções provisórias continuam iludindo muitas empresas, e os sistemas antigos parecem sobreviver muito além de suas datas de vencimento.

Para se ter uma ideia, ainda hoje, mais de 600.000 computadores ainda expõem a porta de compartilhamento de arquivos SMB à Internet – uma configuração arriscada – e muitos deles podem estar na mira para novos ataques com a exploração EternalBlue usada pelo WannaCry.

Os invasores continuam procurando essa vulnerabilidade, com pelo menos 100 fontes diferentes ainda atrás de instâncias de compartilhamento de arquivos SMB vulneráveis à exploração, de acordo com dados coletados pela empresa de gerenciamento de vulnerabilidades Rapid7.

Worms podem afetar drasticamente as operações de qualquer empresa

O WannaCry também demonstrou como o ransomware pode prejudicar negócios e operações de empresas, causando entre milhões e bilhões em perdas que poderiam ter sido evitadas mais facilmente.

"Essas ameaças nunca desaparecem", reforça Williams, da CISCO. "No entanto, como muita atenção foi dada a esses ataques, a Internet mudou para sempre para melhor como resultado”.

Mas isso não significa que estamos mais preparados hoje.

Até que as empresas possam descobrir seu sistema crítico e corrigi-lo rapidamente, os negócios permanecem vulneráveis ​​a outro ataque.

A atribuição ainda é um desafio

Eventualmente, as agências de inteligência de cibersegurança culparam a Coreia do Norte pelo o ataque WannaCry. No entanto, pesquisadores de segurança debatem se os sinais de um desenvolvedor norte-coreano detectado no WannaCry eram significativos ou se eram um alarme falso.

Alguns pesquisadores apontaram o fato de que o WannaCry não tinha como alvo a propriedade intelectual e falhou em monetizar adequadamente os sistemas infectados, como um sinal de que um grupo mais amador provavelmente escreveu o código. A análise da linguagem postulou que as notas de resgate exibidas nos sistemas infectados provavelmente foram escritas por um autor de língua chinesa.

Com as táticas de bandeira falsa sendo usadas com mais frequência (onde um grupo de cibercriminosos atribui os ataques a outro país, usando sua bandeira|), tentar encontrar a fonte dos ataques só se tornará mais difícil.

"Eu adoraria ser otimista, mas ainda vemos worms de 20 anos atrás se espalhando na Internet hoje", diz Williams. "Existem sistemas que nunca serão corrigidos, que foram conectados há 10 anos e a organização se esqueceu deles".

Nas redes da Compugraf, nossos especialistas em segurança compartilham suas orientações para empresas mais seguras, especialmente agora em tempos de home office. Não deixe de conferir e de compartilhar com a sua equipe!

Ainda na onda do COVID-19, cibercriminosos compartilham arquivos .ISO e .IMG com o intuito de instalar uma versão de RAT (Remote Access Trojan) em dispositivos corporativos

Se unindo às organizações que têm alertado sobre um aumento nas campanhas de ciberataque em função da pandemia do novo coronavírus, a Microsoft informa que os seus modelos avançados de machine learning para detecção de ameaças ajudaram sua equipe a identificar novas ameaças de spam (malspam) que estão distribuindo arquivos de imagem de disco infectados por malware.

A campanha, detectada na semana passada (fins de abril de 2020), está usando temas relacionados ao COVID-19 como assuntos de e-mail para induzir os usuários a baixar e executar anexos de arquivos .ISO ou .IMG.

Pelo twitter, a Microsoft alerta que esses arquivos estão infectados com uma versão de RAT (Remote Access Trojan), que possibilita aos hackers ter total controle sobre os hosts infectados.

Além disso, a empresa diz que os invasores são persistentes e estão lançando várias campanhas diferentes de spam, visando empresas de diferentes setores, em vários países do mundo. Algumas das tentativas de ataque incluem:

• Uma campanha do malware Remcos mirando pequenas empresas americanas que desejam obter empréstimos para situações de desastre – algo muito comum no contexto do COVID-19. Nesse caso, as empresas receberam e-mails que se passavam pela Administração de Pequenas Empresas dos EUA (SBA), com um anexo .IMG (imagem de disco) malicioso. O anexo continha um arquivo executável que usa um ícone PDF enganoso. Quando executado, o arquivo instala o Remcos RAT;
• Uma campanha voltada para empresas de manufatura na Coréia do Sul, onde os invasores enviaram às organizações um e-mail se passando pela Rede de Alerta de Saúde do Centro de Controle de Doenças (CDC) que anexava um arquivo .ISO malicioso. O arquivo ISO, por sua vez, continha um arquivo SCR malicioso, que instala o Remcos.
• Outra campanha de Remcos, que teve como alvo contadores nos EUA, com e-mails supostamente contendo "atualizações relacionadas ao COVID-19" para membros do Instituto Americano de CPAs (Certified Public Accountant). O anexo era um arquivo ZIP contendo a mesma combinação ISO + SCR vista na campanha sul-coreana.

O objetivo final dessa operação ainda é desconhecido. No entanto, os autores de tais ameaças podem estar procurando empresas para ataques futuros, como ransomware, golpes de BEC (business e-mail compromise) ou espionagem industrial.

"O principal alerta que queríamos emitir, já que foi o que mais nos chamou a atenção, diz respeito ao uso de iscas através do COVID-19 e também das técnicas ligeiramente diferentes que encontramos nesses ataques, além dos tipos de anexos que estão enviando", disse Tanmay Ganacharya, diretor de pesquisa de segurança da proteção contra ameaças da Microsoft, em entrevista à mídia norte-americana.

"Eles estão usando arquivos de imagem e arquivos ISO, o que não é comum. Não é a primeira vez que testemunhamos ataques do tipo, mas também não é comum que os invasores façam isso".

As empresas que recebem esses tipos de anexos de email são instruídas a não executar os arquivos anexados.

96% das ameaças atuais utilizam arquivos únicos por máquina

O diretor de pesquisa e segurança da Microsoft, Ganacharya, creditou a aposta da empresa no machine learning como a razão pela qual a empresa percebeu essa campanha, em primeiro lugar.

Hoje, o produto antivírus da Microsoft evoluiu das técnicas antigas e antiquadas de detecção de malware com base em assinaturas de arquivo.

Ganacharya diz que malwares polimorfos (malware que muda regularmente) e malwares sem arquivo (malware que roda apenas na RAM, sem vestígios no disco) agora são recursos amplamente utilizados por cibercriminosos. Isso coloca os fornecedores de antivírus sempre um passo atrás da maioria das operações de malware, se o antivírus depender apenas da detecção da presença de um arquivo inválido conhecido.

"O cenário de ameaças mudou significativamente com ataques sem arquivo, com polimorfismo… Em mais de 96% das ameaças que vemos em todo o mundo, o ataque é feito através de um arquivo único por máquina", disse Ganacharya.

Com tudo isso, os modelos de machine learning do Defender, antivírus da empresa, agora são a principal arma da empresa contra ataques de malware desconhecidos e agentes de ameaças, ajudando a Microsoft a detectar os ataques nos seus primeiros estágios.

Mas não basta investir só no antivírus

O antivírus é apenas um dos recursos de proteção que vão manter sua empresa segura. Embora, sim, sejam necessários para proteger alguns vetores de ataque, é necessário estar atento a todos os caminhos pelos quais um cibercriminoso pode ter acesso a seus dispositivos.

E especialmente ao elo mais fraco dessa cadeia: as pessoas.

Em tempos como este que vivemos, muitos cibercriminosos estão se aproveitando da vulnerabilidade para conseguir abrir uma brecha nas redes corporativas e arquitetar ciberataques de maior complexidade.

Apenas no primeiro trimestre deste ano, já foram registrados aumentos nos ataques de phishing, engenharia social e ransomware, por exemplo. Embora o investimentos em soluções completas de defesa seja fundamental para garantir que todas as frentes da rede do seu negócio estarão protegidas, é necessário também um trabalho de educação dos colaboradores para diminuir o risco desses ataques.

Orientações a respeito dos principais arquivos maliciosos, treinamentos de proteção e conhecimento são armas importantes para o combate ao crescimento dos ciberataques.

A Compugraf tem mobilizado diversos esforços para ajudar empresas e seus colaboradores a se conscientizarem sobre os riscos que estão correndo, particularmente agora que o trabalho remoto foi adotado em larga escala. São vídeos, lives e textos com dicas de nossos especialistas em segurança – tudo visando compartilhar o máximo possível de informação!

Acesse nossas redes, confira nosso material e não deixe de compartilhar com sua equipe!

Grupos de cibercriminosos não poupam nem a Organização Mundial de Saúde. Aumento nos ataques também foi observado em hospitais e seguradoras

Desde que a pandemia do COVID-19 teve início, a Organização Mundial de Saúde tem registrado um aumento significativo – e gradativo – no número de ciberataques direcionados à sua equipe, bem como de golpes por e-mail (phishing) direcionados ao público em geral, interessados em saber mais sobre o novo coronavírus.

Na semana do dia 20 de abril, por exemplo, cerca de 450 endereços de e-mail e senhas de usuários da OMS foram divulgados na internet, além de milhares de dados pertencentes a outros profissionais que trabalham no combate à pandemia.

Em comunicado oficial, a organização assegura que as credenciais vazadas não colocam em risco os sistemas da OMS, porque os dados não são recentes. No entanto, o ataque impactou um sistema extranet mais antigo, usado por funcionários atuais e aposentados, além de parceiros.

Agora, a OMS está migrando os sistemas afetados para um mais seguro, com recursos mais sofisticados de autenticação.

Além disso, hackers têm personificado a OMS em e-mails, mirando cada vez mais o público em geral, a fim de canalizar doações para um fundo fictício e não para o autêntico Fundo de Resposta Solidária ao COVID-19. O número de ataques cibernéticos agora é mais de cinco vezes o número direcionado à organização no mesmo período do ano passado, segundo consta no mesmo comunicado oficial.

“Garantir a segurança das informações Estados Membros da OMS e a privacidade dos usuários que interagem conosco são uma prioridade para a nossa organização em todos os momentos, mas também particularmente durante a pandemia do COVID-19. Somos gratos pelos alertas que recebemos dos Estados Membros e do setor privado. Estamos todos juntos nessa luta ”, informa Bernardo Mariano, diretor de informações da OMS.

Como medida adicional de proteção, a OMS está trabalhando junto ao setor privado para estabelecer sistemas internos mais robustos e fortalecer medidas de segurança, além de estar educando sua equipe sobre os potenciais riscos associados à segurança cibernética.

A OMS pede que o público permaneça vigilante contra e-mails fraudulentos e recomenda o uso de fontes confiáveis ​​para obter informações factuais sobre o COVID-19 e outros problemas de saúde.

O transtorno, porém, não se limita à Organização Mundial de Saúde.

Instituições de saúde estão ainda mais vulneráveis a ciberataques

As instituições de saúde como um todo, de hospitais a seguradoras, estão sujeitas a um aumento de ataques cibernéticos à medida que a pandemia de coronavírus continua a crescer.

Afinal, com tanta gente interessada em notícias a respeito do COVID-19, e com tanta gente trabalhando de casa, cibercriminosos têm uma oportunidade única em mãos para aplicar golpes que mexem justamente com essas vulnerabilidas.

Apesar disso, a alguns grupos de hackers prometeram não atacar o setor por enquanto.

Em declaração, hackers prometem não atacar o setor de saúde

Mais cedo este ano, nos primeiros momentos da pandemia, Lawrence Abrams, criador do BleepingComputer, procurou alguns grupos de criminosos cibernéticos para fazer uma pergunta simples: você continuará tendo como alvo organizações de saúde durante a pandemia do COVID-19?

Os primeiros a responder foram os operadores de ransomware conhecidos como DoppelPaymer, que disseram a Abrams que “sempre tentam evitar hospitais e casas de repouso”. Ao atacar alvos do governo local, eles “não tocam no 911″, embora algumas vezes as comunicações de emergência sejam atingidas devido a configurações incorretas da rede.

Além disso, disseram que se uma organização médica ou de saúde for atingida por engano, eles fornecerão um código de decodificador gratuito.

As empresas farmacêuticas, porém, não estão incluídas nessa anistia de ransomware.

Os operadores da ameaça Maze também disseram que parariam de atacar organizações médicas até ” que a situação com o vírus” se estabilizasse. Os atores do Maze não confirmaram se um decodificador estaria disponível caso as organizações de saúde fossem infectadas acidentalmente.

Mas os ciberataques ao setor de saúde continuam…

Em 15 de março, o Departamento de Saúde e Ciências Sociais dos EUA foi atingido por um ataque cibernético que visava interromper suas atividades de combate ao COVID-19.

Um hospital na República Tcheca, responsável pelo processamento de testes de coronavírus, também sofreu um ataque cibernético. O hospital foi forçado a desligar toda a sua rede de TI durante o incidente e duas outras filiais do hospital, o Hospital Infantil e a Maternidade, também foram impactadas. O objetivo desse ataque ainda não foi esclarecido.

No entanto, presume-se que o aumento nos ataques seja o resultado de um cálculo insensato dos cibercriminosos de que hospitais e outras organizações de saúde talvez paguem resgates ainda maiores para recuperar o controle de serviços críticos nestes tempos caóticos.

Algumas pesquisas observam que os cibercriminosos se preparavam para ataques futuros já em janeiro, quando começaram a comprar domínios da web quase idênticos aos usados ​​pela Organização Mundial de Saúde ou pelo Centro de Controle e Prevenção de Doenças.

Porém, mesmo antes da pandemia de coronavírus, os relatórios indicavam que os serviços de saúde são um dos maiores alvos dos ataques ransomware e cibernético.

Em 2017, a Força-Tarefa de Segurança Cibernética do Setor de Saúde, convocada pelo Departamento de Saúde e Serviços Humanos dos EUA, constatou que a segurança cibernética dos serviços de saúde estava em “condição crítica”.

Já um relatório de 2020 revelou que, no ano passado, no Reino Unido, 67% das organizações de saúde sofreram um incidente de segurança cibernética.

No Brasil, o risco não é tão grave quanto para países com influência mundial, como é o caso dos EUA ou do Reindo Unido. Ainda assim, o aumento no número de ataques visando o setor é preocupante e, portanto, vale o alerta. Afinal, como o vírus, um ciberataque é uma ameaça invisível, capaz atingir, a qualquer momento, qualquer um que esteja desprevenido.

Nas redes da Compugraf, ajudamos você e sua empresa a se proteger. Acompanhe nossos materiais e compartilhe com o seu time!