Novo grupo de ransomware compromete sistemas de hospitais nos EUA e preocupa FBI

O FBI lançou um alerta a nível nacional sobre a ameaça de ransomware Hive, após o grupo derrubar a rede do Memorial Health System na metade de agosto.

O alerta explica que o Hive é um ransomware operado por afiliados, cuja atuação foi observada pela primeira vez em junho; a ameaça implementa “diversos mecanismos para comprometer redes de negócios, incluindo e-mails de phishing com anexos maliciosos, para obter acesso à rede, e Remote Desktop Protocol, para mover lateralmente, uma vez infiltrado”, explica o FBI.

Depois de comprometer a rede da vítima, os criminosos, munidos do ransomware, extraem dados e criptografam arquivos na rede. Em seguida, deixam uma nota de resgate em cada diretório afetado dentro do sistema da vítima, que fornece instruções sobre como comprar o software para descriptografar o sistema.

“A nota de resgate também ameaça vazar dados extraídos da vítima no site ‘HiveLeaks‘”, pontua a agência de segurança estadunidense.

O que está por trás do Hive

“O ransomware Hive busca processos relacionados a backups, antivírus / antispyware e cópia de arquivos e os encerra para facilitar a criptografia de arquivos. Os arquivos criptografados geralmente terminam com a extensão .hive.”

O alerta também explica como o ransomware corrompe sistemas e backups antes de direcionar as vítimas a um link do “departamento de vendas” do grupo, que pode ser acessado por meio de um navegador TOR. O link leva as vítimas a um chat ao vivo com as pessoas por trás do ataque, mas o FBI observou que algumas vítimas sequer precisaram entrar em contato – os próprios cibercriminosos foram atrás delas.

Além disso, a maioria das vítimas tem um prazo de pagamento que varia entre dois e seis dias, mas algumas conseguiram estender esse período por meio de negociação.

O grupo opera um “site de vazamento” próprio, que eles usam para intimidar as vítimas a pagar a quantia solicitada em troca da chave de descriptografia. O FBI incluiu, no alerta, indicadores de comprometimento de rede, um link para o local da divulgação de dados e uma amostra de uma nota de resgate enviada a uma vítima.

Setor de saúde em risco

Contudo, o que faz do Hive mais do que “apenas mais um ransomware”, é sua ameaça para o setor hospitalar. John Riggi, consultor sênior de cibersegurança da American Hospital Association, disse que o Hive é “especialmente preocupante” para organizações de saúde.

O grupo atacou pelo menos 28 organizações desse stor, até agora, incluindo o Memorial Health System, que foi atingido por um ataque de ransomware no dia 15 de agosto. A organização sem fins lucrativos administra vários hospitais, clínicas e centros de saúde em Ohio e West Virginia, nos Estados Unidos.

Todos os casos cirúrgicos urgentes e exames de radiologia marcado para o dia 16 de agosto no hospital foram cancelados por conta do ataque. Além disso, os Departamentos de Emergência do Memorial Health System foram forçados a internar seus pacientes em hospitais vizinhos, se dispondo a continuar recebendo apenas pacientes que sofriam de acidentes vasculares cerebrais ou acidentes traumáticos. Qualquer outra pessoa que precisasse de ajuda era transportada para unidades hospitalares parceiras.

O FBI, a CISA e especialistas em segurança cibernética ajudaram o Memorial Health System a responder ao ataque.

Três dias depois, no entanto, o CEO do hospital admitiu que decidira pagar pelo resgate para receber as chaves de descriptografia.

“Concluímos um acordo e recebemos as chaves para desbloquear nossos servidores e começar a processar a recuperação. […] É uma boa notícia para nossa equipe termos recuperado nossas ferramentas. Trabalhamos com 800 servidores e mais de 3.000 dispositivos pessoais, que nossos médicos usam para atender seus pacientes. Por enquanto, manteremos apenas os serviços essenciais, mas, na próxima semana, devemos voltar aos serviços normais para atender a nossos pacientes com muito cuidado em face das adversidades”, comunicou ele.

Os sistemas do hospital desbloqueados no fim de semana subsequente ao ataque e o hospital afirma que não houve “indícios de que os dados de qualquer paciente ou funcionário tenham sido divulgados publicamente”.

Os responsáveis pelo Hive, porém, ainda são um mistério. O FBI desconfia de uma entidade do Leste Europeu que é “relativamente nova e sofisticada”, mas nenhum culpado foi apontado diretamente.

Mantenha seus sistemas protegidos. Conheça as soluções de segurança da Compugraf e saiba como podemos ajudar!

Empresas têm dificuldade em investir em recursos de segurança e profissionais sentem o impacto. Criminosos aproveitam brecha para trabalhar em ameaças mais complexas.

O que você vai ler hoje:

• Soluções de segurança de empresas não são suficientes para proteger contra ameaças avançadas
• Apple corrige falha crítica explorada por criminosos
• Profissionais de segurança estão sobrecarregados diante de falta de recursos
• Diretório de chaves de criptografia ajuda a economizar 1 bilhão de dólares em multas de ransomware

Soluções de segurança de empresas não são suficientes para proteger contra ameaças avançadas

A Agência da União Europeia para a Cibersegurança (European Union Agency for Cybersecurity, ou ENISA) analisou 24 ataques recentes realizados à cadeia de suprimentos de software e concluiu que um sistema de proteção robusto não é mais suficiente para manter empresas e fornecedores em segurança.

A análise se concentrou em ataques de ameaças persistentes avançadas (APTs) e observa que, embora o código, as explorações e o malware utilizados nos ataques não fossem considerados “avançados”, o planejamento, a preparação e a execução dos ataques eram bastante complexos. O relatório também observa que 11 dos ataques à cadeia de suprimentos foram conduzidos por grupos APT conhecidos.

“[…] uma organização pode ser vulnerável a um ataque à cadeia de suprimentos mesmo quando contam com defesas de qualidade, [pois] os invasores estão tentando explorar novas vias potenciais para se infiltrar em seus negócios”, pontua a ENISA.

Além disso, é esperado que os ataques à cadeia de suprimentos fiquem ainda piores: “é por isso que novas medidas de proteção para prevenir e mitigar possíveis ataques no futuro precisam ser introduzidas com urgência”.

A análise da ENISA ainda descobriu que os invasores se concentraram no código dos fornecedores em cerca de 66% dos incidentes relatados. A mesma proporção de fornecedores não estava ciente do ataque antes de sua divulgação.

“Isso mostra que as organizações devem concentrar seus esforços na validação de código e software de terceiros antes de usá-los, a fim de garantir que não sejam adulterados ou manipulados.”

Aos fornecedores, a agência recomenda:

• garantir que a infraestrutura usada para projetar, desenvolver, fabricar e entregar produtos, componentes e serviços siga as práticas de segurança cibernética;
• implementar um processo de desenvolvimento, manutenção e suporte de produto que seja consistente com os processos de seu desenvolvimento;
• monitorar vulnerabilidades de segurança relatadas por fontes internas e externas, incluindo componentes de terceiros;
• manter um inventário de ativos que inclua informações relevantes sobre os patches necessários, sempre que houver.

O relatório completo pode ser lido aqui.

Apple corrige falha crítica explorada por criminosos

A Apple corrigiu uma falha de dia zero no fim de julho. A vulnerabilidade foi encontrada nas duas plataformas da empresa – iOS e macOS – vinha sendo ativamente explorada, permitindo que cibercriminosos assumissem o sistema afetado.

A falha de corrupção de memória, rastreada como CVE-2021-30807, é encontrada na extensão IOMobileFrameBuffer que existe nos sistemas iOS e macOS, mas foi corrigida de acordo com a plataforma de dispositivo específica.

Explorar a CVE-2021-30807 permitiria que agentes da ameaça “executassem código arbitrário com privilégios de kernel”, disse a Apple na documentação que descreve as atualizações.

“A Apple está ciente de que esse problema pode ter sido explorado ativamente”, complementa a empresa.

Foram lançadas três atualizações para corrigir a vulnerabilidade em cada uma das plataformas: OS 14.7., IPadOS 14.7.1 e macOS Big Sur 11.5.1. Essas atualizações devem ser instaladas com urgência.

Profissionais de segurança estão sobrecarregados diante de falta de recursos

A falta de investimento faz com que equipes de segurança cibernética lutem para manter as redes corporativas seguras – e, diante do aumento do trabalho remoto e dos desafios de segurança adicionais, profissionais estão sentindo o impacto também em seu bem-estar.

Um estudo global de profissionais de segurança cibernética realizado pela Information Systems Security Association (ISSA) e pela empresa de análise da indústria Enterprise Strategy Group (ESG) adverte que essa falta de investimento, combinada com o desafio de cargas de trabalho adicionais, está resultando em uma escassez de habilidades que tem levado a lacunas empregatícias e alto desgaste entre profissionais de segurança da informação.

De acordo com o estudo, que entrevistou mais de 500 profissionais de segurança cibernética, 57% dizem que a falta de habilidades em segurança cibernética afetou a organização para a qual trabalham, enquanto pouco mais de 10% relataram um impacto significativo.

O efeito é um aumento da carga de trabalho para a equipe de segurança da informação, de acordo com 62% dos entrevistados. Isso teve um efeito indireto na saúde mental da equipe de segurança da informação, 38% dos quais afirmam ter experimentado o esgotamento como resultado de pressões de trabalho durante o que já foi um ano difícil.

Uma das razões pelas quais muitos funcionários da segurança cibernética têm lutado é o aumento repentino do trabalho remoto como resultado da pandemia global: 50% dos entrevistados dizem que isso levou a um aumento do estresse.

Por fim, quase quatro em cada dez (39%) dos profissionais de segurança cibernética dizem que sua organização está lutando para ocupar os cargos de segurança da computação em nuvem.

Diretório de chaves de criptografia ajuda a economizar 1 bilhão de dólares em multas de ransomware

No More Ransom, um repositório de descriptografadores de ransomware, ajudou mais de 6 milhões de vítimas a recuperar seus arquivos, mantendo quase um bilhão de euros fora das mãos de cibercriminosos, de acordo com um comunicado lançado recentemente.

Lançado há cinco anos, o No More Ransom é mantido por meio da cooperação entre o European Cybercrime Center e várias empresas de segurança cibernética, incluindo Kaspersky, Barracuda e AWS. Seu objetivo é evitar que as vítimas entreguem o dinheiro que ajuda a alimentar mais ataques de ransomware, de acordo com a Europol.

Em vez disso, o grupo direciona as vítimas para sua ferramenta, a Crypto Sheriff. Lá, as vítimas podem inserir o endereço URL, onion ou Bitcoin fornecido pelo invasor para pagar o resgate. A ferramenta pesquisa o banco de dados No More Ransom, que atualmente conta com 121 ferramentas para descriptografar 152 famílias de ransomware, de forma gratuita e disponível em 37 idiomas, de acordo com o grupo.

Mantenha sua empresa segura. Consulte as soluções de segurança da Compugraf e saiba como podemos te ajudar!

A segurança de endpoints de Sistemas de Controle Industrial se tornou ainda mais importante à medida que a intersecção sistemas de TI e de TO se expande. Com isso, pesquisadores de segurança compartilham os principais alertas a que empresas do setor industrial devem prestar atenção – como o aumento nos ataques de ransomware a esses sistemas, por exemplo.

O uso de Sistemas de Controle Industrial (Industrial Control Systems, ou ICS) torna as operações de distintos setores industriais mais eficientes. Esses sistemas são baseados na intersecção entre sistemas de Tecnologia da Informação (TI) e de Tecnologia Operacional (TO), o que, por um lado, favorece a agilidade e a eficácia desses sistemas, mas, por outro, torna soluções de ICS excepcionalmente suscetíveis a ameaças cibernéticas.

Proteger esses sistemas é vital para se prevenir de ataques de alta gravidade no setor industrial, e um dos componentes que melhor devem ser protegidos contra ameaças são os terminais de controle.

Esse é o alerta feito por um relatório de pesquisadores de segurança cibernética intitulado “ICS endpoints as starting points for threats”, publicado no fim de junho de 2021. Como mote, o estudo adverte que o ransomware é “uma ameaça preocupante e em rápida evolução para terminais de ICS ao redor do mundo”, sobretudo devido a um aumento significativo nas ocorrências desse tipo de ataque durante o ano de 2020.

Por que o setor industrial é o “alvo perfeito” para ataques de ransomware?

O grande motivador por trás de qualquer ataque de ransomware é relativamente simples: ganhar muito dinheiro, rápido.

Com isso em mente, cibercriminosos sabem que atacar sistemas de controle industrial, usados ​​para operar fábricas e ambientes de manufatura, que dependem de atividade ininterrupta, oferece boas chances de retorno – isto é, altas quantias e uma predisposição para realizar o pagamento pelo resgate muito maior. Afinal, quanto mais tempo sem poder operar, maior é a catástrofe para o setor industrial e seus favorecidos.

Imagine, por exemplo, se uma gangue sequestra a operação de fornecimento de água e energia para grandes cidades. Quanto tempo essas indústrias podem ficar inoperantes até que o abastecimento hidráulico e de luz seja comprometido em larga escala? E o que pode significar – econômica e socialmente – uma população inteira ficar sem água e sem energia? É a receita para o caos, certo?

Sendo assim, a vítima de um ataque desse tipo pode tomar a decisão de ceder às demandas absurdas de resgates cibernéticos, pagando valores exorbitantes para não correr o risco de causar um desastre.

Exemplos recentes de campanhas de ransomware bem-sucedidas – como o ataque contra a JBS, da indústria alimentícia – mostram o quão lucrativa essa estratégia pode ser: os cibercriminosos, que utilizaram o ransomware REvil, lucraram 11 milhões de dólares em bitcoin com o ataque.

Enquanto isso, o ataque contra o oleoduto da Colonial Pipeline, nos Estados Unidos, mostrou como um ataque de ransomware contra o setor industrial pode ter consequências em larga escala para a população, já que o fornecimento de gasolina para grande parte do nordeste do país foi interrompido por conta da ocorrência.

As campanhas miram em Sistemas de Controle Industrial de diferentes formas e se valendo de diferentes tipos de ransomware. Estas, porém, são as principais família creditadas em ataques:

Famílias de ransomware responsáveis por ataques a Sistemas de Controle Industrial

• Ryuk – 19.8%
• Nefilim – 14.6%
• Sodinokibi – 13.5%
• Lockbit – 10.4%
• Cryptesla – 7.3%
• Bitpaymer – 5.2%
• Egregor – 4.2%
• Locky – 4.2%
• Medusalocker – 3.1%
• Blocker – 2.1%
• Crypcrypmod – 2.1%
• Cryptwall – 2.1%
• Doppelpaymer – 2.1%
• Ledif – 2.1%
• Netwalker – 2.1%
• Coldlock – 1%
• Conti – 1%
• Exx – 1%
• Wannacrypt – 1%
• Zeppelin – 1%

Apenas quatro famílias são responsáveis por mais da metade de todos os ataques de ransomware, segundo o relatório.

Como se proteger de ciberataques

Para ajudar a proteger os endpoints de ICS contra ataques de ransomware e outros ciberataques, o relatório oferece algumas recomendações.

Assegurar que os sistemas contam com todas as atualizações de segurança é prioridade – algo que os pesquisadores reconhecem como um processo “tedioso”, mas necessário. Investindo em que as redes sejam corrigidas com as atualizações de segurança mais recentes, os criminosos não poderão explorar vulnerabilidades conhecidas que poderiam ser a porta de entrada para ameaças mais graves, como sequestro de dados.

Se o patch não for uma opção, a rede deve ser segmentada para isolar os Sistemas de Controle Industrial vulneráveis dos sistemas conectados à internet.

Também é recomendado que as redes ICS sejam protegidas com combinações fortes de nome de usuário e senha. A aplicação de autenticação multifator em toda a rede também pode ajudar a protegê-la contra invasões.

Mantenha os sistemas da sua empresa protegidos. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Existem muitos motivos pelos quais especialistas em segurança aconselham empresas a não pagar pelo resgate para recuperar dados criptografados após um ataque de ransomware. Por exemplo: desembolsar milhões de dólares para voltar a ter controle sobre os dados violados pode parecer a atitude mais indicada, mas, ao mesmo tempo, é justamente essa disposição para o pagamento de valores exorbitantes que estimula os ataques por parte de gangues de ransomware e outros cibercriminosos.

E, recentemente, pesquisadores descobriram mais um motivo – particularmente atraente para os criminosos – com o qual as vítimas de alto escalão tiveram de lidar recentemente: o processo de descriptografar os dados pode ser tão difícil e lento que acaba não oferecendo um caminho prático para a recuperação efetiva desses dados.

Conforme relatado em um post da Bleeping Computer, vítimas recentes de dois grandes ataques de ransomware aprenderam essa lição da forma mais difícil.

Um deles foi o hack que interrompeu as atividades da Colonial Pipeline – oleoduto dos Estados Unidos – no início de maio. A Colonial recebeu um descriptografador depois de concordar – e pagar – um resgate estimado em 4,4 milhões de dólares, na esperança de que o pagamento proporcionasse um atalho para a retomada de suas operações e o retorno à normalidade.

Mas, quando a empresa acionou o descriptografador para restaurar os dados comprometidos, chegou a uma conclusão nada feliz: o aplicativo de descriptografia fornecido pelos invasores da Colonial era tão lento que a empresa conluiu que a restauração manual dos backups seria necessária e mais efetiva.

No segundo incidente mapeado pela Bleeping Computer, o ransomware Conti, que infectou o Health Service Executive, um órgão irlandês que “oferece saúde pública e serviços sociais a todos que vivem na Irlanda”, gerou repercussão semelhante.

Percebendo que havia atingido um provedor de serviços de saúde, e seguindo uma espécie de “código de ética” entre cibercriminosos, onde acordou-se que, durante a pandemia, instituições de saúde seriam poupadas de ciberataques diversos, a gangue ofereceu um descriptografador sem nenhum custo.

Quando o HSE testou o descriptografador, no entanto, descobriu que era lento demais para ser usado. Para auxiliar a instituição a retomar suas atividades, a Emsisoft, fornecedora de soluções de segurança com sede na Nova Zelândia, desenvolveu seu próprio descriptografador personalizado, que supostamente funcionava duas vezes mais rápido – e lançou uma arma de combate a essa ameaça crescente.

Como as gangues de ransomware devem responder

Um dos principais motivos pelos quais o ransomware se transformou em um empreendimento criminoso de valor estimado em um bilhão de dólares é que as gangues de ransomware administram suas operações como empresas – isto é, com logística de negócios multinacionais.

Por exemplo, os criminosos entenderam que era fundamental que o software de descriptografia funcionasse conforme prometido – caso contrário, suas vítimas teriam muito pouca motivação para pagar os valores gritantes.

Eles frequentemente se ofereciam para descriptografar uma seleção de arquivos essenciais sem nenhum custo, para provar que podiam entregar o que prometiam e ganhar a confiança das vítimas.

Analisando o histórico dessa transações, no entanto, os descriptografadores estão longe de serem perfeitos. Alguns não davam conta de arquivos muito grandes, outros do grande número de arquivos criptografados. E teve ainda os que causaram tal estrago que tornaram os dados das vítimas irrecuperáveis.

Mas, com as vítimas começando a perceber que a solução de se apoiar nos descriptografadores das gangues de ransomware não aceleram, necessariamente, a recuperação dos dados comprometidos e a normalização de suas atividades, as gangues de ransomware podem muito bem resolver que melhorias são necessárias, a fim de se assegurar que continuarão operando.

A ascensão dos ataques de extorsão

Porém, o ransomware ascendeu ao status de negócio. E, portanto, no fim das contas, cabe a eles decidir como manterão seus empreendimentos lucrativos.

Os cibercriminosos podem, por um lado, não se sentir compelidos a gastar tempo ou energia em seus decodificadores. Afinal, o poder de barganha de uma ameaça de vazamento de dados sensíveis é inegável.

Além disso, a maioria das gangues de ransomware já consolidadas, hoje, contrata uma apólice de seguro quando violam a rede de uma vítima, para não correr o risco de perderem esse poder de barganha.

Outro ponto que vai contra a ideia de que pagar pelo resgate é o melhor caminho é que, em vez de simplesmente criptografar os dados, eles também podem subi-los furtivamente em seus próprios servidores. Uma vez nas mãos dos criminosos, esses dados podem ser vazados seletivamente para extorquir a vítima. Alguns extorsionários estão inclusive usando dados roubados para extorquir clientes ou fornecedores da vítima – como ocorreu com a Apple, após invasores sequestrarem os dados de um de seus principais fabricantes.

Sim, os criminosos prometem destruir os dados se as demandas forem atendidas, mas que garantia real as vítimas têm de que nenhuma cópia foi feita ou de que os arquivos sensíveis foram realmente excluídos com segurança – e que ninguém, nunca mais, terá acesso a eles?

A conta não fecha. No fim, faz muito mais sentido investir proativamente para se preparar para esses ataques e evitar surpresas e danos graves. Invista em um sistema de backup confiável e seguro. Não economize nas defesas de perímetro e endpoint. Tenha um plano completo de resposta a incidentes. Supervisione todas as superfícies de ataque. E, sobretudo, não subestime o poder que cibercriminosos têm de ultrapassar mesmo as camadas de segurança mais robustas. Todo o cuidado é pouco.

Quer saber como a Compugraf pode ajudar sua empresa e seus colaboradores a não serem vítimas de ataques como ransomware, phishing e outros? Consulte nossas soluções de segurança ou entre em contato! Nossos especialistas certamente poderão te ajudar!