Ransomware evoluído de dupla extorsão chega aos hospitais aproveitando-se da COVID-19
22 de abril de 2020Check Point alerta para o crescimento desta ameaça em que os cibercriminosos, antes de criptografar os bancos de dados dos equipamentos infectados, extraem grandes quantidades de informações com ransomware e ameaçam publicá-las para assegurar o pagamento de um resgate
Os pesquisadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder global de soluções de cibersegurança, identificaram a utilização de uma nova tática de ransomware, conhecida por “dupla extorsão”, por meio da qual os cibercriminosos agregam uma etapa extra ao seu ataque.
Antes de criptografar a base de dados das vítimas, eles conseguem extrair uma grande quantidade de informações confidencial para ameaçá-las com a publicação desses dados, a menos que seja pago um resgate. Para demonstrar que a ameaça é séria, os ciberatacantes filtram uma pequena parte da informação crítica na Dark Web, de modo a aumentar o nível de intimidação caso o resgate não seja pago.
O primeiro caso divulgado sobre este tipo de ataque de ransomware de “dupla extorsão” aconteceu em novembro de 2019 e envolveu a Alliad Universal, uma grande empresa dos Estados Unidos dedicada a soluções, sistemas e serviços de segurança.
Quando as vítimas se negaram a pagar o resgate solicitado no valor de 300 Bitcoins (aproximadamente US$ 2,3 milhões), os cibercriminosos, valendo-se do vírus “Maze”, ameaçaram utilizar a informação confidencial, os certificados de e-mail e os nomes de domínio roubados para elaborar uma campanha de spam com a identidade da empresa.
Ao mesmo tempo, publicaram uma amostra dos arquivos roubados que incluíam contratos, registros médicos, certificados de encriptação, entre outros dados.
Desde então, por meio do ransomware Maze foram publicados os detalhes de dezenas de empresas, escritórios de advocacia, prestadores de serviços médicos e seguradoras que não cederam aos pedidos de resgate. Estima-se que muitas outras empresas tenham evitado a publicação de seus dados confidenciais pagando o resgate exigido.
Lotem Finkelsteen – Diretor de Threat Intelligence da Check Point
“A dupla extorsão é uma tendência em voga entre os ataques de ransomware. Ao filtrar a informação confidencial na Dark Web como uma amostra de que a ameaça é séria, os cibercriminosos exercem muito mais pressão sobre suas vítimas”, afirma Lotem Finkelsteen, diretor de Threat Intelligence da Check Point.
“Esta variante de ciberameaça é especialmente preocupante para os hospitais, uma vez que, ao estarem totalmente voltados para o atenidmento de pacientes de Coronavirus, seria muito complicado enfrentarem um ataque com essas características. Por este motivo, aconselhamos aos hospitais que, agora, mais do que nunca, ampliem suas medidas de segurança”, ressalta Finkelsteen.
Os hospitais na mira dos cibercriminosos e do ransomware de dupla extorsão
A atual situação do setor de saúde é de saturação devido à concentração de todos os seus esforços no combate à propagação da COVID-19, fazendo com que tenham poucos recursos técnicos e de pessoal disponíveis para otimizar os seus níveis de cibersegurança.
Comunicado de imprensa do grupo por trás do Maze sobre o Coronavírus
Por este motivo, os especialistas da Check Point orientam para a adoção de uma estratégia de proteção baseada na prevenção, de modo a evitar que os hospitais se convertam numa nova vítima de ransomware como o NetWalker, que recentemente afetou vários hospitais espanhóis e norte-americanos. Para tal, as cinco principais ações de proteção a serem tomadas são:
Fazer uma cópia de segurança: é vital fazer backup dos arquivos importantes, procurando usar sistemas de armazenamento externo. Também é relevante utilizar ferramentas para realizar cópias de segurança de forma automática, se possível, para todos os funcionários, já que desta forma se minimiza o risco de erro humano caso esta ação não aconteça com regularidade.
Educação e treinamento aos funcionários para reconhecerem potenciais ameaças: os ataques mais comuns utilizados nas campanhas de ransomware continuam sendo os e-mails de spam e phishing. Em muitas ocasiões, o usuário pode prevenir um ataque antes que este ocorra. Para isso, é fundamental treinar os funcionários e consciencializá-los sobre os protocolos de atuação em caso de indícios de ciberataques.
Limitar o acesso à informação: para minimizar os riscos e o impacto de um possível ataque com ransomware, é fundamental controlar e limitar o acesso à informação e recursos, para que os funcionários só utilizem aqueles que são imprescindíveis para realizar o seu trabalho. Desta forma, reduz-se significativamente a possibilidade que um destes ataques afete toda a rede.
Ter sempre o software e o sistema operacional atualizados: contar sempre com a última versão do sistema operacional nos equipamentos, bem como dos programas instalados (entre eles o antivírus), e aplicar regularmente todos os pacotes de segurança evitará que os cibercriminosos tirem proveito de vulnerabilidades já existentes.
Vale lembrar que esta é a estratégia de mínimo esforço para os cibercriminosos, pois eles não têm de descobrir novas formas de ataque, a não ser utilizar aquelas já conhecidas e aproveitar a janela de oportunidade que lhes é oferecida pelo usuário até que atualize o sistema.
Implementar medidas de segurança avançadas: para além das proteções tradicionais baseadas em assinatura, como o antivírus e o IPS, as organizações necessitam incorporar camadas adicionais de segurança para se protegerem contra os malwares novos e desconhecidos.
Dois elementos importantes a serem considerados: a extração de ameaças (“limpeza” de arquivos) e a simulação de ameaças (sandboxing avançado). Cada elemento do ransomware proporciona um nível de segurança distinto que, quando utilizado conjuntamente, oferecem uma solução integral para a proteção contra o malware desconhecido tanto para a rede como para os dispositivos.
Pesquisa: Check Point destaca as ciberameaças relacionadas com o COVID-19
Indo além da continuidade dos negócios para proteger o ‘novo normal’ e a segurança cibernética
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (www.checkpoint.com/pt/) é um fornecedor líder em soluções de cibersegurança para governos e empresas privadas globalmente. As suas soluções protegem os clientes contra ciberataques de 5ª geração (Gen V) com um índice de captura líder de mercado de malware, ransomware e outros tipos de ataques.
A Check Point oferece arquitetura de segurança multinível “Infinity” Total Protection com prevenção de ameaças avançadas Gen V, que protege as informações de nuvem, rede e dispositivos móveis corporativos. A Check Point fornece o mais abrangente e intuitivo ponto de controle de sistema de gerenciamento de segurança. A Check Point protege mais de 100.000 organizações de todos os portes.
©2020 Check Point Software Technologies Ltd. Todos os direitos reservados.
Apresente suas soluções e serviços no Crypto ID!
Nosso propósito é atender aos interesses dos nossos leitores, por isso, selecionamos muito bem os artigos e as empresas anunciantes. Conteúdo e anúncios precisam ser relevantes para o mercado da segurança da informação, criptografia e identificação digital. Se sua empresa é parte desse universo, baixe nosso Mídia Kit, escreva pra gente e faça parte do Portal Crypto ID!
