As redes de assistência médica e de primeiros socorros devem estar em guarda contra uma série contínua de ataques de ransomware descobertos pelo FBI. Em um alerta a agência informa que encontrou pelo menos 16 ataques de Conti ransomware contra agências de aplicação da lei, serviços médicos de emergência, centros de despacho de emergência e municípios no ano passado.
Em um nível básico, o Conti funciona como outras variedades de ransomware. Os invasores obtêm acesso à rede de uma organização, criptografam arquivos confidenciais e exigem o pagamento da vítima. A nota de resgate instrui as vítimas a pagar o dinheiro por meio de um portal online.
Se os pedidos de resgate não forem atendidos, os invasores vendem os dados ou publicam os arquivos em seu próprio site público. Embora os valores do resgate variem de acordo com a organização atacada, algumas demandas chegaram a US $ 25 milhões.
Mais especificamente, os ataques Conti geralmente roubam o acesso à rede por meio de links e anexos de e-mail mal-intencionados ou credenciais de protocolo de área de trabalho remota (RDP) sequestrado. Os anexos de arquivos maliciosos geralmente vêm como documentos do Word com scripts Powershell incorporados que instalam o malware Emotet na rede, abrindo a porta para o ransomware.
Para invadir uma rede, os invasores usam ferramentas de acesso remoto que sinalizam para servidores virtuais privados (VPS) domésticos e internacionais usando as portas 80, 443, 8080 e 8443. Eles também podem usar a porta 53 para conexões persistentes.
Para se mover pela rede, os invasores adotam quaisquer comandos integrados disponíveis e, em seguida, adicionam ferramentas de terceiros, como Sysinternals e Mimikatz da Microsoft. Alguns criminosos foram observados dentro de uma rede por qualquer lugar entre quatro dias e três semanas antes de implantar o ransomware real para exfiltrar e criptografar os arquivos necessários.
Depois que o ransomware foi implantado, os invasores podem permanecer na rede e se desviar usando AnchorDNS. Se a vítima não responder à nota de resgate dentro de dois a oito dias, os criminosos podem ligar para a organização usando números de protocolo de voz sobre a Internet (VOIP) de uso único ou enviá-los por e-mail usando ProtonMail.
Redes de assistência médica e de primeiros socorros estão entre as mais de 400 organizações em todo o mundo atingidas pela Conti, com mais de 290 localizadas nos Estados Unidos, disse o FBI.
A pandemia de coronavírus provocou diferentes respostas de gangues de ransomware. Alguns grupos prometeram não atacar hospitais e agências de saúde envolvidas na pesquisa e tratamento do COVID-19. No entanto, outros grupos felizmente aumentaram seus ataques contra o setor de saúde, sabendo que o surto criou mais estresse e pressão sobre a equipe médica.
Esses tipos de ataques também afetam uma grande variedade de pessoas. Ataques cibernéticos contra serviços de emergência afetam a capacidade dos primeiros socorros de fornecer atendimento. Eles prejudicam pessoas que precisam de um tratamento rápido e vital. Ataques contra agências de aplicação da lei podem impactar investigações ativas. E os ataques contra as redes de saúde podem impedir o acesso a informações importantes, afetando o tratamento dos pacientes e a privacidade dos dados médicos.
Muitas organizações de saúde são vulneráveis a ataques de ransomware devido a tecnologias desatualizadas e inseguras.
Para proteger sua organização contra ransomware, o FBI oferece várias recomendações:
Faça backup regularmente de seus dados críticos. O intervalo de ar e a senha protegem suas cópias de backup offline. Certifique-se de que quaisquer backups de dados críticos não sejam acessíveis a partir do sistema primário onde os dados estão armazenados.
Configure a segmentação de rede.
Desenvolva um plano de recuperação para manter várias cópias de dados confidenciais. Mantenha seus dados e servidores críticos em um local fisicamente separado que seja segmentado e seguro.
Aplique patches de segurança críticos e atualizações em seus sistemas operacionais, software e firmware o mais rápido possível.
Implementar autenticação multifator onde houver suporte.
Use senhas fortes para seus sistemas de rede e contas. Evite reutilizar senhas para várias contas.
Desative qualquer acesso remoto não utilizado ou desnecessário e portas RDP. Monitore seu acesso remoto e registros RDP para qualquer atividade suspeita.
Requer credenciais de administrador para instalar o software principal.
Configure os controles de acesso com o mínimo de privilégios em mente. Audite todas as contas de usuário que tenham privilégios administrativos.
Atualize regularmente o software antivírus e antimalware em todos os sistemas.
Tente usar apenas redes seguras e evite redes Wi-Fi públicas. Configure uma VPN para acesso remoto.
Considere adicionar um banner de email às mensagens que chegam de fora da sua organização.
Desative os hiperlinks nos e-mails recebidos.
Implementar conscientização e treinamento sobre segurança cibernética. Treine seus usuários em técnicas de segurança da informação e em riscos e vulnerabilidades de segurança cibernética emergentes.
