FBI alerta sobre ataques de ransomware que miram servidores VPN

O setor de cibersegurança pode ser explicado como uma metáfora de “caça de gato e rato”: enquanto as autoridades buscam proteção contra ameças e os próprios bandidos, os cibercriminosos tentam encontrar outras maneiras de se invadirem os sistemas. E é justamente uma abordagem recorrente nas últimas semanas que tem chamado a atenção dos investigadores estadunidenses.

• Fique atento: crescem os links falsos do Zoom para roubo de dados bancários
• FBI emite novo alerta sobre risco de ciberataques contra hospitais

O Federal Bureau of Investigation (FBI), a Cybersecurity and Infrastructure Security Agency (CISA) e o Department of Health and Human Services (HHS) emitiram um aviso conjunto sobre a atividade do grupo de ransomware Daixin Team contra o setor de saúde e saúde pública desde junho de 2022. Hospitais e dados médicos estão em alta entre os criminosos, e apenas um registro roubado pode chegar ao preço de US$ 60 (R$ 318) na Darknet.

O Daixin Team usou ransomware para criptografar servidores que prestam serviços para registros eletrônicos de saúde, diagnósticos, imagens e intranet. Eles também exfiltraram informações de identificação pessoal e informações de saúde dos pacientes. Os criminosos conseguiram o acesso graças a uma falha na configuração da VPN, que só foi notada depois que já era tarde demais.

Em outro caso confirmado, os atacantes usaram credenciais previamente comprometidas para acessar um servidor VPN legado onde a autenticação multifatorial (MFA) não estava habilitada. Acredita-se que os bandidos tenham adquirido as credenciais da VPN por meio de um e-mail de phishing com um anexo malicioso.

Por conta disso, as autoridades vêm alertando os provedores de saúde para proteger os servidores VPN, pois vários grupos estão de olho em brechas que podem ser facilmente corrigidas — e, que, se exploradas, causam um grande prejuízo, não somente para as infraestruturas; mas, especialmente, às vítimas, que tem informações sigilosas expostas no submundo do cibercrime.

Como organizações de saúde podem se proteger de ransomware?

Os pesquisadores da Check Point Software listaram os principais perigos e recomendações de defesa para evitar os crimes no setor de Saúde. Confira:

• Cuidado com os cavalos de Troia: ataques de ransomware geralmente não começam por eles mesmos. O Ryuk e outros tipos de ransomware usam cavalos de troia na fase inicial, que ocorre dias ou semanas antes da ofensiva em si. Portanto, as equipes de segurança devem procurar infecções por ameaças como Trickbot, Emotet, Dridex e Cobalt Strike em suas redes e removê-las antes que possam “preparar o terreno” para os bandidos;
• Alerta nos finais de semana e feriados: a maioria dos ataques de ransomware ocorre nesses períodos. Os cibercriminosos tentam direcionar os momentos em que as equipes de TI e segurança têm maior probabilidade de não estarem em alerta total;
• Uso de antiransomware: ataques de ransomware são sofisticados, mas softwares específicos para combater essas ameaças podem reparar qualquer dano e retornar o máximo possível ao normal em minutos;
• Educação e treinamento de funcionários: os colaboradores da organização devem conseguir reconhecer ameaças potenciais. Muitos ataques cibernéticos começam com phishing direcionado que, embora não contenha malware, usa engenharia social para atrair usuários a clicar em um link malicioso ou fornecer informações confidenciais.
• Atenção às vulnerabilidades: é fundamental corrigir e atualizar versões antigas de software e sistemas. Em hospitais, muitas vezes isso não é possível por vários motivos, como uso de máquinas e programas antigos. Portanto, a recomendação é adotar um sistema de prevenção de intrusões com recursos de correção virtual para evitar tentativas de explorar pontos fracos em sistemas ou aplicativos vulneráveis;
• Proteção com soluções de alto nível: é preciso ficar atento em todos os dispositivos, como computadores, servidores, dispositivos móveis e até mesmo lâmpadas inteligentes. Por isso, é recomendável ter soluções profissionais de segurança e, se necessário, recorrer aos serviços de equipes externas especializadas na detecção de ameaças.