Novo ransomware também rouba dados e coloca hospitais na mira

Hospitais, centros médicos e instituições de saúde são os alvos preferidos de uma nova categoria de ransomware, batizada de “dupla extorsão”. O nome se deve à principal característica dos malwares, capazes de não apenas criptografar e bloquear o acesso aos dados em um computador ou uma rede, mas também extrair as informações antes de fazer isso, ameaçando divulgar os dados publicamente caso o resgate não seja pago.

A nova ameaça foi descoberta pela Check Point Software Technologies, empresa especializada em cibersegurança, com os primeiros golpes sendo registrados já em novembro de 2019. De acordo com os especialistas, os ataques desse tipo se intensificaram durante a atual pandemia do novo coronavírus, com os criminosos se aproveitando do caos, dos regimes de home office e demais adaptações necessárias para o combate à doença para atacar, sabendo que os níveis de proteção de redes e computadores não estão otimizados.

As tentativas de golpes normalmente chegam por e-mail e, como se tratam de ataques direcionados, os hackers podem tentar se passar por parceiros comerciais, clientes importantes ou até mesmo membros da diretoria da própria companhia. Uma vez que executáveis ou arquivos contaminados são baixados e executados, abrem-se as portas para a exploração por parte dos hackers.

A dupla extorsão é um tipo de ataque direcionado, diferente dos ransomwares comuns que infectam computadores em massa, por exemplo. Os hackers responsáveis por golpes desse tipo não apenas desviam as informações antes de aplicarem o bloqueio, como também publicam amostras e trechos incompletos dos dados que têm em mãos para mostrar às empresas-vítimas que estão falando sério e são efetivamente capazes de cumprirem as ameaças caso o resgate não seja pago.

A ousadia dos bandidos é tamanha que um dos grupos responsáveis por malwares utilizados em ataques de dupla extorsão, o Maze, anunciou uma promoção que derrubou os preços de liberação de arquivos durante a pandemia. Em um comunicado à imprensa, os criminosos afirmam desejarem "ajudar as empresas o máximo possível" e estarem "sempre abertos para cooperação e comunicação", com valores especiais para liberação de dados bloqueados e limpeza online de informações que tenham sido vazadas intencionalmente.

O time também afirmou ter interrompido ações contra centros médicos e hospitais até que a situação volte à normalidade, algo que, entretanto, não está sendo seguido por outros criminosos que também estão usando o Maze como vetor de ataques. Outras ameaças, desenvolvidas para o mesmo fim, também estão sendo utilizadas, com os criminosos não tendo a mesma "gentileza".

O que fazer?

O primeiro caso registrado de dupla extorsão vitimou a Alliad Universal, uma empresa americana de soluções e serviços de segurança que foi uma das primeiras a serem atingidas por um golpe de dupla extorsão. Na ocasião, em novembro de 2019, os bandidos cobraram mais de US$ 2 milhões para que dados como contratos, registros médicos e certificados não fossem divulgados na internet. Os criminosos também ameaçaram utilizar domínios roubados e credenciais para realizar campanhas de spam usando a identidade da companhia.

Desde então, a Check Point Software afirma que dezenas de empresas foram vítimas dos ataques, sempre após não concordarem com o pagamento do resgate. Agora, com instituições do setor médico se tornando um alvo preferencial, a recomendação dos especialistas é que todas as medidas de segurança sejam implementadas mesmo neste momento caótico, de forma que uma infecção desse tipo não piore as coisas e impeça o atendimento aos contaminados pelo novo coronavírus.

• Como se proteger de golpes ligados ao coronavírus
• Número de golpes ligados ao coronavírus aumentou 300%, alerta FBI
• Slack é o novo alvo de golpes contra profissionais em home office

Entre as recomendações está a realização de backups em armazenamento externo, de forma que um bloqueio não resulte em perdas importantes, e campanhas de treinamento para que colaboradores não caiam em golpes que cheguem por e-mail. Além disso, o ideal é que administradores de rede apliquem permissões e controles de acesso de forma correta, garantindo que, em caso de infecção, o comprometimento de informações seja limitado.

Por fim, valem as medidas de sempre para todos os usuários: manter sistemas operacionais, aplicativos e demais softwares sempre atualizados, bem como contar com soluções de segurança ativas o tempo todo. Os especialistas, ainda, indicam a aplicação de medidas adicionais de proteção, como o uso de limpezas automáticas em arquivos ou programas de simulação de ameaças, que devem ser aplicados, principalmente, por instituições que lidem com informações sensíveis.

Fonte: Check Point