Ransomware brasileiro tem como foco de ataque os Hospitais

teamxratCredenciais roubadas ou fracas de desktop remotos costumam ser usadas para infectar sistemas de pontos de venda com malware, mas recentemente elas também se tornaram um método comum de distribuição para ransomware.

Em março, pesquisadores de segurança descobriram um programa de ransomware chamado Surprise que estava sendo instalado por meio de credenciais roubadas do TeamViewer, uma ferramenta popular para administração remota. Mas a tendência começou muito antes disso, com algumas variações de ransomware sendo distribuídas por meio de ataques de força bruta para descoberta de senhas contra servidores Remote Desktop Protocol (RDP) desde 2015.

Apesar desse método de infecção ter sido inicialmente usado por programas de ransomware relativamente obscuros, recentemente ele foi adotado por um número cada vez maior de cibercriminosos, incluindo aqueles por trás de programas de ransomware com grande alcance como Crysis.

Pesquisadores de segurança da Kaspersky Lab descobriram um novo programa de ransomware que afetou hospitais e outras organizações no Brasil. Eles nomearam a ameaça de Trojan-Ransom.Win32.Xpan e afirmam que foi criada pela gangue TeamXRat (que também se denomina CorporacaoRat), que antes era especializada em trojans de acesso remoto (RATs).

De acordo com a empresa de antivírus, os criminosos da TeamXRat realizaram ataques de força bruta contra servidores RDP conectados à Internet e então instalaram manualmente o ransomware nos servidores hackeados.

“Conectar servidores de desktops remotos diretamente à Internet não é recomendado e realizar ataques de força bruta contra eles não é nada novo; mas sem os controles apropriados para evitar ou pelo menos detectar e responder às máquinas comprometidas, os ataques de força bruta contra RDP ainda são relevantes e algo que os cibercriminosos gostam de fazer”, afirmam os pesquisadores da Kaspersky. “Uma vez que o servidor é comprometido, o invasor desabilita manualmente o app de antivírus instalado no servidor e realiza a infecção em si.”

O Brasil possui mais servidores RDP comprometidos sendo vendidos no mercado negro do que qualquer outro país, sendo seguido por Rússia, Espanha, Reino Unido e EUA.

Felizmente, no caso do Xpan, os autores do ransomware cometeram um erro na sua implementação da criptografia que permitiu à Kaspersky desenvolver um método para recuperar os arquivos afetados sem precisar pagar o “resgate”. Não há uma ferramenta de criptografia que pode ser baixada, mas as vítimas do Xpan são aconselhadas a entrarem em contato com o departamento de suporte da empresa de segurança e pedir por ajuda.

Erros na implementação de criptografia não são incomuns em programas de ransomware, especialmente nos mais novos. No entanto, os desenvolvedores de ransomware costumam ser rápidos em corrigir as falhas e, mais cedo ou mais tarde, o programa acaba usando uma criptografia forte e inquebrável.

Fonte: Computer World

Hospitais: novo alvo dos cibercriminosos

cibercrimeO sequestro de dados é, atualmente, a modalidade de cibercrime mais popular na rede. O chamado “ransomware” tem deixado empresas de cabelo em pé e feito muita gente perder dinheiro: essa forma de ataque movimenta em média US$ 34 milhões por ano.

De acordo com o Talos – grupo de Segurança da Informação da Cisco – os hospitais se tornaram o novo alvo dos cibercriminosos que praticam esse tipo de golpe. Já existem ransomwares especialmente voltados para a área da Saúde, que já fizeram vítimas nos EUA (como o Centro Médico Presbiteriano de Hollywood e o Hospital Metodista de Kentucky) e estão começando a atuar no Brasil.

O malware, chamado “Samsam”, se infiltra nos servidores através das redes e criptografa toda a base de dados dos hospitais, incluindo prontuários de pacientes, lista de visitantes, etc. Para descriptografar os dados é preciso uma chave, liberada pelos crackers mediante um pagamento (que gira em torno de milhares de dólares).

“Os hospitais têm uma base de dados valiosa, com prontuários de pacientes, histórico de doenças e medicamentos, etc. Sem esses dados, eles não podem agendar consultas, realizar procedimentos médicos ou atender urgências”, afirma Fernando Zamai, Engenheiro Consultor de Segurança da Cisco. Ou seja: sem sua base de dados, os hospitais praticamente param.

Os ataques ainda afetam as redes dos hospitais, que dependem delas para se comunicar. O vazamento dessas informações ainda podem render multas aplicadas por entidades de classe.

Segundo Zamai, o ambiente hospitalar concentra uma grande movimentação de pessoas facilitando que alguém não autorizado tenha acesso direto a uma porta aberta (um switch ou um roteador desprotegido), conectando um laptop e executando o arquivo contendo o malware”, afirma o especialista. Essa variante de ransomware não utiliza de engenharia social.

Fonte: UOL