Ryuk Ransomware direcionado aos cuidados de saúde

Views: 135
0 0
Read Time:3 Minute, 23 Second

Como se a pandemia COVID-19 não fosse suficiente, o setor de saúde agora está sendo ativamente alvo de atores de ameaças usando o ransomware Ryuk. Ontem, o FBI emitiu um alerta de ameaça cibernética crescente e iminente em meio a crescentes relatos de prestadores de cuidados de saúde vítimas da campanha. Os atores de ameaça estão usando trickbot (entregue via Emotet) para obter acesso a sistemas de destino e implantar Ryuk. Os ataques reforçam uma tendência contínua de atores de ransomware visando estrategicamente vítimas que têm menos tolerância ao tempo de inatividade e um alto incentivo para pagar o resgate. Os provedores de saúde já sob estresse da pandemia COVID-19 podem estar em uma posição ruim para dizer não quando confrontados com um ataque de ransomware que degrada significativamente sua capacidade de fornecer cuidados ao paciente. Em setembro, uma paciente com uma condição de risco de vida morreu depois que um ataque de ransomware a um hospital alemão a forçou a ser redirecionada para uma instalação mais distante. A campanha usa iscas de e-mail para implantar o Emotet como o estágio inicial. Uma vez infectado com Emotet, Trickbot é carregado no sistema comprometido. Os atores de ameaças então usam o Trickbot para obter acesso a alvos de alto valor (como controladores de domínio) e implantar ransomware Ryuk em toda a rede. O e-mail atrai muitas vezes mascarado como comunicações corporativas e link para um site comprometido hospedando Emotet. Muitos dos e-mails incluem informações específicas do destinatário, como nome do empregador na linha de assunto ou órgão de e-mail. 

Emotet

Exemplo de isca de e-mail Vale a pena notar que esta campanha que afeta os provedores de saúde vem após os recentes esforços do Comando Cibernético dos EUA,Microsoft e outros para interromper a botnet Trickbot. Indicadores de ameaça recentemente observadosPara URLs de documentos/downloader da Emotet, recomendamos as listas cryptolaemus: https://paste.cryptolaemus.com   Linhas de assunto emotet / Trickbot: 

9100091 Canada Inc.
{Primeiro Nome} {Sobrenome}
{Nome da empresa} ASSINA NOTIFICAÇÃO DE PAGAMENTO 14.10.2020
{Sobrenome}, {Primeiro Nome} Resumo de Pagamento – Ref Id: D504336
RE: Condições de título 
{Sobrenome}, {Primeiro Nome}
minha visita e chamar
RE: {Nome da empresa}
próximos comerciais para aprovação- {Redacted}
RE: {Nome da empresa} URGENTE 19 de setembro, se possível- leia e-mail
Código base de empréstimo, envelhecimento A/R e listagem de inventário de {Nome da empresa}?
{Sobrenome}, {Primeiro Nome}
Re: Arquivo { Redacted}, Empréstimo # {Redacted}, {Nome da empresa}, {Endereço}
{Sobrenome}, {Primeiro Nome}
{Sobrenome} {Primeiro Nome}
{Sobrenome} e {Nome da empresa} De volta para trás jogos de 3 pontos STAT
Declaração de outubro – {Nome da empresa}
Conselho de Pagamento – Notificação de Transferência ACH – Créditos Ref:[Redacted] / ACH
Folha de pagamento – {Nome da empresa}
Por favor, aprove – {Nome da empresa}
Potencial {Nome primeiro} {Sobrenome} Shutout STAT
Ordem de compra – {Redacted} TSA de {Nome da empresa}
RE: {Primeiro Nome}, estou esperando uma chamada
RE: {Primeiro Nome}, reunião de escritório
RE: {Sobrenome}
Re: Automatisch antwoord: {Redacted} {First Name} {Sobrenome} —- BWA 03-2019
Re: {Nome} {Sobrenome}
RE: {Nome da empresa}
RE: {Redacted} – {Nome da empresa} du 30 mars au 2 avril 2020
RE: {Lista de rescisão nome da empresa}
RE: {Nome da empresa} – Bônus
RE: {Nome}, sua lista de tarefas
RE: {Nome da empresa} URGENTE 19 de setembro, se possível- leia e-mail
RE: {Cartão redigido}
RE: Documentos do cartão de compra 
RE: {Nome da empresa} – {Redacted} 
RE: Re: Brick for {First Name}
RE: RE: Formulário de Inscrição para Novo Funcionário
Re: RE: EXTERNO: Entrega 11-07-19
Re: RE: Pedido de empréstimo
Re: RE: Local/Indy Radio Show
Re: RE: {Redacted} cARD
RE: RE: cheque devolvido NSF
RE: Relatório para {Primeiro Nome}
RE: {Sobrenome}
RE: Valores de pagamento do Securemail necessários
RE: {Nome da empresa} Pesquisa de funcionários do banco
comercial revisado
{Nome da empresa} Acesso aos conselheiros online
Declaração de Março – {Nome da empresa}
Por favor, aprove
{Primeiro Nome} {Sobrenome} Pagamento Online – Ref Id: {Redacted}
RE: {Primeiro Nome}, confirmação de débito
Re: débito
RE: minha chamada
Re: minha visita e chamada

FONTE: PHISHLABS

Previous post Hospitais dos EUA de Brooklyn e Vermont são atingidos por ataques de ransomware
Next post Thales libera Identity Verification Suite para ajudar a embarcar mais usuários em um ambiente remoto seguro

Deixe um comentário