Como se a pandemia COVID-19 não fosse suficiente, o setor de saúde agora está sendo ativamente alvo de atores de ameaças usando o ransomware Ryuk. Ontem, o FBI emitiu um alerta de ameaça cibernética crescente e iminente em meio a crescentes relatos de prestadores de cuidados de saúde vítimas da campanha. Os atores de ameaça estão usando trickbot (entregue via Emotet) para obter acesso a sistemas de destino e implantar Ryuk. Os ataques reforçam uma tendência contínua de atores de ransomware visando estrategicamente vítimas que têm menos tolerância ao tempo de inatividade e um alto incentivo para pagar o resgate. Os provedores de saúde já sob estresse da pandemia COVID-19 podem estar em uma posição ruim para dizer não quando confrontados com um ataque de ransomware que degrada significativamente sua capacidade de fornecer cuidados ao paciente. Em setembro, uma paciente com uma condição de risco de vida morreu depois que um ataque de ransomware a um hospital alemão a forçou a ser redirecionada para uma instalação mais distante. A campanha usa iscas de e-mail para implantar o Emotet como o estágio inicial. Uma vez infectado com Emotet, Trickbot é carregado no sistema comprometido. Os atores de ameaças então usam o Trickbot para obter acesso a alvos de alto valor (como controladores de domínio) e implantar ransomware Ryuk em toda a rede. O e-mail atrai muitas vezes mascarado como comunicações corporativas e link para um site comprometido hospedando Emotet. Muitos dos e-mails incluem informações específicas do destinatário, como nome do empregador na linha de assunto ou órgão de e-mail.
Exemplo de isca de e-mail Vale a pena notar que esta campanha que afeta os provedores de saúde vem após os recentes esforços do Comando Cibernético dos EUA,Microsoft e outros para interromper a botnet Trickbot. Indicadores de ameaça recentemente observadosPara URLs de documentos/downloader da Emotet, recomendamos as listas cryptolaemus: https://paste.cryptolaemus.com Linhas de assunto emotet / Trickbot:
9100091 Canada Inc. |
{Primeiro Nome} {Sobrenome} |
{Nome da empresa} ASSINA NOTIFICAÇÃO DE PAGAMENTO 14.10.2020 |
{Sobrenome}, {Primeiro Nome} Resumo de Pagamento – Ref Id: D504336 |
RE: Condições de título |
{Sobrenome}, {Primeiro Nome} |
minha visita e chamar |
RE: {Nome da empresa} |
próximos comerciais para aprovação- {Redacted} |
RE: {Nome da empresa} URGENTE 19 de setembro, se possível- leia e-mail |
Código base de empréstimo, envelhecimento A/R e listagem de inventário de {Nome da empresa}? |
{Sobrenome}, {Primeiro Nome} |
Re: Arquivo { Redacted}, Empréstimo # {Redacted}, {Nome da empresa}, {Endereço} |
{Sobrenome}, {Primeiro Nome} |
{Sobrenome} {Primeiro Nome} |
{Sobrenome} e {Nome da empresa} De volta para trás jogos de 3 pontos STAT |
Declaração de outubro – {Nome da empresa} |
Conselho de Pagamento – Notificação de Transferência ACH – Créditos Ref:[Redacted] / ACH |
Folha de pagamento – {Nome da empresa} |
Por favor, aprove – {Nome da empresa} |
Potencial {Nome primeiro} {Sobrenome} Shutout STAT |
Ordem de compra – {Redacted} TSA de {Nome da empresa} |
RE: {Primeiro Nome}, estou esperando uma chamada |
RE: {Primeiro Nome}, reunião de escritório |
RE: {Sobrenome} |
Re: Automatisch antwoord: {Redacted} {First Name} {Sobrenome} —- BWA 03-2019 |
Re: {Nome} {Sobrenome} |
RE: {Nome da empresa} |
RE: {Redacted} – {Nome da empresa} du 30 mars au 2 avril 2020 |
RE: {Lista de rescisão nome da empresa} |
RE: {Nome da empresa} – Bônus |
RE: {Nome}, sua lista de tarefas |
RE: {Nome da empresa} URGENTE 19 de setembro, se possível- leia e-mail |
RE: {Cartão redigido} |
RE: Documentos do cartão de compra |
RE: {Nome da empresa} – {Redacted} |
RE: Re: Brick for {First Name} |
RE: RE: Formulário de Inscrição para Novo Funcionário |
Re: RE: EXTERNO: Entrega 11-07-19 |
Re: RE: Pedido de empréstimo |
Re: RE: Local/Indy Radio Show |
Re: RE: {Redacted} cARD |
RE: RE: cheque devolvido NSF |
RE: Relatório para {Primeiro Nome} |
RE: {Sobrenome} |
RE: Valores de pagamento do Securemail necessários |
RE: {Nome da empresa} Pesquisa de funcionários do banco |
comercial revisado |
{Nome da empresa} Acesso aos conselheiros online |
Declaração de Março – {Nome da empresa} |
Por favor, aprove |
{Primeiro Nome} {Sobrenome} Pagamento Online – Ref Id: {Redacted} |
RE: {Primeiro Nome}, confirmação de débito |
Re: débito |
RE: minha chamada |
Re: minha visita e chamada |
FONTE: PHISHLABS