0
0
As organizações do setor de saúde pública e de saúde dos EUA estão entre os principais alvos de agentes de ameaças cibernéticas norte-coreanos patrocinados pelo estado que buscam financiar atividades de espionagem por meio de ransomware e outros ataques.
Essa é a avaliação da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), do FBI, do Departamento de Saúde e Serviços Humanos dos EUA e das agências de inteligência sul-coreanas. Em um comunicado conjunto em 9 de fevereiro, o grupo descreveu o governo norte-coreano como usando receitas – na forma de criptomoeda – desses ataques de ransomware para financiar outras operações cibernéticas que incluem espionagem no setor de defesa dos EUA e da Coreia do Sul e organizações de base industrial de defesa.
Ataques de ransomware patrocinados pelo estado com uma missão
“As agências de criação avaliam que uma quantia não especificada de receita dessas operações de criptomoeda apoia as prioridades e objetivos de nível nacional da RPDC”, disse o comunicado.
O alerta também alertou as vítimas de ransomware nos setores de saúde e infraestrutura crítica contra o pagamento de resgates. “Fazer isso não garante que arquivos e registros sejam recuperados e pode representar riscos de sanções”, afirmou.
Há pouco no comunicado para indicar se foi motivado por novas informações sobre ameaças ou notícias sobre ataques iminentes. Mas isso ocorre em meio a um aumento contínuo de ataques de ransomware contra entidades de saúde em geral. Um relatório do Journal of the American Medical Association (JAMA) no início deste ano identificou uma duplicação no número de ataques de ransomware contra entidades de saúde entre 2016 e 2021. Do total de 374 ataques de ransomware em organizações de saúde dos EUA durante esse período, cerca de 44% interrupção da prestação de cuidados de saúde.
As interrupções mais comuns incluíam tempo de inatividade dos sistemas, cancelamentos de atendimento agendado e desvios de ambulância. O estudo da JAMA encontrou um aumento especialmente em ataques de ransomware contra grandes organizações de saúde com várias instalações entre 2016 e 2021.
Um relatório de junho de 2022 da Sophos mostrou que 66% das organizações de saúde sofreram pelo menos um ataque de ransomware em 2021. Sessenta e um por cento desses ataques terminaram com os dados criptografados pelos invasores e exigindo um resgate pela chave de descriptografia.
“O setor de saúde registrou o maior aumento no volume de ataques cibernéticos (69%), bem como na complexidade dos ataques cibernéticos (67%), em comparação com a média intersetorial de 57% e 59%, respectivamente”, disse Sophos.
Nova Intel, novas táticas
O último comunicado de segurança cibernética da CISA esta semana atualiza sua orientação anterior sobre ataques de ransomware patrocinados pelo estado da Coreia do Norte direcionados contra o setor de saúde pública e saúde dos EUA. Ele destacou várias táticas, técnicas e procedimentos (TTPs) que os atores cibernéticos norte-coreanos estão empregando atualmente ao executar ataques de ransomware contra alvos de assistência médica. A maioria dos TTPs são típicos daqueles observados com ataques de ransomware e incluem táticas como movimento lateral e descoberta de ativos.
O comunicado também destacou várias ferramentas de ransomware – e indicadores associados de comprometimento (IoCs) – que atores norte-coreanos têm usado em ataques a organizações de saúde. Entre eles estavam variantes desenvolvidas em particular, como Maui e H0lyGh0st , e ferramentas de criptografia disponíveis publicamente, como BitLocker, Deadbolt, Jogsaw e Hidden Tear.
“Em alguns casos, os atores da RPDC se retrataram como outros grupos de ransomware, como o grupo de ransomware REvil”, em uma tentativa de evitar a atribuição, disse o comunicado.
Além de ofuscar seu envolvimento operando com outras afiliadas e terceiros estrangeiros, os atores norte-coreanos frequentemente usam domínios, personas e contas falsas para executar suas campanhas, disseram a CISA e outros. “Atores cibernéticos da RPDC também usarão redes privadas virtuais (VPNs) e servidores privados virtuais (VPSs) ou endereços IP de países terceiros para parecerem ser de locais inócuos em vez da RPDC”.
O comunicado destacou algumas das vulnerabilidades de software mais recentes que grupos apoiados pelo estado na Coreia do Norte vêm explorando em seus ataques de ransomware. Entre eles estavam a vulnerabilidade Log4Shell na estrutura Apache Log4j ( CVE-2021-44228 ) e várias vulnerabilidades em dispositivos SonicWall.
As mitigações recomendadas pela CISA contra a ameaça norte-coreana incluíam autenticação e controle de acesso mais fortes, implementando o princípio do menor privilégio, empregando criptografia e mascaramento de dados para proteger dados em repouso e protegendo informações de saúde protegidas durante a coleta, armazenamento e processamento.
O comunicado também instou as entidades de saúde a manter backups isolados, desenvolver um plano de resposta a incidentes, atualizar sistemas operacionais e aplicativos e monitorar o protocolo de área de trabalho remota (RDP) e outros mecanismos de acesso remoto.
FONTE: DARK READING