“Temos informações confiáveis de uma ameaça crescente e iminente do crime cibernético aos hospitais e prestadores de saúde dos EUA.” – FBI, CISA e HHS
Um boletim de segurança cibernética foi lançado pelo Federal Bureau of Investigation (FBI), a Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA) e o Departamento de Saúde e Serviços Humanos (HHS) em 28 de outubro de 2020.
As três agências emitiram um alerta de alto nível sobre uma ameaça crescente e iminente de ataques de ransomware no setor de saúde. O grupo de criminosos cibernéticos por trás do malware TrickBot , Ryuk e BazarLoader agora tem como alvo hospitais e provedores de saúde nos Estados Unidos. Seus padrões de ataque ajustados e funções altamente evoluídas aumentaram a facilidade, a velocidade e a lucratividade de seus ataques.
O relatório descreve ataques de ransomware recentes e sua metodologia em detalhes, por isso vale a pena ler.
Os dois principais indicadores de compromisso a serem observados
Não importa o quão avançada seja uma variante de ransomware, cada ataque exibirá estes dois indicadores:
1.Presença de executáveis suspeitos: o vetor de ataque mais comum usado por ransomware para invadir uma rede é um e-mail de phishing que parece legítimo, enganando a vítima para que ela clique em um link ou abra um anexo. As vítimas podem ser atraídas para um site malicioso e induzidas a baixar o executável do ransomware. Independentemente do método, após a intrusão, o malware se copia como um executável com um padrão específico em seu nome (exemplo: arquivos EXE aleatórios de oito caracteres no caso do TrickBot ou Report-Review26-10.exe, Text_Report. exe, etc. no caso do BazarLoader).
2.Surtos repentinos na atividade de arquivos: a maioria dos malwares altamente desenvolvidos é capaz de identificar dados críticos (como detalhes financeiros e informações pessoais). Em seguida, ele criptografa esses dados e coloca suas marcas de identificação nos nomes dos arquivos corrompidos. Por exemplo, os arquivos criptografados pelo Ryuk ransomware têm um nome de arquivo .ryk. Em seguida, para evitar que a vítima recupere arquivos criptografados sem o programa de descriptografia, o malware descarta um arquivo BAT que tenta excluir todos os arquivos de backup e cópias de sombra de volume. Todas essas ações geram um grande número de eventos de acesso a arquivos em um curto período de tempo, normalmente, muito mais do que o esperado em uma organização.
O que você pode fazer para mitigar essa ameaça
Para diminuir sua suscetibilidade a um ataque de ransomware e elevar sua estratégia geral de segurança cibernética, aqui estão quatro coisas que você pode fazer:
1. Conheça o inimigo: aprender sobre o ransomware e sua evolução o ajudará a estar melhor preparado para enfrentar um ataque potencial.
2. Siga as práticas recomendadas: com o aumento dos ataques, as empresas e indivíduos devem seguir as práticas recomendadas de proteção contra ransomware.
3. Eduque seus colaboradores: os usuários finais são os principais alvos dos cibercriminosos. Informe os colaboradores e as partes interessadas sobre as ameaças, como ransomware e ataques de phishing e sobre como essas ameaças se apresentam.
4. Tome medidas preventivas: crie e teste um plano de resposta de ransomware para verificar a preparação da sua organização para enfrentar e analisar uma intrusão de ransomware.
Você deve agir mesmo se não estiver no setor de saúde?
Sim definitivamente. A ameaça crescente de ataques de ransomwares direcionados à saúde não indica que outros setores estejam seguros. À medida que os invasores evoluem rapidamente seus vetores e estratégias de execução, as organizações em todos os setores devem tomar todas as medidas possíveis para proteger sua rede e dados.
Proteção contra ataques de ransomware com DataSecurity Plus
Prevenir um ataque de ransomware é possível com uma solução robusta de monitoramento de sistema de arquivos, alertas e resposta a incidentes.
O DataSecurity Plus é uma uma ferramenta de resposta a ransomware em tempo real , detecta rapidamente ataques de ransomware usando perfis de alerta baseados em limites e uma biblioteca atualizada de tipos de arquivos de ransomware conhecidos. Ele executa scripts personalizados para desligar as máquinas infectadas e interromper o progresso do malware, reduzindo assim os danos aos dados essenciais aos negócios.
Inicie agora mesmo sua avaliação gratuita de 30 dias do DataSecurity Plus da ManageEngine, contando sempre com o apoio da equipe ACS Pro.
ACS Pro Parceira ManageEngine no Brasil. – Fone / WhatsApp (11) 2626-4653
[wptelegram-ajax-widget widget_width=”300″ widget_height=”200″]PodCafé da TI – Podcast, Tecnologia e Cafeína.
[podcast_subscribe id=”10553″]