Alerta sobre ataques de ransomware direcionados ao setor de saúde

“Temos informações confiáveis ​​de uma ameaça crescente e iminente do crime cibernético aos hospitais e prestadores de saúde dos EUA.” – FBI, CISA e HHS

Um boletim de segurança cibernética foi lançado pelo Federal Bureau of Investigation (FBI), a Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA) e o Departamento de Saúde e Serviços Humanos (HHS) em 28 de outubro de 2020.

As três agências emitiram um alerta de alto nível sobre uma ameaça crescente e iminente de ataques de ransomware no setor de saúde. O grupo de criminosos cibernéticos por trás do malware TrickBot , Ryuk e BazarLoader agora tem como alvo hospitais e provedores de saúde nos Estados Unidos. Seus padrões de ataque ajustados e funções altamente evoluídas aumentaram a facilidade, a velocidade e a lucratividade de seus ataques.

O relatório descreve ataques de ransomware recentes e sua metodologia em detalhes, por isso vale a pena ler.

Os dois principais indicadores de compromisso a serem observados

Não importa o quão avançada seja uma variante de ransomware, cada ataque exibirá estes dois indicadores:

1.Presença de executáveis ​​suspeitos: o vetor de ataque mais comum usado por ransomware para invadir uma rede é um e-mail de phishing que parece legítimo, enganando a vítima para que ela clique em um link ou abra um anexo. As vítimas podem ser atraídas para um site malicioso e induzidas a baixar o executável do ransomware. Independentemente do método, após a intrusão, o malware se copia como um executável com um padrão específico em seu nome (exemplo: arquivos EXE aleatórios de oito caracteres no caso do TrickBot ou Report-Review26-10.exe, Text_Report. exe, etc. no caso do BazarLoader).

2.Surtos repentinos na atividade de arquivos: a maioria dos malwares altamente desenvolvidos é capaz de identificar dados críticos (como detalhes financeiros e informações pessoais). Em seguida, ele criptografa esses dados e coloca suas marcas de identificação nos nomes dos arquivos corrompidos. Por exemplo, os arquivos criptografados pelo Ryuk ransomware têm um nome de arquivo .ryk. Em seguida, para evitar que a vítima recupere arquivos criptografados sem o programa de descriptografia, o malware descarta um arquivo BAT que tenta excluir todos os arquivos de backup e cópias de sombra de volume. Todas essas ações geram um grande número de eventos de acesso a arquivos em um curto período de tempo, normalmente, muito mais do que o esperado em uma organização.

Ransomware Images | Free Vectors, Stock Photos & PSD

O que você pode fazer para mitigar essa ameaça

Para diminuir sua suscetibilidade a um ataque de ransomware e elevar sua estratégia geral de segurança cibernética, aqui estão quatro coisas que você pode fazer:

1. Conheça o inimigo: aprender sobre o ransomware e sua evolução o ajudará a estar melhor preparado para enfrentar um ataque potencial. 

2. Siga as práticas recomendadas: com o aumento dos ataques, as empresas e indivíduos devem seguir as práticas recomendadas de proteção contra ransomware. 

3. Eduque seus colaboradores: os usuários finais são os principais alvos dos cibercriminosos. Informe os colaboradores e as partes interessadas sobre as ameaças, como ransomware e ataques de phishing e sobre como essas ameaças se apresentam.

4. Tome medidas preventivas:  crie e teste um plano de resposta de ransomware para verificar a preparação da sua organização para enfrentar e analisar uma intrusão de ransomware. 

Você deve agir mesmo se não estiver no setor de saúde?

Sim definitivamente. A ameaça crescente de ataques de ransomwares direcionados à saúde não indica que outros setores estejam seguros. À medida que os invasores evoluem rapidamente seus vetores e estratégias de execução, as organizações em todos os setores devem tomar todas as medidas possíveis para proteger sua rede e dados.

Proteção contra ataques de ransomware com DataSecurity Plus

Prevenir um ataque de ransomware é possível com uma solução robusta de monitoramento de sistema de arquivos, alertas e resposta a incidentes. 

O DataSecurity Plus é uma uma ferramenta de resposta a ransomware em tempo real , detecta rapidamente ataques de ransomware usando perfis de alerta baseados em limites e uma biblioteca atualizada de tipos de arquivos de ransomware conhecidos. Ele executa scripts personalizados para desligar as máquinas infectadas e interromper o progresso do malware, reduzindo assim os danos aos dados essenciais aos negócios.

Inicie agora mesmo sua avaliação gratuita de 30 dias do DataSecurity Plus da ManageEngine, contando sempre com o apoio da equipe ACSoftware.

ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.

PodCafé da TI – Podcast, Tecnologia e Cafeína.

Deixe um comentário

Do NOT follow this link or you will be banned from the site!