Especialistas em segurança alertam que as vítimas de ataques de ransomware devem alterar todas as senhas

Quando uma organização é atingida por ransomware, muitas pessoas tendem a pensar que a única coisa com que se preocupar é restaurar os dados o mais rápido possível. No início desta semana, no entanto, o repórter de segurança cibernética Brian Krebs contou a história de um ataque de ransomware a um provedor de serviços de TI chamado Virtual Care Provider Inc. (VCPI) e, no processo, ele nos mostrou quantos outros fatores ocorrem jogar quando os hackers mantêm reféns de dados de outras pessoas.

Provavelmente devemos começar com o fato de a VCPI fornecer serviços para mais de 100 lares de idosos e centros de saúde em 45 estados. Não deve ser muito difícil perceber que interromper a infraestrutura de TI de uma empresa como essa pode ser devastador, mas a extensão real do perigo não se torna aparente até que você veja como o ataque se desenrolou.

Foi notado pela primeira vez nas primeiras horas da manhã de 17 de novembro, quando os atacantes liberaram o ransomware Ryuk na rede da VCPI. Logo depois, todos os dados hospedados pelo provedor de serviços em nuvem foram criptografados e a VCPI foi informada de que pode ter a chave que desbloqueia os arquivos se pagar US $ 14 milhões em bitcoin. É um resgate muito grande, mas também a quantidade de dados que foram mantidos reféns.

O ataque teve um impacto terrível na VCPI e em seus clientes

Os clientes da VCPI perderam acesso a qualquer coisa, desde email, através de sistemas de telefone e cobrança, até operações de folha de pagamento. Os registros dos pacientes estavam inacessíveis e alguns médicos não conseguiram fazer pedidos de medicamentos vitais por causa do ataque, o que significava que, para alguns pacientes, a infecção por ransomware poderia ter consequências fatais. Alguns dias após o incidente, Karen Christianson, CEO da VCPI, disse a Brian Krebs que sua empresa não tem recursos para pagar o resgate e que o ataque poderia muito bem significar o fim do negócio de hospedagem de dados.

As previsões iniciais não se concretizaram, no entanto. Embora os clientes da VCPI tenham enfrentado problemas significativos após o ataque, o provedor de hospedagem conseguiu restaurar os dados. Provavelmente, na tentativa de limitar a quantidade de dano de RP que a VCPI sofreu, Karen Christianson pediu a Brian Krebs que escrevesse um relatório de acompanhamento sobre como a empresa se recuperava. Krebs concordou em agendar uma entrevista, mas logo após a data e hora foram acertadas, ele recebeu um e-mail que chamou sua atenção imediatamente.

A extensão da infiltração se torna aparente

A mensagem supostamente era de um membro do grupo de hackers que atacou o VCPI, o que, para Brian Krebs, pelo menos, não é tão incomum. O pedido do email, no entanto, foi bastante estranho. O bandido pediu a Krebs para lembrar ao CEO da VCPI que a oferta de desconto no resgate estava prestes a expirar.

O suposto operador de ransomware tinha tomado conhecimento da entrevista agendada e Krebs duvidava que esse conhecimento fosse baseado em suposições. O repórter de segurança cibernética achou que, além do ransomware, os hackers haviam usado outras ferramentas que lhes deram acesso aos sistemas e comunicações internos da VCPI. Krebs chamou especialistas da Hold Security e pediu que o ajudassem a entender melhor o escopo do compromisso.

Logo, a investigação produziu evidências de que a infraestrutura da VCPI havia sido infiltrada pela primeira vez em setembro de 2018, provavelmente com o uso de um documento malicioso do Word associado a instruções macro. O documento do Word baixou o Emotet, uma família de malware conhecida por seus recursos semelhantes a worms que permitem que ele se mova para os lados dentro de uma rede.

Os hackers começaram a roubar senhas antes de implantar o ransomware Ryuk

Depois de usar o Emotet para estabelecer uma posição dentro da rede da VCPI, os bandidos implantaram o Trickbot - um trojan bancário aclamado por sua versatilidade e poderosas capacidades de roubo de credenciais. Os especialistas da Hold Security conseguiram interceptar alguma comunicação entre criminosos, o que sugere que durante o ataque VCPI, nomes de usuário e senhas para até 300 sites e provedores de serviços on-line foram comprometidos. Isso incluiu plataformas de gerenciamento de senhas, portais bancários, de cobrança e folha de pagamento, serviços de gerenciamento de prescrição e suprimentos médicos, contas de remessa e postagem, etc. Brian Krebs apresentou as evidências durante a entrevista com Karen Christianson e, embora a VCPI não tenha admitido isso oficialmente, o fato de a entrevista ter terminado abruptamente logo depois sugere que o CEO não tinha absolutamente nenhuma idéia sobre o roubo.

Por um tempo, os operadores de ransomware estão focados nas organizações e não nos usuários finais. Não estamos mais falando de crianças de script que procuram causar estragos e ganhar dinheiro rapidamente. Ataques mais recentes são executados por equipes sofisticadas de hackers que têm muitas ferramentas e recursos à sua disposição e, às vezes, a implantação do ransomware é apenas uma pequena parte de toda a operação. Organizações como a VCPI devem aprender que os hackers podem atacar em muitas frentes diferentes e que os dados de login geralmente são os frutos mais comuns. É por isso que, como Brian Krebs concluiu em seu relatório, a alteração de senhas deve estar no topo da lista de prioridades para qualquer empresa que sofreu um ataque cibernético, independentemente de o incidente envolver ou não ransomware.

January 9, 2020

Deixe uma Resposta