Ransomware no setor de saúde
Alerta de Ameaças
30.10.2020
RESUMO
O Federal Brueau of Investigation (FBI), em conjunto com a Cyber Security Agency (CISA) e o Departamento de Saúde e Serviços Humanos (HHS) emitiram um alerta para um iminente ataque em massa coordenado por cibercriminosos contra hospitais e instituições de saúde.
Mais de 400 hospitais e instalações médicas estão entre os prováveis alvos. O objetivo dos criminosos é gerar pânico e monetizar com sequestros digitais.
Além de lidar com os devastadores efeitos da maior pandemia do último século, o setor de saúde precisa estar atento a outra ameaça à espreita.
É provável que o ataque massivo tenha repercussões além dos Estados Unidos. Portanto, organizações de saúde brasileiras devem reforçar sua atenção nas próximas semanas.
Esse relatório tem como objetivo fornecer táticas, técnicas e procedimentos (TTPs) usados por cibercriminosos contra alvos no setor de saúde para infecção de ransomware
Grupo sofisticado de cibercriminosos conduz uma série de ataques de ransomware durante a pandemia e planeja ataque contra hospitais e instituições de saúde. O ataque pode ter desdobramentos globais, durante a pandemia de COVID-19.
Charles Carmakal, da Mandiant, identificou o grupo UNC1878 por trás das ameaças. Este é, segundo ele, "um dos mais atrevidos, insensíveis e destruidores atores de ameaças". Eles estariam deliberadamente visando hospitais no momento em que o mundo vive uma grande pandemia com quase 1 bilhão e 200 mil mortes.
O alerta produzido pelas autoridades norte-americanas afirmam que os criminosos estão utilizando o malware Trickbot para enviar o ransomware Ryuk para as vítimas. Como já destacamos em nosso boletim anterior,Boletim de Inteligência - Novas orientações sobre Ransomwares 28OUT2020, a recomendação é que os resgates de sequestros digitais não sejam pagos.
Além do que já mencionamos em nosso boletim, o pagamento pode incentivar os criminosos a partirem para outras organizações.
PROBLEMA
A organização dedicada ao cibercrime por trás do TrickBot, que provavelmente também é a criadora do malware BazarLoader, continua desenvolvendo novas funcionalidades e ferramentas. Aumentando sua eficácia, velocidade e lucratividade. Cibercriminosos disseminam TrickBot e BazarLoader via campanhas de phishing que contém links para websites maliciosos que hospedam malware ou utilizam anexos com malware. Depois da infecção e distribuição do payload, eles instalam e executam um backdoor do servidor de comando e controle (C2) e instalam o que precisam na máquina da vítima.
Hoje, a organização por trás do TrickBot fornece a seus operadores uma ampla gama de ferramentas para as mais diversas atividades cibernéticas ilegais. Essas atividades incluem coleta de credenciais, exfiltração de e-mails, mineração de criptomoedas, exfiltração de dados de máquinas de ponto de venda e implantação de ransomware, como o Ryuk e o Conti. No começo de outubro a Microsoft anunciou a derrubada da botnet do grupo do Trickbot. Além disso, o TrickBot ficou conhecido como o malware de maior sucesso durante a pandemia, de acordo com a Microsoft.
Desde o começo de 2019, o FBI começou a observar novos módulos TrickBot chamados de Anchor, com atores de ameaça normalmente envolvidos em ataques a grandes corporações. Esses ataques normalmente envolvem dados vazados de redes corporativas e pontos de vendas. Como parte de seu novo ferramental Anchor, os mantenedores do TrickBot criaram anchor_dns, uma ferramenta para enviar e receber dados de vítimas usandotunelamento de DNS.
O anchor_dns é um backdoor que permite que as máquinas de vítimas se comuniquem com servidores de C2 utilizando DNS, se misturando ao tráfego DNS legítimo para evadir os principais mecanismos de defesa de uma organização. O anchor_dns utiliza uma simples criptografia XOR de bit único, que foi observada utilizando chave 0xB9. Uma vez decriptada, a string anchor_dnspode ser facilmente identificada no tráfego de requisição DNS.
Os ransomwares foram o tipo de ciberataque mais comum no último ano, de acordo com a Microsoft em seu relatório“Digital Defense Report”.
O documento ainda destaca o papel de organizações financiadas por governos e grupos criminosos cada vez mais profissionais utilizando tecnologia de ponta e desenvolvendo técnicas sofisticadas para se esconder entre serviços legítimos. Com isso, organizações de todos os tamanhos devem reforçar sua atenção com ataques de sequestro digital.
Atualmente, principalmente as organizações do setor de saúde. Que por serem uma das maiores impactadas com os devastadores efeitos de uma pandemia, tem sua sensibilidade ao risco alterada. Sendo alvos mais atrativos para cibercriminosos inescrupulosos que buscam monetizar seus ataques a partir do pânico social.
DETALHAMENTO TÉCNICO
Ainda sobre o TrickBot, deve-se ter especial atenção aos seguintes indicadores de comprometimento (IOCs).Depois de sua execução, o malware, TrickBot, se copia como um arquivo executável com um nome formado por 12 caracteres gerados randomicamente (ex: mfjpiexs.exe) e coloca esse arquivo em um dos seguintes diretórios.
C:\Windows\
C:\Windows\SysWOW64\
C:\Users\[Username]\AppData\Roaming\
Depois que o executável está rodando e estabelecendo com sucesso comunicação com o servidor C2, o executável adiciona módulos baixados do C2 de acordo com a arquitetura do sistema (32 ou 64 bits), para os diretórios%APPDATA%ou%PROGRAMDATA%,como:
%AppData\Roaming\winapp.
Digital Defense Report
https://www.microsoft.com/en-us/security/business/security-intelligence-report RELATÓRIO PDF
O malware utiliza técnicas de ofuscação, deletando seus rastros, executando os seguintes comandos:
md.exe /c timeout 3 && del C:\Users\[username]\[malware_sample]
cmd.exe /C PowerShell \"Start-Sleep 3; Remove-Item C:\Users\[username]\[malware_sample_location]\“
Os seguintes domínios foram encontrados em registros DNS outbound associados comanchor_dns:
kostunivo[.]com chishir[.]com mangoclone[.]com onixcellent[.]com
Esse malware também utilizava os seguintes domínios para testar sua conectividade com a Internet:
Atualmente, existe um rastreador open-source para servidores C2 do TrickBot:
https://feodotracker.abuse.ch/browse/trickbot/
DETALHAMENTO TÉCNICO
ipecho[.]net api[.]ipify[.]org
checkip[.]amazonaws[.]com ip[.]anysrc[.]net
wtfismyip[.]com icanhazip[.]com myexternalip[.]com ident[.]me
O malware anchor_dns historicamente utiliza os seguintes servidores de C2:
23[.]95[.]97[.]59 51[.]254[.]25[.]115 193[.]183[.]98[.]66 91[.]217[.]137[.]37 87[.]98[.]175[.]85
Regras YARA para TrickBot podem serbaixadas aqui.
BAZARLOADER/BAZARBACKDOOR TÉCNICO
Em 2020, criminosos provavelmente associados ao TrickBot começaram a utilizar o BazarLoarder e o BazarBackdoor para infectar as redes de vítimas.
O loader e o backdoor funcionam em estreita sintonia para conseguir êxito na infecção e em estabelecer comunicação com a infraestrutura de C2. Campanhas utilizando o Bazar representam uma nova técnica para cibercriminosos infectarem e monetizarem redes com a instalação de ransomwares, incluindo o Ryuk, BazarLoader se tornou um dos mais populares vetores para instalação de ransomware.
A instalação do malware BazarLoader normalmente se dá por phishing e contendo as seguintes características:
▪ Emails são enviados por provedores populares. O email recebido pela potencial vítima contém um link para um arquivo no Google Drive do criminoso ou outra ferramenta gratuita de hospedagem de arquivos, normalmente se passando por um arquivo PDF legítimo.
▪ Esse documento normalmente apresenta algum erro em sua pré-visualização e contém um link para uma URL hospedando um payload de malware.
▪ O phishing dos criminosos se disfarça nas rotinas das organizações, tentando se passar por temas comuns nos ambientes profissionais e outras atividades importantes na rotina de uma organização.
▪ Alguns e-mails incluem o nome da vítima ou de seu empregador no assunto ou no corpo do email.
A partir do email de phishing linkando usuários a Google Docs, criminosos utilizam arquivos com esses nomes:
Report-Review26-10.exe Review_Report15-10.exe Document_Print.exe Report10-13.exe Text_Report.exe
Atividade do Bazar pode ser identificada buscando arquivos de inicialização de sistema e valores Userinit na chave de registro
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\adobe.lnk
Para uma lista completa de indicadores de comprometimento envolvendo o BazarLocker e outros malwares,consulte o seguinte link
https://us-cert.cisa.gov/sites/default/files/publications/AA20-302A_Ransomware%20_Activity_Targeting_the_Healthcare_and_Public_Health_Sector.pdf
BAZARLOADER/BAZARBACKDOOR TÉCNICO
Além do TrickBot e do BazarLoader, os criminosos estão utilizando outros malwares comoKEGTAP, BEERBOT, SINGLEMALT, entre outros enquanto eles continuam a mudar de táticas, técnicas e procedimentos em uma campanha de ataque extremamente dinâmica. Os seguintes servidores C2 são associados a essa atividade maliciosa:
45[.]148[.]10[.]92 170[.]238[.]117[.]187 177[.]74[.]232[.]124 185[.]68[.]93[.]17 203[.]176[.]135[.]102 96[.]9[.]73[.]73 96[.]9[.]77[.]142 37[.]187[.]3[.]176 45[.]89[.]127[.]92 62[.]108[.]35[.]103 91[.]200[.]103[.]242 103[.]84[.]238[.]3 36[.]89[.]106[.]69 103[.]76[.]169[.]213 36[.]91[.]87[.]227
105[.]163[.]17[.]83 185[.]117[.]73[.]163 5[.]2[.]78[.]118 185[.]90[.]61[.]69 185[.]90[.]61[.]62 86[.]104[.]194[.]30 31[.]131[.]21[.]184 46[.]28[.]64[.]8 104[.]161[.]32[.]111 107[.]172[.]140[.]171 131[.]153[.]22[.]148 195[.]123[.]240[.]219 195[.]123[.]242[.]119 195[.]123[.]242[.]120 51[.]81[.]113[.]25 74[.]222[.]14[.]27
RYUK RANSOMWARE
Para conhecer a evolução do Ryuk, clique aqui. Para conhecer a anatomia do ataque e as técnicas utilizadas pelo Ryuk, de acordo com o MITRE,clique aqui.
Para baixar uma cópia dos indicadores de comprometimento conhecidos as ameaças desse relatório, clique aqui. Para indicadores adicionais também é possível consultar o endereço:
https://gist.github.com/aaronst/6aa7f61246f53a8dd4befea86e832456.
RECOMENDAÇÕES
Com esse Alerta de Ameaça, a PROOF reitera nosso compromisso com a segurança de nossos clientes através do nosso SOC 24x7 e da comunidade como um todo. Separamos algumas recomendações gerais de melhores práticas de segurança para orientar empresas do setor de saúde a não serem vítimas desse tipo de ataque:
Educação: treinar os colaboradores sobre como identificar e evitar possíveis ataques de ransomware é crucial. Um email de phishing é a maior porta de entrada de um criminoso à organização. Todos os setores da empresa devem receber um treinamento adequado quanto aos riscos cibernéticos, a cultura de segurança da informação é a base da defesa contra ataques. Um programa de conscientização de SI é um item obrigatório pelas melhores práticas de segurança cibernética.
Backups de dados contínuos: Manter backups regulares de dados como um processo de rotina é uma prática muito importante para evitar a perda de dados e ser capaz de recuperá-los no caso de corrupção ou mau funcionamento do hardware do disco. Os backups funcionais também podem ajudar as organizações a se recuperar de ataques de ransomware.
Patching: a correção é um componente crítico na defesa contra ataques de ransomware, pois os cibercriminosos frequentemente procuram as últimas explorações descobertas nas correções disponibilizadas e, em seguida, visam sistemas que ainda não foram corrigidos.
Proteções de endpoint: antivírus que não dependam de assinatura, como o Cylance, são soluções altamente eficientes para prevenir ataques conhecidos e desconhecidos e definitivamente devem ser implementados em qualquer organização.
Utilização de IOCs: utilize os indicadores de comprometimento apresentados nesse documento para alimentar suas soluções de defesa e orientar atividades de hunting em seu ambiente.
Outras recomendações e informativos mais detalhados para a prevenção de ransomwares podem ser encontrados nos seguintes links:
▪ PROOF–Ransomware
▪ PROOF–Ransomware: saiba como evitar
▪ PROOF–Ebook Ransomware
▪ PROOF–Boletim de Inteligência: Ransomware no setor de saúde 21OUT2020
▪ PROOF–Boletim de Inteligência: Novas orientações sobre Ransomwares 28OUT2020 NEC
Olhar Digital Microsoft FEODOtracker FireEye
IBM X-Force MITRE CISA FBI
NETSCOUT NIST PROOF