Hackers norte-coreanos estão usando ransomware para atacar provedores de saúde, alertam federais

Hackers norte-coreanos patrocinados pelo Estado têm como alvo os profissionais de saúde desde pelo menos maio de 2021, de acordo com o governo dos EUA. O FBI, a Agência de Segurança Cibernética e Infraestrutura (CISA) e o Departamento do Tesouro emitiu um comunicado conjunto alertando as organizações de saúde sobre o MO dos atacantes. Aparentemente, eles estão usando um ransomware chamado Maui para criptografar os computadores das organizações de saúde e, em seguida, exigir o pagamento das vítimas para desbloquear suas redes. O aviso das agências contém informações sobre Maui, incluindo seus indicadores de comprometimento e as técnicas que os maus atores usam, obtidas de uma amostra obtida pelo FBI.

As agências disseram que os atacantes bloquearam os serviços de registros eletrônicos de saúde, serviços de diagnóstico, serviços de imagem e serviços de intranet dos provedores de saúde, entre outros. Em alguns casos, os ataques mantiveram os provedores fora de seus sistemas e interromperam os serviços que eles fornecem por períodos prolongados.

De acordo com a assessoria das agências, o malware é executado manualmente por um ator remoto quando está na rede da vítima. Eles “desencorajam altamente” pagar resgate, pois isso não garante que os maus atores darão às vítimas as chaves para desbloquear seus arquivos. No entanto, as agências admitem que os invasores provavelmente continuarão atacando organizações do setor de saúde. “Os atores cibernéticos patrocinados pelo Estado norte-coreano provavelmente assumem que as organizações de saúde estão dispostas a pagar resgates porque essas organizações fornecem serviços críticos para a vida e a saúde humanas”, disseram eles.

As agências agora estão pedindo aos provedores de saúde que empreguem técnicas de mitigação e se preparem para possíveis ataques de ransomware instalando atualizações de device, mantendo backups offline de dados e elaborando um plano básico de resposta a incidentes cibernéticos. Para aqueles que se perguntam o que acontece com os fundos que a Coreia do Norte obtém de operações como esta: no início deste ano, um relatório das Nações Unidas revelado que o país está usando criptomoeda roubada por hackers patrocinados pelo Estado para financiar seus programas de mísseis nucleares e balísticos.

Os provedores de serviços de saúde têm sido o important alvo dos maus atores que usam ransomware há algum pace, especialmente desde o início da pandemia. Em 2020, o FBI e a CISA emitiram um aviso conjunto avisando hospitais e prestadores de serviços de saúde de que correm o risco de serem alvo de um ataque de ransomware. A gangue criminosa de língua russa UNC1878 e outros atacantes atacaram organizações de saúde no auge da pandemia, não dando a algumas vítimas escolha a não ser cumprir suas demandas enquanto lutavam para salvar a vida das pessoas.