Os pesquisadores da Check Point® Software Technologies Ltd. uma fornecedora global de soluções de cibersegurança, identificaram a utilização de uma nova tática de ransomware, conhecida por “dupla extorsão”, por meio da qual os cibercriminosos agregam uma etapa extra ao seu ataque. Antes de criptografar a base de dados das vítimas, eles conseguem extrair uma grande quantidade de informações confidencial para ameaçá-las com a publicação desses dados, a menos que seja pago um resgate. Para demonstrar que a ameaça é séria, os ciberatacantes filtram uma pequena parte da informação crítica na Dark Web, de modo a aumentar o nível de intimidação caso o resgate não seja pago.
O primeiro caso divulgado sobre este tipo de ataque de ransomware de “dupla extorsão” aconteceu em novembro de 2019 e envolveu a Alliad Universal, uma grande empresa dos Estados Unidos dedicada a soluções, sistemas e serviços de segurança. Quando as vítimas se negaram a pagar o resgate solicitado no valor de 300 Bitcoins (aproximadamente US$ 2,3 milhões), os cibercriminosos, valendo-se do vírus “Maze”, ameaçaram utilizar a informação confidencial, os certificados de e-mail e os nomes de domínio roubados para elaborar uma campanha de spam com a identidade da empresa. Ao mesmo tempo, publicaram uma amostra dos arquivos roubados que incluíam contratos, registros médicos, certificados de encriptação, entre outros dados.
Desde então, por meio do ransomware Maze foram publicados os detalhes de dezenas de empresas, escritórios de advocacia, prestadores de serviços médicos e seguradoras que não cederam aos pedidos de resgate. Estima-se que muitas outras empresas tenham evitado a publicação de seus dados confidenciais pagando o resgate exigido. Infelizmente neste momento, até o mundo da tecnologia está passando por grandes ameaças.
“A dupla extorsão é uma tendência em voga entre os ataques de ransomware. Ao filtrar a informação confidencial na Dark Web como uma amostra de que a ameaça é séria, os cibercriminosos exercem muito mais pressão sobre suas vítimas”, afirma Lotem Finkelsteen, diretor de Threat Intelligence da Check Point. “Esta variante de ciberameaça é especialmente preocupante para os hospitais, uma vez que, ao estarem totalmente voltados para o atendimento de pacientes de Coronavirus, seria muito complicado enfrentarem um ataque com essas características. Por este motivo, aconselhamos aos hospitais que, agora, mais do que nunca, ampliem suas medidas de segurança”, ressalta Finkelsteen.
Os hospitais na mira dos cibercriminosos e do ransomware de dupla extorsão
A atual situação do setor de saúde é de saturação devido à concentração de todos os seus esforços no combate à propagação da COVID-19, fazendo com que tenham poucos recursos técnicos e de pessoal disponíveis para otimizar os seus níveis de cibersegurança.
Por este motivo, os especialistas da Check Point orientam para a adoção de uma estratégia de proteção baseada na prevenção, de modo a evitar que os hospitais se convertam numa nova vítima de ransomwares como o NetWalker, que recentemente afetou vários hospitais espanhóis e norte-americanos. Para tal, as cinco principais ações de proteção a serem tomadas são:
- Fazer uma cópia de segurança: é vital fazer backup dos arquivos importantes, procurando usar sistemas de armazenamento externo. Também é relevante utilizar ferramentas para realizar cópias de segurança de forma automática, se possível, para todos os funcionários, já que desta forma se minimiza o risco de erro humano caso esta ação não aconteça com regularidade.
- Educação e treinamento aos funcionários para reconhecerem potenciais ameaças: os ataques mais comuns utilizados nas campanhas de ransomware continuam sendo os e-mails de spam e phishing. Em muitas ocasiões, o usuário pode prevenir um ataque antes que este ocorra. Para isso, é fundamental treinar os funcionários e consciencializá-los sobre os protocolos de atuação em caso de indícios de ciberataques.
- Limitar o acesso à informação: para minimizar os riscos e o impacto de um possível ataque com ransomware, é fundamental controlar e limitar o acesso à informação e recursos, para que os funcionários só utilizem aqueles que são imprescindíveis para realizar o seu trabalho. Desta forma, reduz-se significativamente a possibilidade que um destes ataques afete toda a rede.
- Ter sempre o software e o sistema operacional atualizados: contar sempre com a última versão do sistema operacional nos equipamentos, bem como dos programas instalados (entre eles o antivírus), e aplicar regularmente todos os pacotes de segurança evitará que os cibercriminosos tirem proveito de vulnerabilidades já existentes. Vale lembrar que esta é a estratégia de mínimo esforço para os cibercriminosos, pois eles não têm de descobrir novas formas de ataque, a não ser utilizar aquelas já conhecidas e aproveitar a janela de oportunidade que lhes é oferecida pelo usuário até que atualize o sistema.
- Implementar medidas de segurança avançadas: para além das proteções tradicionais baseadas em assinatura, como o antivírus e o IPS, as organizações necessitam incorporar camadas adicionais de segurança para se protegerem contra os malwares novos e desconhecidos. Dois elementos importantes a serem considerados: a extração de ameaças (“limpeza” de arquivos) e a simulação de ameaças (sandboxing avançado). Cada elemento proporciona um nível de segurança distinto que, quando utilizado conjuntamente, oferecem uma solução integral para a proteção contra o malware desconhecido tanto para a rede como para os dispositivos.