Ransomware: sem piadas

Primeiro, um breve contexto…

Em 10 de setembro, o ransomware/malware DoppelPaymer criptografou 30 servidores de um hospital, na cidade alemã de Dusseldorf, e devido a isso, a taxa de transferência de pacientes doentes caiu drasticamente. Há uma semana, devido a esta invasão, o hospital não conseguiu admitir uma paciente que precisava de uma operação urgente, e teve que encaminhá-la para um hospital em uma cidade vizinha. Ela morreu no caminho. Foi o primeiro caso conhecido de perda de vidas humanas como resultado de um ataque de ransomware.

Um caso muito triste, de fato – especialmente quando você olha mais de perto: houve o próprio “acidente” fatal (presumindo que os criminosos não previram uma fatalidade causada por suas ações horríveis); houve também uma clara negligência quanto ao cumprimento das regras básicas de higiene de cibersegurança; e também é evidente a incapacidade por parte das autoridades responsáveis ​​em aplicar a lei para combater com êxito os criminosos envolvidos neste crime.

Os hackers atacaram a rede do hospital por meio de uma vulnerabilidade (também conhecida como Shitrix) nos servidores Citrix Netscaler, que foi corrigida em janeiro. Parece que os administradores do sistema esperaram muito tempo antes de finalmente instalar a patch e, nesse meio tempo, os criminosos conseguiram entrar na rede e instalar uma backdoor.

Até aqui, apresentamos apenas fatos. A partir de agora, continuaremos com uma conjectura que não pode ser confirmada, mas que parece um tanto provável…

Não é possível descartar que, depois de algum tempo, que o acesso à backdoor não tenha sido vendido a outros hackers em fóruns clandestinos como “acesso à backdoor em uma universidade”. O ataque, de fato, foi inicialmente direcionado à vizinha Heinrich Heine University. Foi essa universidade que foi especificada no e-mail dos cibercriminosos exigindo um resgate pela devolução dos dados que eles criptografaram. Quando os hackers descobriram que era um hospital – não uma universidade – eles rapidamente entregaram todas as chaves de criptografia (e então desapareceram). Parece que os hospitais com Trojan não são tão atraentes para os cibercriminosos – eles são considerados ativos muito “tóxicos” (como ficou claro, da pior forma – com uma morte).

É provável que o grupo de hackers que tem como língua materna o russo, Evil Corp, esteja por trás do DoppelPaymer, um grupo com dezenas de outros cibercriminosos de alto perfil (incluindo na rede da Garmin). Em 2019, o governo dos Estados Unidos emitiu uma acusação para indivíduos envolvidos na Evil Corp e ofereceu uma recompensa de cinco milhões de dólares pela ajuda para capturá-los. O curioso é que as identidades dos criminosos são conhecidas e, até recentemente, eles se gabavam e exibiam seu estilo de vida estilo gangster – inclusive nas redes sociais.

Fonte

Onde vamos parar? Há tanta coisa errada aqui. Primeiro, há o fato de que os hospitais estão sofrendo nas mãos de hackers de ransomware – mesmo que, pelo menos neste caso mortal em Düsseldorf, pareça que foi um caso de identidade trocada (hospital – não uma universidade). Em segundo lugar, há o fato de que as universidades estão sendo visadas (muitas vezes para roubar dados de pesquisa – incluindo sobre a COVID-19). Mas este é o meu terceiro ponto…

Como pode um hospital ser tão descuidado? Não corrigir uma vulnerabilidade tempestivamente – deixando uma brecha para a ciberescória passar por ela e criar backdoors em tudo? Quantas vezes repetimos que o FreeBSD (que é onde o Netscaler funciona) não é, de forma alguma, uma garantia de segurança e, na verdade, é exatamente o oposto: o falso cognato de um especialista em cibersegurança? Este sistema operacional está longe de ser imune e possui fragilidades que podem ser usadas em ciberataques sofisticados. E então, é claro, há o fato de que uma instituição tão crítica como um hospital (assim como organizações de infraestrutura), precisa ter proteção em vários níveis em que cada um resguarde o outro: se o hospital tivesse uma proteção confiável instalada em sua rede, os hackers provavelmente não teriam conseguido fazer o que eles fizeram.

A polícia alemã agora está investigando a cadeia de eventos que levou à morte do paciente. E espero que as autoridades alemãs se voltem para as da Rússia com um pedido formal de cooperação na detenção dos criminosos envolvidos.

Veja, para a polícia abrir um processo criminal, pelo menos uma declaração/solicitação formal ou uma prova do crime cometido precisa ser apresentada. Este ou artigos da imprensa, assim como tipo de declaração ou anúncio não formal não são reconhecidos pelo sistema jurídico. Sem um pedido formal, não tem um caso. Caso contrário, os advogados derrubariam o processo em um piscar de olhos. No entanto, se houver o que parece ser uma evidência confiável de um crime cometido, existe um procedimento de interação intergovernamental que precisa ser seguido. Os governos precisam superar suas predileções políticas e agir em conjunto. Pessoas já estão morrendo – e enquanto a cooperação internacional estiver, em grande parte, congelada pela geopolítica, os cibercriminosos continuarão alcançando novos níveis de ações danosas contra a humanidade.

Atualização: O primeiro passo para restabelecer a cooperação em cibersegurança foi dado. Dedos cruzados…

Por falar nisso: Você notou como quase nunca há notícias de ataques bem-sucedidos de hackers de ransomware contra organizações russas? Você já se perguntou por quê? Eu, pessoalmente, não vou alimentar nem por um momento as teorias da conspiração sobre esses hackers que trabalham para os serviços secretos russos – já que existem muitos grupos de ransomware em todo o mundo. Em minha humilde opinião: porque a maioria das empresas russas são investem em ciberproteção de qualidade, e em breve elas serão protegidas por um sistema operacional ciberimune – sim, aquela mesma solução que foi banida para uso em instituições estatais dos EUA. Vai saber.

Atualização[2]: Ontem mesmo, um ataque de ransomware foi relatado em uma das maiores redes de hospitais da América, o UHS: seus computadores – que atendem a mais ou menos 250 instalações em todo o país – foram desligados, o que levou ao cancelamento de cirurgias, redirecionamentos de ambulâncias e registros de pacientes que precisaram em papel. Ainda não há maiores detalhes sobre o caso…

LEIA COMENTÁRIOS 0
Deixe um comentário.