Os investigadores da Check Point® Software Technologies Ltd., fornecedor líder global de soluções de ciber segurança, têm vindo a observar de utilização de uma nova tática de ransomware, conhecida por “dupla extorsão”, através do qual os ciber criminosos juntam uma etapa extra ao seu ataque. Antes de cifrarem a base de dados das vítimas, conseguem extrair uma grande quantidade de informação confidencial para de seguida ameaçar as vítimas com a sua publicação (a menos que seja pago um resgate). Para demonstrar que a ameaça é séria, os ciber atacantes filtram uma pequena parte da informação sensível na dark web para aumentar o nível de intimidação se não for pago o resgate.

O primeiro caso que foi publicado deste tipo de “dupla extorsão” teve lugar em novembro de 2019 e envolveu a Alliad Universal, uma grande empresa americana dedicada a pessoal de segurança. Quando as vítimas se negaram a pagar o resgate que pediam no valor de 300 Bitcoins (aproximadamente 2,3 milhões de dólares), os ciber criminosos, valendo-se do vírus “Maze”, ameaçaram utilizar a informação confidencial, os certificados de correio eletrónico e os nomes de domínio roubados para elaborar uma campanha de spam com a identidade da empresa. Ao mesmo tempo, publicaram uma amostra dos ficheiros roubados que incluía contratos, registos médicos, certificados de encriptação, etc. Desde então, o Maze tem publicado os detalhes de dezenas de empresas, sociedades de advogados, fornecedores de serviços médicos e empresas seguradoras que não têm cedido aos seus pedidos de resgate, pelo que se estima que muitas empresas evitaram a publicação dos seus dados sensíveis pagando o resgate exigido.

“A dupla extorsão é uma tendência em voga entre os ataques de ransomware. Ao filtrar a informação sensível na dark web como uma amostra de que a ameaça é séria, exercem muito mais pressão sobre as suas vítimas”, afirma Lotem Finkelsteen, Threat Intelligence Director da Check Point. “Esta variante de ciber ameaça é especialmente preocupante para os hospitais, já que, ao estar totalmente focados no atenidmento de pacientes de coronavirus, seria muito complicado conseguir fazer frente a um ataque com estas características. Por este motivo, aconselhamos aos hospitais que, agora mias do que nunca, extremem as suas medidas de proteção”, acrescenta Finkelsteen.

Os hospitais, na mira dos ciber criminosos e do ransomware de dupla extorsão

A atual situação do setor de saúde é de saturação devido à concentração de todos os seus esforços em combater a propagação do Covid-19, o que faz ter poucos recursos técnicos e pessoais disponíveis para otimizar os seus níveis de cibersegurança. Por este motivo, os especialistas da Check Point aconselham à adoção de uma estratégia de proteção assente na prevenção para evitar que os hospitais se convertam numa nova vítima de ransomwares como o NetWalker, que recentemente afetou vários hospitais espanhóis e americanos. Para tal, destacam como ações chave para estarem protegidos:

• Fazer uma cópia de segurança: é vital fazer backup dos ficheiros importantes, procurando usar sistemas de armazenamento externo. Também é importante utilizar ferramentas para realizar cópias de segurança de forma automática para todos os empregados (se possível), já que desta forma se minimiza o risco de erro humano por não levar a cabo esta ação com regularidade.
• Formar os empregados a reconhecer potenciais ameaças: os ataques mais comuns utilizados nas campanhas de ransomware continuam a ser os correios eletrónicos de spam e phishing. Em muitas ocasiões, o utilizador pode prevenir um ataque antes que este ocorra. Para isso, é fundamental educar os empregados e consciencializá-los sobre os protocolos de actuação em caso de indícios de ciber ataque.
• Limitar o acesso à informação: para minimizar os riscos e o impacto de um possível ataque com ransomware, é fundamental controlar e limitar o acesso à informação e recursos, para que os empregados só utilizem aqueles que são imprescindíveis para realizar o seu trabalho. Desta forma, reduz-se significativamente a possibilidade que um destes ataques afete toda a rede.
• Ter sempre o software e o sistema operativo atualizado: contar sempre com a última versão do sistema operativo no nosso equipamento, bem como dos programas instalados (entre eles o anti-vírus) e aplicar regularmente todos pacotes de segurança evita que os cibercriminosos se possam aproveitar de vulnerabilidades já existentes. É fundamental recordar que esta é a estratégia de mínimo esforço para os cibercriminosos, pois nem sequer têm de descobrir novas formas de atacar, senão utilizar as já conhecidas e aproveitar a janela de oportunidade que lhes é oferecida pelo utilizador até que atualize o sistema.
• Implementar medidas de segurança avançadas: para além das proteções tradicionais baseadas na assinatura, como o anti-vírus e o IPS, as organizações necessitam incorporar camadas adicionais de segurança para se protegerem contra os malwares novos e desconhecidos. Dois componentes chave a considerar são a extração de ameaças (“limpeza” de ficheiros) e a simulação de ameaças (sandboxing avançado). Cada elemento proporciona um nível de segurança distinto que, quando utilizado conjuntamente, oferecem uma solução integral para a proteção contra o malware desconhecido tanto para a rede como para os dispositivos.