De acordo com o Federal Bureau of Investigation (FBI), o Conti ransomware recentemente direcionado pelo menos 16 organizações de saúde nos Estados Unidos, incluindo organizações de primeiros socorros. O FBI também lançou um TLP: WHITE para ajudar as organizações a se defenderem de ameaças futuras.
“O FBI identificou pelo menos 16 ataques de Conti ransomware visando redes de atendimento médico e de primeiros socorros dos EUA, incluindo agências de aplicação da lei, serviços médicos de emergência, centros de despacho 9-1-1 e municípios no ano passado, ”A Divisão Cibernética do FBI observou em seu anúncio . “Essas redes de atendimento médico e de primeira resposta estão entre as mais de 400 organizações em todo o mundo vitimadas pelo Conti, mais de 290 das quais estão localizadas nos EUA”
O Conti é um Ransomware-as-a-Service (RaaS) que o Wizard Spider apoia. Wizard Spider acredita ser um grupo de crimes cibernéticos com sede na Rússia que lança ataques semelhantes contra organizações em todo o mundo.
O Conti ransomware pode obter acesso às redes das vítimas por meio de links de e-mail maliciosos, anexos ou credenciais RDP roubadas.
As vítimas devem pagar a quantia solicitada pelos invasores em oito dias. Se as vítimas não pagarem dentro deste período, os atacantes entrarão em contato com as vítimas via Voice Over Internet Protocol (VOIP) ou e-mails criptografados. A forma como o Conti ransomware funciona é simples e semelhante a outras contrapartes, como o Doppelpaymer.
O Conti ransomware tem como alvo organizações de saúde nos Estados Unidos e em todo o mundo
As organizações de saúde dos Estados Unidos não são as apenas vítimas de Conti ransomware . O Health Service Executive (HSE) e o Department of Health (DoH) da Irlanda enfrentaram um caso semelhante em que os invasores de Conti pediram um resgate de $ 20 milhões.
Claro, o DoH foi capaz de repelir os ataques, mas o HSE teve que desligar seus sistemas de TI.
Para técnicos , aqui estão os indicadores de ransomware Conti de acordo com o anúncio do FBI: “Os agentes Conti usam ferramentas de acesso remoto, que na maioria das vezes direcionam para a infraestrutura de servidor virtual privado (VPS) nacional e internacional nas portas 80, 443, 8080 e 8443. Além disso, os atores pode usar a porta 53 para persistência. Grandes transferências HTTPS vão para os provedores de armazenamento de dados baseados em nuvem MegaNZ e servidores pCloud. Outros indicadores de atividade do Conti incluem o aparecimento de novas contas e ferramentas-particularmente Sysinternals-que não foram instaladas pela organização, bem como detecção de endpoint desabilitada e beacons de sistema de nomes de domínio e HTTP constantes e detecção de endpoint desabilitada/p>
Se você for um administrador de TI ou especialista em segurança em uma organização de saúde, observe esses indicadores para que possa proteger seus dados deste ransomware. O FBI pediu a todas as organizações atacadas pelo ransomware Conti para compartilhar suas informações.
