VOLTAR ÀS NOTÍCIAS
Última Hora

Grupo Lazarus Usa Ransomware Medusa em Ciberataques ao Setor de Saúde dos EUA

3 min de leituraFonte: BleepingComputer

Pesquisadores de segurança atribuem ataques de ransomware Medusa a organizações de saúde dos EUA ao Grupo Lazarus, APT norte-coreano. Saiba como se proteger.

APT Norte-Coreano Mira Setor de Saúde dos EUA com Ransomware Medusa

Pesquisadores de segurança atribuíram uma recente onda de ataques de ransomware contra organizações de saúde dos Estados Unidos ao Grupo Lazarus, um ator de ameaça sofisticado apoiado pelo governo da Coreia do Norte. O grupo tem implantado o ransomware Medusa em campanhas de extorsão, marcando uma escalada preocupante em suas operações cibercriminosas.

Detalhes Principais do Ataque

  • Ator da Ameaça: Grupo Lazarus (APT38, Hidden Cobra)
  • Setor Alvo: Organizações de saúde dos EUA
  • Malware: Ransomware Medusa (não confundir com MedusaLocker)
  • Motivação: Ganho financeiro por meio de extorsão
  • Atribuição: Confirmada por múltiplas empresas de cibersegurança

Análise Técnica

O Grupo Lazarus, conhecido por suas capacidades avançadas de ameaça persistente (APT), historicamente focou em roubo financeiro, espionagem e ataques disruptivos. O uso do ransomware Medusa representa uma mudança para táticas de extorsão direta, alinhando-se aos objetivos mais amplos do grupo de gerar receita para o regime norte-coreano.

O ransomware Medusa, identificado pela primeira vez em 2021, é uma variante de RaaS (Ransomware-as-a-Service) que criptografa dados da vítima e exige pagamento em criptomoedas. Embora não seja tão amplamente implantado quanto outras famílias de ransomware, seu uso por um ator apoiado por Estado levanta preocupações sobre o potencial de dupla extorsão — onde os atacantes exfiltram dados antes da criptografia para pressionar ainda mais as vítimas.

Pesquisadores de segurança observam que o Grupo Lazarus provavelmente obteve acesso inicial por meio de campanhas de phishing ou exploração de vulnerabilidades não corrigidas em sistemas voltados para a internet. Uma vez dentro da rede, o grupo emprega técnicas de living-off-the-land (LotL), utilizando ferramentas legítimas como PowerShell e PsExec para se mover lateralmente e implantar o ransomware.

Impacto nas Organizações de Saúde

O direcionamento a entidades de saúde dos EUA é particularmente alarmante devido a:

  • Riscos à Infraestrutura Crítica: Interrupções nos serviços de saúde podem ter consequências fatais.
  • Sensibilidade dos Dados: Registros de pacientes e dados médicos são altamente valiosos na dark web.
  • Consequências Regulatórias: Violações podem resultar em violações da HIPAA e penalidades financeiras significativas.

Recomendações para Defesa

Equipes de segurança no setor de saúde devem priorizar as seguintes mitigações:

  1. Gestão de Patches: Aplicar atualizações de segurança para vulnerabilidades conhecidas (ex.: CVE-2023-XXXX) em sistemas expostos à internet.
  2. Conscientização sobre Phishing: Treinar funcionários para reconhecer e relatar e-mails suspeitos.
  3. Detecção de Endpoints: Implantar soluções EDR/XDR para detectar técnicas de LotL.
  4. Segmentação de Rede: Limitar o movimento lateral isolando sistemas críticos.
  5. Estratégia de Backup: Manter backups offline e criptografados para recuperação após ataques de ransomware.

Conclusão

A atribuição dos ataques de ransomware Medusa ao Grupo Lazarus destaca a crescente ameaça representada por cibercriminosos patrocinados por Estados. Organizações de saúde devem permanecer vigilantes, adotando uma abordagem de defesa em profundidade para mitigar riscos tanto de atores financeiramente motivados quanto de nações-estado.

Para mais detalhes, consulte o relatório original no BleepingComputer.

Compartilhar

TwitterLinkedIn