O fornecedor de soluções de risco Kroll divulgou resultado de pesquisa que mostrou que um grupo de hackers da Rússia teve sucesso em registrar reivindicações de desemprego fraudulentas no Departamento de Segurança do Emprego do Estado de Washington (ESD). O ataque foi feito por meio de ransomware contra um prestador de serviços de saúde nos EUA.
Uma pesquisa publicada no dia 17 de junho, revelou que a empresa analisou os registros do histórico do navegador que os hackers invadiram muitas contas do Gmail. Após isso, criaram dois perfis no site ESD com esses endereços de e-mail.
Grupos internacionais de hackers
O ataque de ransomware, que aconteceu no dia 12 de maio, é caracterizado como uma exploração da categoria Mamba que usa criptografia de disco completa para invasão. De acordo com o Kroll, os dados estavam ligados aos residentes do estado de Washington.
No relatório foi falado que os dados mostram que existem grupos internacionais de crime organizado, chamados de TOCs. Assim, dispararam grande quantidade de fraudes no seguro-desemprego contra moradores de muitos estados dos EUA, principalmente Washington e Massachusetts. No entanto, aparentemente, os hackers estão usando lotes que foram roubados de informações pessoais de diversos mercados da dark web.
De acordo com Kroll, os invasores iniciaram o acesso na rede do provedor de serviços de saúde desconhecido no fim de abril. Assim, primeiro o ataque de ransomware do GoGoogle não foi feito com sucesso e o time do TI conseguiu pausar rapidamente.
Fraude do desemprego permanece nos EUA
Nicole Sette, vice-presidente sênior da prática de Risco Cibernético da Kroll e ex-analista de inteligência cibernética do FBI, disse que o ransomware e a fraude de desemprego ligada a pandemia do COVID-19 ainda estão atrapalhando muitas entidades nos Estados Unidos:
“Nesse caso, Kroll investigou uma dupla fraude de ransomware/desemprego que revelou as várias táticas, técnicas e procedimentos que os atores usam para monetizar as redes de vítimas. Continuamos a ver cibercriminosos conduzindo intrusões multifacetadas, capitalizando em vários esquemas para desviar PII, fundos e dados proprietários das redes das vítimas. O principal argumento deste relatório é que os atores de ameaças cibernéticas empregarão uma variedade de técnicas para tirar proveito de seu acesso à rede durante um evento de invasão cibernética.”
Sette também comentou sobre o ataque do ransomware Mamba:
“Como o Mamba utilizava criptografia de disco completa, um método de ataque diferente que seria mais difícil para a TI remediar. O Mamba é conhecido por explorar o Remote Desktop Protocol (RDP) para obter acesso às redes de vítimas e pode se mover lateralmente por toda a rede.”
Sette diz que Kroll tem a forte sensação de que os ataques de ransomware irão ficar cada vez maiores durante o COVID-19. O motivo seria pelo crescimento de vulnerabilidades de rede ligadas à necessidade de trabalho remoto “muitas organizações não conseguiram garantir seu RDP/VPN”.
Incidentes recentes de ransomware
Há pouco tempo, o Kroll mostrou uma grande incidência no uso do trojan Qakbot, ou Qbot. Esse Trojan é responsável pela divulgação de campanhas de sequestro de threads de email e da implantação ataques de ransomware.
Então, no dia 28 de maio, a equipe de segurança da Microsoft divulgou um novo tipo de ransomware. O qual trabalha com “força bruta” contra o servidor de gerenciamento de sistemas da empresa que será atacada. O setor da saúde é o que tem mais sofrido ataques crise do COVID-19.
