Ransomware Locky ataca hospitais

Médicos e pacientes, cuidado: a família dos cibercriminosos aumentou. Apesar de jovem, esse ransomware de apenas um mês já codificou arquivos em dois hospitais nos Estados Unidos e rendeu 17

Médicos e pacientes, cuidado: a família dos cibercriminosos aumentou. Apesar de jovem, esse ransomware de apenas um mês já codificou arquivos em dois hospitais nos Estados Unidos e rendeu 17 mil dólares aos seus criadores.

O novato recebeu o nome de Locky e ganhou notoriedade global logo depois de seu nascimento. A razão? Infectou os arquivos médicos do Centro Médico Presbiteriano de Hollywood. E o hospital precisou pagar 17 mil dólares de resgate.

A nova vítima, o Hospital Metodista em Henderson, em Kentucky, possui 217 leitos. Para conseguir interromper o ataque, o hospital desligou todos os computadores conectados à rede. A direção do hospital está cooperando com o FBI, verificando cada dispositivo. É possível que alguns dados possam ser recuperados do backup. Diferentemente do último ataque a um hospital, o resgate solicitado foi de apenas 1,6 mil dólares. No entanto, representantes do Hospital afirmam que só será pago em último caso.

O Locky começou sua jornada da maneira usual –phishing. Um funcionário recebeu um e-mail de spam e executou o arquivo anexado, o que resultou no download do ransomware. O Trojan rapidamente copiou todos os dados no dispositivo, os criptografou e deletou os originais.

Anteriormente, o Locky chegava ao destino por meio de arquivos .doc com scripts maliciosos, que baixavam o Trojan de servidores remotos. Agora os criminosos mudaram de tática, adotando arquivos ZIP com scripts Java para executar a mesma função. A maioria dos e-mails maliciosos estavam em inglês, porém também foram encontrados e-mails escritos em duas línguas.

Podemos afirmar que o Locky é um Trojan bem curioso. Ele reúne estatísticas detalhadas sobre cada vítima, o que é incomum entre ransomwares. Esse cuidado pode ser explicado pela avareza dos criminosos: isso permite que eles determinem o valor dos dados encriptados, com intuito de definir valores de resgate individuais e aumentar os lucros.

É pouco provável que o Locky tenha sido criado tendo instituições médicas como alvo. Especialistas em segurança estão certos que criminosos procurarão qualquer usuário que dependa muito de dados, como advogados, médicos, arquitetos, entre outros.

As soluções da Kaspersky Lab são capazes de impedir a atuação do Locky, principalmente por conta das nossas defesas em diversas camadas:
• O módulo anti-spam detecta e-mails maliciosos enviados pelos cibercriminosos.
• O antivírus nos e-mails detecta os scripts maliciosos e avisa o usuário se qualquer ameaça for detectada. Nossa solução verifica o script em questão como Trojan-Downloader.MSWWord.Agent, Trojan-Downloader.JS.Agent e HEUR:Trojan-Downloader.Script.Generic.
• O antivírus para arquivos reconhece o arquivo executável e alerta o usuário caso o Trojan-Ransom.Win32.Locky seja detectado.
• O módulo System Agent no Kaspersky Internet Security encontra até amostras desconhecidas do Locky e notifica o usuário que um PDM:Trojan.Win32.Generic foi detectado e bloquando sua ação.

Dicas