O grupo de hackers Black Hat Maze infectou a infraestrutura de uma empresa que pesquisa o coronavírus com ransomware, conseguindo roubar e publicar dados confidenciais.

O hack de informações médicas

A empresa de segurança cibernética Emsisoft disse à Cointelegraph em 23 de março que os hackers do grupo Maze comprometeram a empresa médica britânica Hammersmith Medicines Research. Os dados publicados incluem dados confidenciais sobre voluntários de exames médicos, como documentos de identificação, como passaportes, histórico médico e detalhes dos testes. O analista de ameaças da Emsisoft, Brett Callow, disse:

“[Os dados] estão na web clara, onde podem ser acessados por qualquer pessoa com conexão à Internet. [...] Os criminosos quase certamente não publicaram todos os dados que foram roubados. O modus operandi deles é nomear as empresas que eles acessaram em seu site e, se isso não os convencer a pagar, publicar uma pequena quantidade da quantidade de dados - que é o estágio em que esse incidente parece estar - como as chamadas 'provas'. ”

Felizmente, a ComputerWeekly relata que a Hammersmith Medicines Research conseguiu tornar os sistemas operacionais até o final do dia. Callow observou que "parece que eles foram capazes de restaurar rapidamente seus sistemas a partir de backups". Ele também disse que os dados publicados anteriormente no site do hacker não estão mais disponíveis:

"Observe que, desde a execução do relatório ComputerWeekly, os dados roubados do HMR foram 'removidos temporariamente' do site dos criminosos. [...] Mas aqui está o problema. Outros criminosos baixam os dados publicados nesses sites de vazamentos e os usam para seus próprios fins. ”

Callow disse ao Cointelegraph que ele não sabe o quão alto o resgate exigia. Ainda assim, apontei que o grupo já havia solicitado cerca de US $ 1 milhão em Bitcoin para restaurar o acesso aos dados e outros US $ 1 milhão em BTC para excluir sua cópia e parar de publicá-la.

Como o Cointelegraph noticiou no início de fevereiro, o Maze também comprometeu cinco escritórios de advocacia dos Estados Unidos e exigiu dois resgates de 100 Bitcoin em troca de restaurar dados e excluir sua cópia. Callow disse que os grupos de ransomware quase sempre solicitam o pagamento em Bitcoin:

"99% das demandas de resgate estão no Bitcoin e, até o momento, tem sido a moeda de escolha do grupo Maze".

Crimes não buscam o bem comum

Em incidentes anteriores, o Maze também publicou dados roubados em fóruns russos sobre crimes cibernéticos, recomendando "Usar essas informações das formas nefastas que você desejar". Callow também criticou "um número não negligenciável de publicações" que relataram recentemente sobre como alguns grupos de ransomware - incluindo o Maze - pararam seus ataques durante o período da pandemia. Eu disse:

“Um número não desprezível de publicações relatou recentemente que alguns grupos de ransomware, incluindo o Maze, declararam uma anistia a ataques a organizações médicas durante o surto do Covid-10 e, desde então, eu os vejo descritos como 'esquemas de Robin Hood. 'Isso demonstra claramente que, para surpresa de absolutamente ninguém, não se pode confiar nos criminosos e é um erro dar-lhes voz. ”

Callow disse que o nível de ameaça é o mesmo de sempre, ou possivelmente mais alto. Ele também insistiu que "esses grupos não deveriam receber uma plataforma que lhes permita subestimar esse fato". Isso está de acordo com o recente relatório da Emsisoft, segundo o qual os ataques de ransomware têm um aspecto sazonal e o número de picos de ataques por volta da metade do ano.