Philadelphia Ransomware: Nova infecção no setor de saúde

Uma nova cepa de ransomware foi descoberta por oficiais de segurança de Forcepoint, Texas, que tem como alvo organizações de saúde. O ransomware Philadelphia é da família Stampado. Este kit de ransomware é vendido online por algumas centenas de dólares e os atacantes exigem resgate na forma de Bitcoins.

Os pesquisadores descobriram que o ransomware da Filadélfia é transportado por e-mails de spear-phishing. Esses e-mails são enviados aos hospitais com um corpo de mensagem de um URL encurtado que direciona para um espaço de armazenamento pessoal que serve um arquivo DOCX como arma com o logotipo da organização de saúde visada. Os funcionários ficam presos e acabam clicando nesses links que fazem o ransomware se infiltrar no sistema.

Fonte da imagem: forcepoint.com

Uma vez que o ransomware é estabelecido no sistema, ele entra em contato com o servidor C&C e transfere todas as informações sobre o computador da vítima, como sistema operacional, país, idioma do sistema e nome de usuário da máquina. O servidor C&C então gera um ID de vítima, preço de resgate e ID de carteira Bitcoin e os envia para a máquina alvo.

A técnica de criptografia usada pelo Philadelphia Ransomware é AES-256, que exige um resgate de 0,3 Bitcoins assim que terminar de bloquear seus arquivos. Seu envolvimento com a indústria de saúde pode ser observado pelo caminho do diretório que mostra 'hospital / spam' como uma string em seu JavaScript criptografado junto com 'hospital / spa' contido em seu caminho de servidor C&C.

Fonte da imagem: funender.com

O que é Filadélfia:

Ok, todos sabem que é a maior cidade da Pensilvânia e blá, blá, blá ... mas no que diz respeito ao crime cibernético, também é uma versão atualizada do notório vírus Stampado do tipo ransomware. Em e-mails de phishing, você pode encontrá-los com avisos falsos de pagamento em atraso. Esses e-mails incluem principalmente links para sites da Filadélfia, que são mantidos prontos com aplicativos Java para instalar ransomware em seu sistema.

Consulte também:  5 principais ferramentas de proteção contra ransomware

Philadelphia começa a criptografar arquivos com várias extensões, como .doc, .bmp, .avi, .7z, .pdf etc., após uma invasão bem-sucedida no sistema. Você pode identificar um arquivo criptografado bloqueado pelo Philadelphia com sua extensão como ' .locked '. Por exemplo, um arquivo em seu sistema com o nome 'abc.bmp' seria criptografado e renomeado como 'KD24KIH83483BJAKDF8JDR7.locked'. Depois de tentar abrir o arquivo criptografado, o ransomware abre uma nova janela com um resgate exigido na mensagem.

A mensagem de resgate informa que os arquivos foram criptografados e você deve pagar para restaurá-los. Philadelphia usa um algoritmo de criptografia assimétrica que cria uma chave pública (criptografia) e privada (descriptografia) enquanto criptografa e bloqueia os arquivos. Descriptografar os arquivos bloqueados sem a chave privada é como ferver um oceano, pois eles estão localizados em servidores remotos protegidos por criminosos cibernéticos.

A janela contém dois temporizadores interessantes: Prazo e Roleta Russa. Enquanto o cronômetro de deadline indica o tempo restante para obter sua chave privada, a Roleta Russa mostra o tempo para deletar o próximo arquivo (empurrando você para comprá-lo sem perder tempo em busca de ajuda). É realmente uma ameaça, mas é a única coisa que não é falsa.

Fonte da imagem: forbes.com

Você pode evitar esta situação?

sim. Você pode evitar ser serrado pelo ransomware da Filadélfia ; no entanto, você deve manter seu computador armado com o melhor anti-ransomware e antimalware. Observe que alguns ransomware podem contornar o melhor anti-ransomware, portanto, a melhor prática é tornar-se um usuário vigilante e não clicar em nada incomum e suspeito.

Consulte também:  As 5 principais dicas para lutar contra o ransomware Havoc

Considerando tudo, o Philadelphia Ransomware pode ser considerado um tipo de infecção penetrante. Embora agora só tenha como alvo as organizações de saúde, você também pode ser uma vítima, pois o código-fonte desse vírus está à venda por US $ 400 na dark web. Qualquer aspirante a criminoso cibernético pode obter o código e começar a caçar uma presa. Manter seu computador imunizado e protegido por antimalware e anti-ransomware deve ajudar.