Hackers invadem organizações de saúde através do acesso remoto ScreenConnect
13 de Novembro de 2023

Pesquisadores de segurança estão alertando que hackers estão mirando várias organizações de saúde nos EUA, abusando da ferramenta de acesso remoto ScreenConnect.

Os atores de ameaças estão aproveitando as instâncias locais do ScreenConnect usadas pela Transaction Data Systems (TDS), um provedor de soluções de sistemas de gerenciamento e cadeia de suprimentos de farmácias presente em todos os 50 estados.

Pesquisadores da plataforma de segurança gerenciada Huntress detectaram os ataques e relataram vê-los em endpoints de duas organizações de saúde distintas e atividade indicando reconhecimento de rede em preparação para escalada de ataque.

As intrusões observadas foram identificadas entre os dias 28 de outubro e 8 de novembro de 2023, e elas provavelmente ainda estão acontecendo.

A Huntress reporta que os ataques apresentam táticas, técnicas e procedimentos (TTPs) similares.

Isso inclui o download de um payload chamado text.xml, indicando que o mesmo ator está por trás de todos os incidentes observados.

O .XML contêm código C# que carrega o payload de ataque do Metasploit, o Meterpreter, na memória do sistema, usando um método não-PowerShell para evitar detecção.

De acordo com a Huntress, processos adicionais foram observados sendo iniciados utilizando o serviço de Spooler de Impressora.

Os endpoints comprometidos operam em um sistema Windows Server 2019, pertencendo a duas organizações distintas - uma no setor farmacêutico e outra na área de saúde, sendo o ponto comum entre elas uma instância do ScreenConnect.

A ferramenta de acesso remoto foi usada para instalar payloads adicionais, executar comandos, transferir arquivos e instalar o AnyDesk.

Os hackers também tentaram criar uma nova conta de usuário para acesso persistente.

Os pesquisadores determinaram que a instância do ScreenConnect estava vinculada ao domínio 'rs.tdsclinical[.]com' associado ao TDS.

Neste momento, não está claro se o TDS sofreu uma violação, se as credenciais de uma de suas contas foram comprometidas ou se os invasores exploraram um mecanismo diferente.

A Huntress fez várias tentativas de notificar o TDS, agora conhecido como 'Outcomes', após uma fusão no último verão, mas a empresa não respondeu.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...