O Departamento de Saúde e Serviços Humanos dos EUA (HHS) alerta que hackers estão agora utilizando táticas de engenharia social para mirar em help desks de TI em todo o setor de Saúde e Saúde Pública (HPH).
Um alerta do setor emitido pelo Centro de Coordenação de Cibersegurança do Setor de Saúde (HC3) nesta semana indica que essas táticas permitiram a invasores obter acesso aos sistemas de organizações alvo ao inscreverem seus próprios dispositivos de multi-fator de autenticação (MFA).
Nesses ataques, os atores de ameaça usam um código de área local para ligar às organizações fingindo serem funcionários do departamento financeiro e fornecem detalhes de verificação de identidade roubados, incluindo ID corporativo e números de segurança social.
Usando essa informação sensível e alegando que seus smartphones estão quebrados, eles convencem o help desk de TI a inscrever um novo dispositivo em MFA sob controle do atacante.
Isso dá a eles acesso a recursos corporativos e permite que redirecionem transações bancárias em ataques de comprometimento de email corporativo.
"O ator de ameaça mirou especificamente em informações de login relacionadas a sites de pagadores, onde então submeteram um formulário para fazer mudanças de ACH para contas de pagadores", diz o HC3 [PDF].
"Uma vez que o acesso foi obtido às contas de email dos funcionários, eles enviaram instruções para processadores de pagamento para desviar pagamentos legítimos para contas bancárias controladas por atacantes nos EUA."
"Os fundos foram então transferidos para contas no exterior.
Durante a campanha maliciosa, o ator de ameaça também registrou um domínio com uma variação de uma única letra da organização alvo e criou uma conta se passando pelo Diretor Financeiro (CFO) da organização alvo."
Nesses incidentes, atacantes também podem utilizar ferramentas de clonagem de voz AI para enganar alvos, tornando ainda mais difícil a verificação de identidades remotamente.
Isso agora é uma tática muito popular, com 25% das pessoas tendo experienciado um golpe de imitação de voz AI ou conhecendo alguém que passou por isso, segundo um estudo global recente.
As táticas descritas no alerta do Departamento de Saúde são muito similares às usadas pelo grupo de ameaça Scattered Spider (também conhecido como UNC3944 e 0ktapus), que também usa phishing, MFA bombing (também conhecido como fadiga de MFA) e SIM swapping para ganhar acesso inicial à rede.
Este grupo de cibercrime frequentemente se passa por funcionários de TI para enganar o pessoal de atendimento ao cliente a fornecer-lhes credenciais ou a executar ferramentas de acesso remoto para violar as redes dos alvos.
Hackers do Scattered Spider criptografaram recentemente os sistemas da MGM Resorts usando o ransomware BlackCat/ALPHV.
Eles também são notórios pela campanha 0ktapus, na qual miraram em mais de 130 organizações, incluindo Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games e Best Buy.
O FBI e o CISA emitiram um aviso em novembro para destacar as táticas, técnicas e procedimentos (TTPs) de Scattered Spider em resposta aos seus ataques de roubo de dados e ransomware contra uma longa lista de empresas de alto perfil.
No entanto, o HC3 diz que incidentes do setor de saúde relatados até agora ainda não foram atribuídos a um grupo de ameaça específico.
Para bloquear ataques mirando seus help desks de TI, organizações do setor de saúde são aconselhadas a:
Exigir retornos de chamada para verificar funcionários que solicitam redefinição de senhas e novos dispositivos MFA.
Monitorar mudanças suspeitas de ACH.
Revalidar todos os usuários com acesso a sites de pagadores.
Considerar pedidos presenciais para questões sensíveis.
Exigir que supervisores verifiquem solicitações.
Treinar a equipe de help desk para identificar e relatar técnicas de engenharia social e verificar a identidade dos chamadores.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...