Organizações de saúde sob cerco do Trinity Ransomware
O setor de saúde enfrenta uma crescente ameaça cibernética de uma nova variante de ransomware conhecida como Trinity . O Departamento de Saúde e Serviços Humanos dos EUA (HHS) emitiu um aviso, alertando organizações de saúde e saúde pública sobre os perigos iminentes.
Table of Contents
Uma ameaça crescente em ransomware
Detectado pela primeira vez em maio de 2024, Trinity é uma cepa de ransomware relativamente nova. Ele criptografa arquivos, adicionando uma extensão '.trinitylock'. De acordo com o HHS, ele compartilha semelhanças com outras famílias de ransomware, como 2023Lock e Venus. Esses grupos geralmente têm como alvo infraestrutura crítica, e Trinity não é exceção.
Como outros ransomwares, o Trinity usa um site de vazamento para listar suas vítimas e negociar com organizações para descriptografia de arquivos. Os operadores do ransomware exfiltram dados antes de bloquear os sistemas para mantê-los reféns para extorsão posterior.
Uma vez lá dentro, a Trinity usa e-mails de phishing, software vulnerável e sites maliciosos para obter acesso. Então, ela realiza reconhecimento de rede, escaneia sistemas e se move lateralmente para elevar privilégios. Uma tática avançada que a Trinity usa é personificar o token de processos legítimos para expandir seu alcance dentro da rede da vítima.
Métodos de criptografia e extorsão
Após obter acesso total, o Trinity criptografa os arquivos usando um algoritmo de criptografia robusto. Os arquivos são inutilizados a menos que a vítima possua a chave de descriptografia correta. Cada arquivo afetado é marcado com uma extensão '.trinitylock', identificando claramente os dados criptografados.
Após o processo de criptografia, as vítimas recebem notas de resgate em formatos de texto e .hta, juntamente com papéis de parede de desktop modificados exibindo o ataque. A nota de resgate normalmente inclui uma URL onion para acessar o site do invasor e instruções para comunicação.
Links para outras famílias de ransomware
O HHS aponta que o Trinity é notavelmente similar às famílias de ransomware 2023Lock e Venus. Eles compartilham o algoritmo de criptografia ChaCha20, e suas notas de resgate, nomes de mutex e valores de registro são quase idênticos. Essas conexões profundas sugerem que o Trinity pode ser um sucessor direto do 2023Lock, tornando-o uma ameaça em evolução.
Impacto nas organizações de saúde
Os setores de saúde e saúde pública são particularmente vulneráveis. Uma organização de saúde dos EUA já foi vítima desse grupo e, até agora, o site de vazamento da Trinity lista cinco vítimas. Isso inclui a Rocky Mountain Gastroenterology, da qual os invasores alegam ter roubado 330 gigabytes de dados.
Atualmente, não há ferramentas de descriptografia disponíveis para o ransomware Trinity, deixando as vítimas com poucas opções. Embora alguns tenham visto sucesso parcial usando ferramentas de recuperação de dados, a necessidade de consultoria especializada de profissionais de segurança cibernética é alta.
Preparando-se para o próximo ataque
O risco representado pela Trinity e outras famílias de ransomware para os sistemas de saúde é claro. Quais medidas sua organização deve tomar para evitar um ataque? Suas defesas atuais são suficientes para suportar uma violação? Medidas de segurança proativas e bem pensadas podem ser a diferença entre se tornar uma vítima ou permanecer seguro.
