O Grupo Fleury, maior empresa de diagnósticos do Brasil, com mais de 200 centros de atendimento em oito estados e no Distrito Federal, mais de 13 mil funcionários e 3,2 mil médicos sofreu, em 10 meses, um segundo ataque hacker que paralisou seus sistemas de TI causando impacto e um efeito dominó nas marcações de exames nos principais hospitais de São Paulo.
Um grupo de pesquisadores de segurança independentes ouvidos pela reportagem do portal CISO Advisor acredita que, pelas características do ataque, trata-se de uma ação do grupo de ransomware-as-a-service (RaaS) LockBit.
Agora na versão 3.0, o LockBit se tornou mais modular e evasivo e compartilha semelhanças com o Blackmatter e Blackcat.
Para obter acesso inicial às redes de destino, os operadores do Lockbit usam várias técnicas, como exploração do protocolo de área de trabalho remota (RDP), comprometimento drive-by, campanhas de phishing, abuso de contas válidas e exploração de aplicativos voltados para o público.
Depois de infectar o sistema, o malware toma medidas para estabelecer persistência, escalar privilégios, realizar movimentos laterais e excluir arquivos de log, arquivos na pasta da lixeira e cópias de sombra, antes de iniciar a rotina de criptografia.
O CISO Advisor revela ainda que nenhum grupo assumiu a autoria do ataque.
O Grupo Fleury soltou um comunicado à CVM na parte da manhã desta segunda-feira, 08/05, assumindo o ataque cibernético e que “gradualmente estamos normalizando nossas operações de forma controlada, com os devidos testes de segurança sendo executados, priorizando a integração automática de sistemas em hospitais em nossos ambientes, que vem ocorrendo de forma gradativa.
As Unidades seguem atendendo nossos clientes com sistemas já restabelecidos”.
*Com informações do portal CISO Advisor
