2019-12-trickbot-ryuk-hospital

# TrickBot e Ryuk - Campanha contra Hospitais (2019-2020) > [!danger] Ransomware como Ameaça de Vida > A partir de outubro de 2019, o grupo [[g0102-conti-group]] intensificou uma campanha sistematica contra hospitais e sistemas de saúde usando a combinacao **TrickBot + Ryuk**: phishing entregava o [[s0266-trickbot]] (banker/loader), que estabelecia acesso persistente e mapeava a rede, seguido do [[ryuk-ransomware]] que criptografava sistemas criticos. Em setembro de 2020, o Hospital Universitario de Dusseldorf (Alemanha) relatou a primeira morte potencialmente vinculada a ransomware - uma paciente redirecionada para outro hospital por sistemas offline. O CISA emitiu alerta emergêncial sobre a campanha em outubro de 2020. O NHS britanico perdeu acesso a registros de mais de 80.000 pacientes em episodios subsequentes. --- ## Attack Flow ```mermaid graph TB A["📧 Phishing com Emotet/TrickBot Documento Word com macro Alvo: funcionarios hospitalares"] --> B["🔓 TrickBot Instalado Módulos: credential stealer Network recon e lateral movement"] B --> C["🗝️ Coleta de Credenciais Domain admin credentials Acesso a Active Directory"] C --> D["🔍 Reconhecimento de Rede Identificação de backups Servidores criticos mapeados"] D --> E["💣 Deploy Ryuk Ransomware Propagação via PsExec/WMI Criptografia de registros medicos"] E --> F["🏥 Sistemas Hospitalares Offline Registros de pacientes inacessiveis Equipamentos medicos desconectados"] F --> G["⚠️ Impacto a Pacientes Cirurgias canceladas Redirecionamento de emergencias"] ``` --- ## A Combinacao TrickBot + Ryuk O **Emotet** era o loader inicial - entregue via phishing com documentos Office maliciosos. Após a infecção, o Emotet carregava o [[s0266-trickbot]], um banker/loader modular desenvolvido pelo grupo [[g0102-conti-group]] (criminosos russos/ucranianos também conhecidos como Gold Blackburn). O TrickBot era altamente modular - podia baixar componentes para roubo de credenciais bancarias, coleta de cookies, propagação via EternalBlue, módulo de reconhecimento de dominio Active Directory e, criticamente, preparação do ambiente para o deploy do [[ryuk-ransomware]]. O Ryuk era operado por um subgrupo especializado - aparentemente distinto dos operadores do TrickBot - que comprava acesso de redes já comprometidas para realizar ataques de alto impacto. A separacao operacional entre o grupo de acesso inicial (TrickBot) e o grupo de ransomware (Ryuk) foi um dos primeiros exemplos do modelo que dominaria o ecossistema de ameaças nos anos seguintes. --- ## Por que Hospitais eram Alvo Prioritario O setor de saude era considerado ideal para extorsao por ransomware por razoes específicas: 1. **Tolerancia zero a downtime** - sistemas de saude nao podem ficar dias offline sem risco de vida 2. **Infraestrutura legada** - hospitais operam equipamentos com Windows XP e sistemas sem suporte 3. **Baixo investimento em segurança** - orcamentos de TI priorizavam equipamentos medicos 4. **Dados altamente sensiveis** - registros medicos valem 10-50x mais que cartoes de credito no mercado negro 5. **Pressao politica** - autoridades tendem a recomendar pagamento para salvar vidas O FBI e CISA inicialmente mantiveram a posicao de nao recomendar o pagamento de resgates, mas o setor de saude frequentemente pagava por necessidade operacional. --- ## O Caso de Dusseldorf - Primeira Morte por Ransomware Em setembro de 2020, o **Hospital Universitario Heinrich Heine de Dusseldorf** foi atingido por ransomware - subsequentemente atribuido ao grupo **Doppelpaymer** (com links ao [[g0102-conti-group]]). O ataque derrubou 30 servidores e tornou o hospital incapaz de receber pacientes de emergência. Uma paciente que necessitava de aténdimento urgente foi redirecionada para um hospital a 30km de distancia - com atraso de aproximadamente uma hora. A paciente faleceu. A procuradoria de Dusseldorf abriu investigação de homicidio culposo - o primeiro caso do tipo no mundo. A investigação foi encerrada posteriormente por falta de prova do nexo causal direto, mas o caso consolidou o debaté global sobre ransomware como ameaça existencial ao setor de saúde. --- ## Resposta do CISA e FBI Em outubro de 2020, o CISA, FBI e o Departamento de Saude americano (HHS) emitiram um alerta conjunto - **AA20-302A** - sobre a campanha específica de TrickBot/Ryuk contra o setor de saude americano. O alerta foi incomum por ser **prospectivo** - a agencia identificou que o Wizard Spider havia comprometido mais de 400 redes americanas de saude e que ataques de ransomware estavam iminentes. O alerta recomendou desabilitar RDP onde possível, implementar MFA, realizar backups offline e aplicar patches criticos. Varios hospitais desligaram preventivamente sistemas por cautela. --- ## Impacto para o Brasil Hospitais brasileiros - especialmente da rede pública - compartilham as vulnerabilidades estruturais que tornaram o setor de saúde americano e europeu alvo prioritario. O CERT.br e a [[anpd]] monitoraram a campanha de perto. A Resolução CFM 2299/2021 e normas subsequentes do Ministerio da Saúde sobre segurança de sistemas de informação em saúde foram influenciadas diretamente pelo cenário internacional de ataques. O [[cert-br]] registrou ataques a hospitais brasileiros com vetores similares em 2020-2021, incluindo o Hospital de Amor (ex-Barretos) em 2020. A onda de [[2025-q4-ransomware-brasil]] incluiu hospitais como alvos. --- ## Cronologia do Incidente | Data | Evento | |------|--------| | Out 2019 | Intensificacao da campanha TrickBot+Ryuk contra hospitais | | Dez 2019 | Hospitais do NHS UK afetados - 80.000 registros comprometidos | | Mar 2020 | COVID-19 - ataques continuam mesmo durante pandemia | | Set 2020 | Hospital de Dusseldorf - primeiro caso de morte potencialmente vinculada | | Out 2020 | CISA/FBI emitem alerta AA20-302A sobre campanha ativa | | 2020-2021 | Ondas continuas - Universal Health Services (US) perde US$ 67M | --- ## Referências CTI | Elemento | Ligacao | |----------|---------| | Threat Actor | [[g0102-conti-group]] - Gold Blackburn | | Malware Loader | [[s0266-trickbot]] - banker/loader modular | | Ransomware | [[ryuk-ransomware]] | | Técnica MITRE | [[t1566-phishing]] - vetor de entrada via email | | Técnica MITRE | [[t1486-data-encrypted-for-impact]] - criptografia | | Técnica MITRE | [[t1078-valid-accounts]] - uso de credenciais coletadas | | Setor Afetado | [[healthcare]] | | Evento anterior | [[2019-05-baltimore-ransomware]] | | Evento posterior | [[2021-05-colonial-pipeline]] | --- > [!info] Navegacao - Eventos Relacionados > [[2019-05-baltimore-ransomware]] | [[2021-05-colonial-pipeline]] | [[ryuk-ransomware]] | [[_timeline]]