# Ryuk Healthcare Campaign 2019
> [!critical] Ransomware contra hospitais em plena pandemia - vidas em risco
> A partir de 2019, o grupo Wizard Spider conduziu uma campanha sistematica de ransomware Ryuk contra hospitais e sistemas de saúde, com ataque coordenado em outubro de 2020 visando simultaneamente centenas de hospitais americanos durante a pandemia de COVID-19.
## Visão Geral
O [[s0446-ryuk]] ransomware representa uma das ameaças mais persistentes e eticamente perturbadoras do ecossistema de ransomware moderno: um grupo de criminosos ciberneticos escolheu deliberadamente hospitais e prestadores de servicos de saúde como alvos preferênciais, sabendo que o custo humano da interrupcao de sistemas medicos aumentaria dramaticamente a probabilidade de pagamento de resgaté.
O grupo responsavel, denominado [[g0102-conti-group]] pela CrowdStrike (também referênciado como UNC1878 pela Mandiant), e um sofisticado grupo criminoso com fortes indicadores de origem no leste europeu, posssivelmente com membros que atuaram anteriormente no grupo responsavel pelo trojan bancario Dyre (Dyreza). O grupo opera o [[s0266-trickbot]] como principal mecanismo de acesso e distribuição, usando uma cadeia de infecção modular: [[s0367-emotet]] entrega o [[s0266-trickbot]], que conduz reconhecimento extenso antes de implementar o [[s0446-ryuk]].
O Brasil e a América Latina possuem infraestrutura hospitalar particularmente vulnerável, com hospitais públicos operando sistemas legados sem orcos adequados para segurança cibernetica, tornando este padrao de ataque altamente relevante para a regiao.
## A Cadeia de Infecção
```mermaid
graph TB
A["E-mail phishing<br/>Anexo malicioso ou link"] --> B["Emotet carregado<br/>Downloader/dropper inicial"]
B --> C["TrickBot instalado<br/>Reconhecimento e coleta de credenciais"]
C --> D["Cobalt Strike Beacon<br/>Acesso interativo ao ambiente"]
D --> E["Movimentação lateral<br/>PsExec, WMI, RDP com credenciais roubadas"]
E --> F["Dominio comprometido<br/>Domain Controller acessado"]
F --> G["Implantação do Ryuk<br/>Via compartilhamentos de rede ou GPO"]
G --> H["Criptografia em massa<br/>EHRs, prontuarios, sistemas clinicos"]
H --> I["Nota de resgaté<br/>RyukReadMe.txt em todos diretorios"]
```
**Caracteristicas técnicas do Ryuk:**
- Baseado no Hermes 2.1 ransomware, com modificacoes significativas
- Criptografia de unidades de rede remotas (incluindo compartilhamentos administrativos)
- Wake-On-LAN para acordar e cifrar maquinas desligadas
- Exclusao de Volume Shadow Copies para prevenir recuperacao
- Capacidade de desabilitar o recurso Windows System Restore
## Impacto Documentado
| Incidente | Data | Impacto |
|---|---|---|
| Tribune Publishing (LA Times, etc.) | Dez 2018 | Disrupcao de impressao em múltiplos jornais |
| Universal Health Services (UHS) | 27 Set 2020 | 250 hospitais nos EUA afetados, registros eletronicos inacessiveis |
| Sky Lakes Medical Center (Oregon) | Out 2020 | Sistemas offline, retorno a papel |
| Lawrence Health System (New York) | Out 2020 | Sistemas de saúde comprometidos |
| Dusseldorf University Hospital | Set 2020 | Amplamente reportado como primeiro obito atribuido a ransomware |
| Sopra Steria (IT firm) | Out 2020 | Estimativa de $47-59 milhões em danos |
**Escala geral (2019-2020):**
- $61 milhões pagos em resgates so em 2018-2019 (estimativa FBI)
- Em outubro de 2020, Ryuk foi responsavel por **75%** dos ataques ao setor de saúde americano
- Alerta conjunto CISA/FBI/HHS emitido em outubro de 2020 sobre ameaça "iminente" a hospitais americanos
## TTPs Detalhadas
| Fase | Técnica | Ferramenta/Método |
|---|---|---|
| Initial Access | T1566 - Phishing | Emotet via spam/phishing com anexos Office |
| Execution | T1059.003 - Windows Command Shell | Scripts bat/cmd para implantação lateral |
| Persistence | T1053 - Scheduled Task/Job | Tarefas agendadas para persistência do TrickBot |
| Credential Access | T1003 - OS Credential Dumping | Mimikatz, gsecdump para credenciais de AD |
| Lateral Movement | T1021.001 - Remote Desktop Protocol | RDP com credenciais roubadas |
| Lateral Movement | T1021.002 - SMB/Windows Admin Shares | PsExec para propagação via compartilhamentos |
| Command and Control | T1071 - App Layer Protocol | Cobalt Strike Beacon para C2 interativo |
| Impact | T1486 - Data Encrypted for Impact | Ryuk com Salsa20/RSA-4096 |
| Impact | T1490 - Inhibit System Recovery | Delecao de Shadow Copies, desativacao de System Restore |
## Relevância para Saúde no Brasil e LATAM
> [!latam] Risco para saúde pública no Brasil
> O sistema de saúde brasileiro - tanto SUS quanto hospitais privados - apresenta vulnerabilidades estruturais similares as exploradas na campanha Ryuk: sistemas legados, falta de segmentacao de rede, equipes de TI reduzidas e alta pressao operacional que reduz a vigilancia. Hospitais públicos brasileiros foram alvos de ataques ransomware em 2021-2022, com o padrao TrickBot-Ryuk documentado em ao menos dois incidentes nao públicos reportados ao CERT.br.
> O impacto de um apagao de EHR (Electronic Health Records) em um hospital brasileiro pode ser catastrofico dado o uso intenso de sistemas de prescricao digital e agendamento eletronico no SUS.
## Detecao e Defesa para Setor de Saúde
**Acoes prioritarias:**
1. **Filtro de email robusto** - Bloquear anexos Office com macros de fontes externas; sandboxing automatico
2. **Segmentacao de rede** - Isolar sistemas clinicos (PACS, EHR, ventiladores conectados) da rede corporativa
3. **Backups imutaveis e offsite** - 3-2-1: 3 copias, 2 midias diferentes, 1 offsite desconectada
4. **Desabilitar compartilhamentos administrativos** (`C
, `ADMIN
) onde nao essenciais
5. **EDR em todos os endpoints** - Detectar PsExec, Cobalt Strike, execução de `vssadmin delete shadows`
6. **Patch prioritario** - Ryuk frequentemente abusa de vulnerabilidades de AD como ZeroLogon
**Indicadores de pre-ransomware (TrickBot):**
- Processo `svchost.exe` com conexoes a IPs nao usuais
- `cmd.exe` executado a partir de processos de sistema
- `whoami`, `net user`, `net localgroup` executados em serie
## Referências
- [1](https://www.trendmicro.com/en_us/what-is/ransomware/ryuk-ransomware.html) Trend Micro - Ryuk Ransomware Overview (2021)
- [2](https://www.hhs.gov/sites/default/files/trickbot-ryuk-and-the-hph-sector.pdf) HHS - TrickBot, Ryuk, and the HPH Sector (2020)
- [3](https://www.hhs.gov/sites/default/files/ryuk-variants.pdf) HHS - The Evolution of Ryuk (2020)
- [4](https://en.wikipedia.org/wiki/Ryuk_(ransomware)) Wikipedia - Ryuk Ransomware
- [5](https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-006.pdf) CERT-FR/ANSSI - Ryuk Ransomware CTI Report (2021)