# Ransomware DPRK contra Saúde > [!critical] Coreia do Norte usa ransomware para financiar programa nuclear > A Coreia do Norte (**DPRK**) conduz campanhas sistemáticas de ransomware contra hospitais e sistemas de saúde como mecanismo de financiamento de seu programa de armamentos. O **Andariel** e outros subgrupos do **Lazarus Group** operam ransomwares como **Maui** e **H0lyGh0st** específicamente contra infraestrutura de saúde, em violação direta às normas internacionais de proteção a civis durante conflitos. ## Visão Geral A Coreia do Norte (DPRK) desenvolveu um modelo único e perturbador de cibercrime estatal: utilizar ataques de ransomware contra infraestrutura crítica de saúde como fonte de financiamento para seu programa nuclear e de mísseis balísticos. O FBI, CISA e NSA emitiram alertas conjuntos em 2022 documentando esse padrão, que representa uma das mais graves ameaças ao setor de saúde global. O principal executor dessas operações é o [[g0138-andariel]], subgrupo especializado do [[g0032-lazarus-group]] que também opera sob os codinomes Stonefly, Silent Chollima e DarkSeoul. O [[maui-ransomware]], sua ferramenta principal, foi desenvolvido específicamente para ataques ao setor de saúde, com foco em sistemas hospitalares onde a pressão de recuperação é máxima - vidas humanas em risco criam urgência para pagamento de resgates. O [[h0lygh0st-ransomware]] (também escrito HolyGhost), operado por um subgrupo DPRK rastreado como DEV-0530, segue a mesma lógica mas com um RaaS simplificado que atingiu principalmente pequenas e médias empresas entre 2021 e 2022. O grupo chegou a manter comúnicações abertas com vítimas, em contraste com a operação mais discreta do Andariel. O impacto dessas campanhas vai além do financeiro: ataques a hospitais durante a pandemia de COVID-19 e em períodos de crise de saúde pública representam um risco direto a vidas. O governo dos EUA ofereceu recompensas de até USD 10 milhões por informações sobre membros do Lazarus Group envolvidos nessas operações. > [!latam] Relevância para o Brasil > O modelo de ransomware da **DPRK** contra hospitais é diretamente replicável no Brasil: o setor de **saúde brasileiro** — incluindo hospitais públicos, operadoras de planos de saúde e o próprio sistema SUS — possui alto volume de dados de pacientes com infraestrutura frequentemente desatualizada. Os vetores principais (**VPNs vulneráveis e RDP exposto**) são amplamente encontrados em sistemas hospitalares nacionais. A **CISA** e o **CERT.br** recomendam atenção especial a este modelo de ataque para toda a infraestrutura de saúde da região. ## Análise Técnica ### Attack Flow Típica ```mermaid graph TB A["🌐 Exploração de Serviços Expostos<br/>VPNs / RDP / Web Apps"] --> B["🔑 Acesso Inicial<br/>Credenciais comprometidas / CVEs"] B --> C["🔍 Reconhecimento Interno<br/>Identificação de sistemas críticos"] C --> D["📦 Implantação do Maui/H0lyGh0st<br/>Via C2 estabelecido"] D --> E["🔒 Criptografia Seletiva<br/>EHRs / PACS / sistemas críticos"] E --> F["💰 Resgate em Criptomoeda<br/>Monero / Bitcoin"] F --> G["🚀 Lavagem de Dinheiro<br/>Financiamento programa nuclear DPRK"] ``` ### Maui vs H0lyGh0st | Característica | [[maui-ransomware]] | H0lyGh0st | |---------------|-----------|-----------| | Operador | Andariel (Gov DPRK) | DEV-0530 (DPRK) | | Período ativo | 2021-presente | 2021-2022 | | Alvo principal | Hospitais grandes | PMEs | | Criptografia | AES/RSA/XOR combo | AES + RSA | | Comúnicação | Mínima / automatizada | Manual e prolífica | | Pagamento | Criptomoeda mista | Monero preferido | ### Setores Prioritários ```mermaid graph TB subgraph "Alvos DPRK Healthcare Ransomware" A["🏥 Hospitais e Sistemas Hospitalares<br/>Alta urgência = maior pressão"] --> E["💰 Receita para DPRK"] B["🔬 Institutos de Pesquisa Médica<br/>Dados vacinais / P&D farmacêutico"] --> E C["📊 Seguradoras de Saúde<br/>Dados de pacientes = alto valor"] --> E D["🏛️ Agências de Saúde Pública<br/>Infraestrutura crítica nacional"] --> E end ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de VPNs e serviços web | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia de sistemas hospitalares | | Exfiltration Over C2 Channel | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração de dados de pacientes | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Uso de credenciais roubadas | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Deleção de backups e shadow copies | ## Detecção e Defesa ### Indicadores de Comprometimento > [!ioc]- IOCs - DPRK Healthcare Ransomware (TLP:GREEN) > **Extensões Maui:** > Arquivos cifrados ganham extensão aleatória baseada no hostname da vítima > > **Artefatos de processo:** > - Processos Java ou .NET incomuns em servidores > - Uso de `cmd.exe /c` por processos de aplicação hospitalar > > **Comportamento de rede:** > - Conexões para IPs na Ásia-Pacífico não mapeados em whitelists > - Tráfego criptografado para C2 em horários fora do expediente > > **Fontes:** [CISA Advisory AA22-187A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-187a) · [FBI Flash CU-000167-MW](https://www.ic3.gov) ### Mitigações Específicas para Saúde 1. **Segmentação de rede hospitalar**: Isolar sistemas PACS, EHR e suporte a vida em VLANs segregadas 2. **Backup offline**: Backups de EHR isolados de qualquer rede (air-gapped), testados mensalmente 3. **Autenticação multifator**: MFA obrigatório para todos os acessos remotos 4. **Patching de VPN**: Vulnerabilidades em Citrix, Pulse Secure e F5 são os vetores mais comuns 5. **Plano de resposta a incidentes**: Healthcare específico, com procedimentos manuais para continuidade durante ataque ## Referências - [CISA Advisory AA22-187A - DPRK Healthcare Ransomware](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-187a) - [FBI Alert - Maui Ransomware](https://www.ic3.gov/Media/News/2022/220720.pdf) - [Microsoft MSTIC - DEV-0530 H0lyGh0st](https://www.microsoft.com/en-us/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses/)