Στην Αυστραλία η κυβέρνηση συνιστά στους οργανισμούς που δραστηριοποιούνται στον τομέα της υγείας να ελέγξουν και να ενισχύσουν την κυβερνοάμυνά τους, καθώς και τους ελέγχους τους για να αποτρέψουν ransomware επιθέσεις. Το Κέντρο Κυβερνοσφάλειας της Αυστραλίας (ACSC) δήλωσε ότι κυβερνοεγκληματίες στοχεύουν όλο και περισσότερο τους οργανισμούς υγειονομικής περίθαλψης της χώρας με το SDBBot RAT (Remote Access Tool). To SDBBot RAT έχει διανεμηθεί σχεδόν αποκλειστικά από μία hacking ομάδα που είναι γνωστή με την ονομασία “TA505”.
Αυτή η hacking ομάδα βασίζεται σε μαζικές spam email εκστρατείες για να στοχεύσει εταιρείες και να μολύνει workstations με διάφορα malware. Από τον Σεπτέμβριο του 2019, η TA505 έχει παρατηρηθεί συχνά να αναπτύσσει το SDBBot payload για να αποκτήσει απομακρυσμένη πρόσβαση στα μολυσμένα συστήματα. Το SDBBot αποτελείται από 3 στοιχεία – ένα πρόγραμμα εγκατάστασης που καθορίζει την επιμονή, ένα loader που κατεβάζει πρόσθετα στοιχεία και το ίδιο το RAT. Μόλις εγκατασταθεί, οι χάκερς χρησιμοποιούν το SDBBot για να κινηθούν πλευρικά μέσα σε ένα δίκτυο και να κλέψουν δεδομένα.
Ωστόσο, το ACSC αναφέρει ότι το SDBBot συνδέεται με το Clop ransomware. Πρόκειται για ένα από τα πιο επιθετικά κι επικίνδυνα ransomware που υφίστανται σήμερα στο τοπίο των απειλών. Το Clop είναι αυτό που οι ερευνητές ασφαλείας αποκαλούν “big-game hunting ransomware” ή “human- operated ransomware”. Αυτό το είδος ransomware αναπτύσσεται σε επιθέσεις εναντίον στόχων υψηλού προφίλ. Το ransomware δεν εγκαθίσταται μόλις ένας φορέας απειλής αποκτήσει πρόσβαση σε ένα δίκτυο, αλλά κρατείται ως το τελευταίο payload.
Οι χειριστές του Clop στις επιθέσεις τους επικεντρώνονται πρώτα στην επέκταση της αρχικής τους πρόσβασης σε όσο το δυνατόν περισσότερα συστήματα, κλέβουν ευαίσθητα κι εμπιστευτικά έγγραφα από τον οργανισμό – θύμα και αναπτύσσουν το ransomware όταν γνωρίζουν ότι έχουν μεγιστοποιήσει την πρόσβασή τους σε έναν οργανισμό που έχει παραβιαστεί.
Επιπλέον, οι χειριστές του Clop συνήθως απαιτούν από τα θύματά τους να πληρώσουν τεράστια ποσά λύτρων – τα οποία ανέρχονται σε εκατοντάδες χιλιάδες ή και εκατομμύρια δολάρια ΗΠΑ. Σε περίπτωση που τα θύματα δεν πληρώσουν τα απαιτούμενα λύτρα, η ransοmware συμμορία δημοσιεύει τα κλεμμένα δεδομένα σε data leak site.
Η προειδοποίηση της υπηρεσίας κυβερνοασφάλειας στην Αυστραλία για ενδεχόμενες ransοmware επιθέσεις με στόχο οργανισμούς υγειονομικής περίθαλψης, έρχεται αφότου η Αμερικανική κυβέρνηση εξέδωσε παρόμοιες προειδοποιήσεις για τον τομέα της υγείας των ΗΠΑ στα τέλη Οκτωβρίου.
