Um grupo de hackers que já teve como alvo organizações de saúde executou um ataque de ransomware bem-sucedido nesta semana contra a Universidade da Califórnia, São Francisco.

A UCSF confirmou que foi alvo de uma “invasão ilegal”, mas não explicou qual parte da rede de TI pode ter sido comprometida. Pesquisadores da universidade têm realizado testes de anticorpos e ensaios clínicos de relevância para possíveis tratamentos para o coronavírus.

Entre eles, um estudo recente sobre um medicamento contra a malária promovido pelo presidente dos EUA, Donald Trump, como possível tratamento, mas que foi posteriormente refutado por cientistas.

A universidade alertou especialistas em segurança e a polícia sobre o ataque, que não afetou suas operações de atendimento aos pacientes, disse Peter Farley, diretor de comunicação da UCSF.

“Com a assistência deles, estamos realizando uma avaliação completa do incidente para determinar quais informações, se houver alguma, podem ter sido comprometidas”, afirmou Farley em comunicado. “Para preservar a integridade da investigação, precisamos limitar o que podemos compartilhar no momento.”

Os hackers do NetWalker assumiram a autoria do ataque em seu blog na darkweb. O post dedicado à UCSF parecia ter sido copiado e colado da home da universidade, que explica o trabalho da instituição em assistência médica.

Grupos de ataque geralmente publicam amostras de dados para provar o sucesso da invasão. Nesse caso, o blog dos hackers publicou quatro capturas de tela, incluindo dois arquivos acessados por eles. Os nomes dos arquivos, vistos pela Bloomberg na darkweb, contêm possíveis referências aos Centros de Controle e Prevenção de Doenças dos EUA e departamentos dedicados à pesquisa de coronavírus da universidade.

O blog inclui um cronômetro vermelho que ameaça a “publicação de dados secretos” até 8 de junho, horário do Pacífico, se um pagamento não for recebido. O post não menciona o valor do resgate exigido.

Na maioria dos casos de ransomware, o pagamento é seguido pela troca de uma chave de descriptografia que permite às vítimas obter acesso aos arquivos. Quando o pagamento não é realizado, o que geralmente ocorre quando existem cópias de backup para restaurar os dados, os hackers às vezes publicam os dados mais sensíveis na esperança de obter o pagamento.

Hackers têm cada vez mais escolhido como alvo instituições como a UCSF, não apenas pelos pagamentos de ransomware, mas também por propriedade intelectual possivelmente rentável, como pesquisas valiosas sobre a cura do Covid-19.

“O uso de iscas do Covid-19 e ataques a entidades do setor de saúde indicam que operadores do Netwalker estão aproveitando a pandemia para ganhar notoriedade e aumentar sua base de clientes”, de acordo com relatório de pesquisa da Crowdstrike.