• Categoria: Acesso comprometido
• Região: Índia

Sumário executivo

AMEAÇA

• Um grupo russo de atores do Threat atacou o sistema de gestão da saúde do Ministério da Saúde da Índia.
• O grupo mencionou o ataque como consequência do acordo da Índia sobre o limite do preço do petróleo e das sanções do G-20 sobre a guerra Rússia-Ucrânia.

IMPACTO

• Acesso aos dados do Portal HMIS, do Hospital, dos funcionários e dos médicos.
• Plausibilidade de novos ataques cibernéticos por esses grupos hacktivistas sob o pretexto das posições geopolíticas da Índia.
• Venda de documentos de licença e PII extraídos em fóruns de crimes cibernéticos.
• Conduzir fraudes de documentos usando PII e documentos de licença.

MITIGAÇÃO‍

• Monitore anomalias nas contas de usuários, o que pode indicar possíveis aquisições de contas
• Use balanceador de carga e serviços de proteção contra DDoS.
• Bloqueio de endereços IP e geolocalizações desnecessárias.
• Atualizar e corrigir vulnerabilidades regularmente pode reduzir as chances de um site ser atacado.

‍

Análise e atribuição

Informações do Post

• Em 15 de março de 2023, CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um grupo de agentes de ameaças que alega ter como alvo um site do governo indiano.
• Uma análise das amostras compartilhadas concluiu que a entidade afetada é a Sistema de informação de gestão da saúde pertencente ao Ministério da Saúde da Índia.
• O grupo de agentes de ameaças mencionado na postagem alega ter acesso a

• Todos os hospitais da Índia
• Funcionários e médicos-chefes

‍

Informações do canal

• O motivo por trás dessa meta foram as sanções impostas contra a Federação Russa, onde as autoridades indianas decidiram não violar as sanções, bem como cumprir o teto de preço do petróleo russo aprovado pelos países do G7..
• Essa decisão resultou em várias pesquisas no canal de telegramas do hacktivista russo Phoenix pedindo votos aos seguidores.

Táticas, técnicas e procedimentos [TTPs]

• O grupo hacktivista Phoenix foi observado usando técnicas de engenharia social para atrair as vítimas em um golpe de phishing, roubando as senhas e obtendo acesso às contas bancárias ou de pagamento eletrônico de suas vítimas.
• O Grupo conduziu uma série de ataques DDoS contra várias entidades no passado.
• A Phoenix também se envolveu em hackear hardware, desbloquear iPhones perdidos ou roubados e revendê-los em Kiev e Kharkiv por meio de uma rede de pontos de venda controlados.

‍

Atividade e classificação do ator de ameaças

Perfil do ator de ameaças

• Ativo a partir de janeiro de 2022
• Reputação: Moderada
• Status atual: Ativo
• História: O grupo hativista russo mostrou um histórico de ataques às seguintes entidades:

1. Hospitais com sede no Japão e no Reino Unido.
2. Organização de saúde com sede nos EUA que serve as forças armadas dos EUA
3. Ataques DDoS contra sites de namoro LGBTQ e fóruns comunitários baseados na Rússia
4. O Ministério da Saúde, a Autoridade Reguladora Federal de Compras Públicas, o Ministério do Controle de Alimentos, a Suprema Corte, o Ministério do Interior e vários outros departamentos do Paquistão
5. Ataque DDoS no site do Ministério das Relações Exteriores da Espanha

• Classificação: C3 [C: Bastante confiável; 3: Possivelmente verdadeiro]

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia
• https://nationalcybersecuritynews.today/phoenix-a-pro-russian-hacking-group-has-now-declared-to-target-uk-hospitals-computerhacking-hacking/

‍

Apêndice

‍