Dois hackers iranianos acusados ​​na quarta-feira em uma acusação federal foram acusados ​​de atacar as redes de computadores de hospitais e outros alvos em 43 estados, uma ampla campanha de extorsão criminosa que abalou um hospital cardíaco no Kansas e interrompeu uma das maiores empresas de exames de sangue para diagnóstico na Carolina do Norte.

Os promotores federais disseram que a onda de crimes cibernéticos de três anos causou prejuízos de dezenas de milhões de dólares de costa a costa. Isso marcou a primeira acusação nos EUA contra hackers estrangeiros envolvidos em um esquema de ransomware e extorsão com fins lucrativos.

Os dois hackers desenvolveram ferramentas exclusivas para manter as redes de computadores dos EUA reféns do Irã, promotores disseram. Os dois iranianos, Faramarz Shahi Savandi, 34, e Mohammad Mehdi Shah Mansouri, 27, permanecer em liberdade, presumivelmente em sua terra natal, funcionários disseram.

O procurador-geral adjunto Brian A. Benczkowski evitou a questão de saber se o governo do Irã patrocinou os dois, dizendo apenas que a acusação não contém tal alegação.

A campanha de ransomware de três anos atingiu pelo menos 200 vítimas nos Estados Unidos, arrecadando mais de $ 6 milhões em pagamentos de extorsão e causando mais de $ 30 milhões em perdas, O procurador-geral adjunto Rod J. Rosenstein disse.

Ransomware é um código de computador que criptografa sistemas visados ​​e incapacita redes até que as vítimas paguem um resgate, geralmente em uma moeda digital como Bitcoin.

O ransomware iraniano, chamado SamSam, está em uso desde o início de 2016.

Em uma das primeiras supostas ações da equipe iraniana em 2016, atingiu os computadores do Hospital do Coração de Kansas, com 54 leitos, em Wichita, que fornece atendimento cardiovascular especializado para pacientes em todo o Kansas e no norte de Oklahoma.

Reportagens da imprensa na época diziam que o Kansas Heart Hospital pagou um resgate não divulgado, em seguida, enfrentou novas demandas dos hackers. A porta-voz do hospital, Joyce Heismeyer, não foi encontrada imediatamente.

Os hackers violaram as redes de pelo menos seis entidades relacionadas à saúde, incluindo Hollywood Presbyterian Hospital de Los Angeles e MedStar Health of Columbia, Md.

Outros alvos da campanha dos iranianos incluíram as redes das cidades de Atlanta (criptografadas em março) e Newark, N.J. (abril de 2017), o Departamento de Transporte do Colorado (19 de fevereiro, 2018) e o Porto de San Diego (25 de setembro, 2018).

As autoridades disseram que os hackers tinham a intenção de criar perturbações e infligir danos físicos tanto quanto coletar resgate, visando deliberadamente instalações de saúde e hospitais.

“Muitas das vítimas eram agências públicas com missões que envolviam salvar vidas e desempenhar outras funções críticas para o povo americano, "O procurador-geral adjunto Rod Rosenstein disse.

Estados que sofrem seis ou mais ataques de SamSam incluem Califórnia, Texas, Flórida, Geórgia, Carolina do Norte, Missouri e Illinois, de acordo com o Departamento de Justiça. Apenas sete estados escaparam de qualquer ataque. O Departamento de Justiça não forneceu uma lista completa de todas as vítimas conhecidas, ou diga quais vítimas pagaram um resgate.

Alguns pesquisadores de segurança questionaram se a acusação afetaria os ataques de ransomware.

"O impacto que essas acusações terão não é claro, uma vez que os indivíduos estão supostamente localizados no Irã e permanecem foragidos, "disse Kimberly Goody, um analista de crimes cibernéticos da FireEye, uma grande empresa de segurança cibernética.

Um dos ataques mais recentes ocorreu em 14 de julho contra Laboratory Corporation of America, ou LabCorp, uma Burlington, N.C., empresa de diagnóstico que processa mais de 2,5 milhões de testes por semana, e mantém um banco de dados de pacientes de quase metade da população dos EUA. Sua presença global atinge 127 países.

Um porta-voz da empresa, Donald R. Von Hagen, não quis dizer quantos computadores foram desativados quando os hackers penetraram na rede em 14 de julho.

"Não há evidências de que quaisquer dados LabCorp foram removidos de nossos sistemas, "LabCorp disse em um comunicado de 26 de outubro. Ele disse que o ataque afetou o acesso aos resultados dos testes por um período limitado, mas que" as operações voltaram ao normal dentro de alguns dias. "

Muitas vítimas do SamSam podem ter mantido os ataques para si mesmas, pagar os hackers e rezar para que uma chave seja oferecida em troca de descriptografar suas redes.

Enquanto um número crescente de vítimas de crimes cibernéticos vai às autoridades, A diretora-assistente executiva do FBI, Amy S. Hess, disse:"Eu diria que ainda não é a maioria."

Sophos, uma empresa de software de segurança com sede no Reino Unido, que tem seguido o SamSam por quase três anos, disse este mês que um ataque SamSam ocorre em média uma vez por dia. Diz que o resgate exige rotineiramente mais de US $ 50, 000

O que é único sobre o ransomware SamSam, especialistas falam, é que ele é feito sob medida para permitir que um cibercriminoso mapeie e se mova por uma rede direcionada, ao contrário de outro ransomware que se espalha aleatoriamente em campanhas amplamente visíveis aos engenheiros de software.

Os hackers iranianos criaram sites personalizados em redes clandestinas para oferecer às vítimas suporte técnico para fazer seus pagamentos de resgate em Bitcoin.

Em ação separada, mas coordenada, o Departamento do Tesouro impôs sanções a dois outros iranianos que, segundo ele, facilitaram a troca dos pagamentos de resgate do Bitcoin pela moeda iraniana. Escritório do Tesouro de Controle de Ativos Estrangeiros, ou OFAC, tomou o movimento incomum de publicar os endereços de moeda digital que os dois iranianos usaram e disseram que realizaram pelo menos 7, 000 transações.

Os promotores alegaram que os iranianos usaram transações Bitcoin e se comunicaram por meio do TOR, um navegador escuro que os cibercriminosos acreditam que protege o anonimato.

Mas Hess disse que o FBI foi capaz de romper as barreiras digitais.

"Anonimizadores podem não torná-lo tão anônimo quanto você pensa que é, " ela disse.

Um especialista em moedas digitais, Yaya J. Fanusie, disse que as sanções contra os dois iranianos adicionais, Ali Khorashadizadeh e Mohammad Ghorbaniyan, visava o mundo cibercriminoso mais amplo.

"Essas ações são um sinal, "disse Fanusie, um ex-analista da CIA, acrescentando que os policiais estão se adaptando a "tecnologias financeiras emergentes como a criptomoeda".

Fanusie disse que, embora os criminosos possam armazenar Bitcoin em carteiras digitais anônimas armazenadas em endereços de moeda digital, o movimento das moedas digitais deixa "um rastro público para qualquer um seguir e analisar".

© 2018 McClatchy Washington Bureau
Distribuído pela Tribune Content Agency, LLC.