Ciberdelincuentes atacan hospitales con malware tipo ransomware

Desde hace meses, centros de atención médica operados por la red Universal Health Services se han convertido en víctimas del peligroso ransomware Ryuk. Los ciberataques han generado severas disrupciones en muchas entidades del sistema de salud estadounidense.

Ransomware attack. Visto en Hispasec
Reportes de los expertos mencionan que estos ataques involucraron el uso de correos electrónicos con phishing dirigido y enlaces a documentos alojados en Google Drive para infectar a los equipos y dispositivos de las entidades, de los médicos, personal auxiliar y administrativo de las entidades.

Según se ha informado, "aunque el malware no está específicamente alojado en Google, estos documentos se usan para convencer a las potenciales víctimas de descargar el malware alojado en otras plataformas, donde también pueden presentarse en forma de documentos que requieren habilitar la edición".

Aunque las medidas de la comunidad de la ciberseguridad para limitar el alcance de estos ataques, la combinación de correos electrónicos de phishing dirigidos y documentos en Google Drive han resultado altamente efectiva para las acciones los autores de amenazas. Se libra una feroz batalla y más aún donde el personal no asume una actitud de defensa y soslaya los criterios de ciberseguridad, aumentando la vulnerabilidad del conjunto de la entidad y el sistema de salud.

Recientemente Microsoft anunció que obtuvo una orden judicial y tomó medidas para cerrar las operaciones de Trickbot, una gigantesca botnet compuesta por miles de dispositivos infectados y que era principalmente empleada para la distribución del ransomware Ryuk, y otros ataques.

Se entiende que esta operación no eliminaría permanentemente las operaciones de estos ciberdelincuentes, y los los expertos no vislumbran un escenario en el que el ransomware pueda ser eliminado por completo, por lo que la comunidad de la ciberseguridad resalta la importancia del combate activo a estas prácticas.

A finales de agosto se informó que desde de julio de este año TrickBot, un malware bancario modular que se está utilizando como dropper de ransomware, ha comenzado a infectar a sus víctimas con un nuevo rasomware bautizado como Conti.

"Conti es un ransomware nuevo, cuyo modelo de negocio para sus desarrolladores esta basado en lo que se conoce como Ransomware-as-a-Service (RaaS), que consiste en ofrecer su ransomware como si se tratase de un servicio, ofreciendo a sus clientes el software para realizar la infección y ocupándose de la configuración y mantenimiento del servidor de control" (una al día).
Otro caso

La agencia de salud de Montreal y el sistema de transporte cierran sus operaciones después de un ataque de ransomware.

El ministro de salud de la ciudad, Christian Dube, informó que la agencia médica CIUSSS du Centre-Ouest-de-l’Île-de-Montreal, tuvo que desconectar sus sistemas mientras las autoridades realizan la investigación pertinente en colaboración con especialistas en ciberseguridad. “Nuestros equipos detectaron la infección con rapidez, por lo que apagamos múltiples sistemas para prevenir mayores daños”, ha indicado Dube.

Los investigadores señalan que el ciberataque a la agencia médica podría ser parte de una campaña más amplia, aunque no se ha reconocido la identificación de otros incidentes que formen parte de la misma campaña de ataque. Sin embargo, el FBI lanzó una alerta en conjunto con el gobierno de Canadá advirtiendo sobre una posible campaña de ciberataques contra la industria médica de ambos países.

El gobierno canadiense confirmó que el sistema de transporte en Montreal fue afectado por un ataque de ransomware. El incidente en el sistema de transporte ocurrió el pasado 19 de octubre, cuando los cibercriminales atacaron los sistemas de la Société de Transport de Montreal (STM) para inhabilitar su sitio web, exigiendo un pago de casi 3 millones de dólares, al parecer la STM se rehusó a pagar el rescate y se realizan esfuerzos para restablecer los sistemas a la normalidad.

Se informó que es posible se hayan utilizado un correos electrónicos de phishing dirigido para obtener acceso a la red de STM durante el ataque, aunque la investigación de este incidente sigue en curso.

Recientemente se lanzó un aviso conjunto de seguridad cibernética desde la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y el Departamento de Salud y Servicios Humanos (HHS). El aviso describe las tácticas, técnicas y procedimientos (TTP) utilizados por los ciberdelincuentes contra objetivos en el Sector Salud y Salud Pública (HPH) para infectar sistemas con ransomware, especialmente Ryuk y Conti, para obtener ganancias financieras.

CISA, FBI y HHS tienen información creíble de una amenaza creciente e inminente de ciberdelito para los hospitales y proveedores de atención médica de EE. UU. CISA, FBI y HHS están compartiendo esta información para advertir a los proveedores de atención médica para asegurarse de que tomen las precauciones oportunas y razonables para proteger sus redes de estas amenazas.

Se puede obtener una versión en PDF de este informe en el siguiente link:
https://us-cert.cisa.gov/sites/default/files/publications/AA20-302A_Ransomware%20_Activity_Targeting_the_Healthcare_and_Public_Health_Sector.pdf

Según el informe, los ciberdelincuentes detrás de TrickBot, probablemente también sean los creadores del malware BazarLoader, han continuado desarrollando nuevas funciones y herramientas, aumentando la facilidad, velocidad y rentabilidad de la victimización.

Estos actores de amenazas utilizan cada vez más cargadores, como TrickBot y BazarLoader (o BazarBackdoor), como parte de sus campañas cibernéticas maliciosas. Los ciberdelincuentes difunden TrickBot y BazarLoader a través de campañas de phishing que contienen enlaces a sitios web maliciosos que alojan el malware o archivos adjuntos con el malware.

Los cargadores inician la cadena de infección distribuyendo la carga útil; despliegan y ejecutan la puerta trasera desde el servidor de comando y control (C2) y la instalan en la máquina de la víctima.

Nota relacionada:

Post relacionados


___________________
NOTA: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.
IMPORTANTE: Todas las publicaciones son sin fines comerciales ni económicos. Todos los textos de mi autoría tienen ©todos los derechos reservados. Los contenidos en los link (vínculos) de las notas replicadas (reproducidas) y/o citadas son de exclusiva responsabilidad de sus autores. Éste blog ni su autor tienen responsabilidad alguna por contenidos ajenos.

Comentarios

Publicar un comentario

Bienvenido al blog y muchas gracias por su visita. Espero que el contenido sea de utilidad, interés y agrado.
Antes de colocar un comentario ten en cuenta que no se permitirán comentarios que:
- Posean link promocionando otras páginas o websites
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y
palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia.

Ni este Blog ni su autor tienen responsabilidad alguna sobre comentarios de terceros, los mismos son de exclusiva responsabilidad del que los emite.

Este Blog y su autor se reservan el derecho de eliminar aquellos comentarios injuriantes, discriminadores y/o contrarios a las leyes de la República Argentina.

Entradas más populares de este blog

Apagón total del PAMI por ciberataque

Imagen
Es noticia desde hace más de una semana, el PAMI sufrió un ciberataque, se usó un ransomware del tipo Rhysida . El organismo confirmó en su momento el ciberataque y aseguro que "fue mitigado". Pero siguen teniendo graves problemas. Visto en TN Según lo informado por el diario Clarín , no se sabe cuándo se normalizará el sistema. El PAMI busca dar tranquilidad, pero el problema sería mayor al admitido. "El apagón del PAMI es total. Entre empleados de planta y contratados, allí trabajan unas 14.000 personas. Según pudo comprobar este medio, circuló una comunicación interna en la que se les pidió apagar toda computadora conectada al sistema, hasta nuevo aviso. Harán un formateo a gran escala" ( Clarín ). "Las consecuencias fueron gravísimas afecta
Leer más

La actitud es importante

Imagen
La ciberseguridad se ha convertido en un tema crítico en nuestros días, pues cada vez son más las amenazas y los riesgos asociados al uso frecuente de las tecnologías de la información y la comunicación (TIC). Por esta razón, es fundamental que los usuarios adopten una actitud proactiva y responsable en este ámbito, para minimizar los riesgos y proteger su información personal y empresarial. Un decálogo a tener en cuenta En primer lugar, los usuarios deben comprender que la ciberseguridad es una responsabilidad compartida, que involucra a todos los actores del ecosistema digital. Esto significa que no se puede dejar todo el peso de la protección en manos de los proveedores de servicios o de los expertos en seguridad, sino que cada usuario debe asumir su parte de responsabilidad en el cuidado de su información y recursos digitales.
Leer más

Eluden antivirus con un archivo malicioso de Microsoft Word en un archivo PDF

Imagen
MalDoc en PDF y otras técnicas de Ingeniería Social Expertos en ciberseguridad del equipo de JPCERT/CC han alertado sobre una ingeniosa técnica de elusión de antivirus que implica la inserción de un archivo malicioso de Microsoft Word en un archivo PDF, este desarrollo en medio de un aumento en las campañas de ingeniería social supone una creciente preocupación por los expertos, que advierten sobre nuevas técnicas para evadir las protecciones en los sistemas. Artículo completo en UAD by Hispasec ___________________ NOTA : Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles . IMPORTANTE : Todas las publicaciones son sin fines c
Leer más