Ciberdelincuentes atacan hospitales con malware tipo ransomware

Desde hace meses, centros de atención médica operados por la red Universal Health Services se han convertido en víctimas del peligroso ransomware Ryuk. Los ciberataques han generado severas disrupciones en muchas entidades del sistema de salud estadounidense.

Ransomware attack. Visto en Hispasec

Reportes de los expertos mencionan que estos ataques involucraron el uso de correos electrónicos con phishing dirigido y enlaces a documentos alojados en Google Drive para infectar a los equipos y dispositivos de las entidades, de los médicos, personal auxiliar y administrativo de las entidades.

Según se ha informado, "aunque el malware no está específicamente alojado en Google, estos documentos se usan para convencer a las potenciales víctimas de descargar el malware alojado en otras plataformas, donde también pueden presentarse en forma de documentos que requieren habilitar la edición".

Aunque las medidas de la comunidad de la ciberseguridad para limitar el alcance de estos ataques, la combinación de correos electrónicos de phishing dirigidos y documentos en Google Drive han resultado altamente efectiva para las acciones los autores de amenazas. Se libra una feroz batalla y más aún donde el personal no asume una actitud de defensa y soslaya los criterios de ciberseguridad, aumentando la vulnerabilidad del conjunto de la entidad y el sistema de salud.

Recientemente Microsoft anunció que obtuvo una orden judicial y tomó medidas para cerrar las operaciones de Trickbot, una gigantesca botnet compuesta por miles de dispositivos infectados y que era principalmente empleada para la distribución del ransomware Ryuk, y otros ataques.

Se entiende que esta operación no eliminaría permanentemente las operaciones de estos ciberdelincuentes, y los los expertos no vislumbran un escenario en el que el ransomware pueda ser eliminado por completo, por lo que la comunidad de la ciberseguridad resalta la importancia del combate activo a estas prácticas.

A finales de agosto se informó que desde de julio de este año TrickBot, un malware bancario modular que se está utilizando como dropper de ransomware, ha comenzado a infectar a sus víctimas con un nuevo rasomware bautizado como Conti.

"Conti es un ransomware nuevo, cuyo modelo de negocio para sus desarrolladores esta basado en lo que se conoce como Ransomware-as-a-Service (RaaS), que consiste en ofrecer su ransomware como si se tratase de un servicio, ofreciendo a sus clientes el software para realizar la infección y ocupándose de la configuración y mantenimiento del servidor de control" (una al día).

Otro caso

La agencia de salud de Montreal y el sistema de transporte cierran sus operaciones después de un ataque de ransomware.

El ministro de salud de la ciudad, Christian Dube, informó que la agencia médica CIUSSS du Centre-Ouest-de-l’Île-de-Montreal, tuvo que desconectar sus sistemas mientras las autoridades realizan la investigación pertinente en colaboración con especialistas en ciberseguridad. “Nuestros equipos detectaron la infección con rapidez, por lo que apagamos múltiples sistemas para prevenir mayores daños”, ha indicado Dube.

Los investigadores señalan que el ciberataque a la agencia médica podría ser parte de una campaña más amplia, aunque no se ha reconocido la identificación de otros incidentes que formen parte de la misma campaña de ataque. Sin embargo, el FBI lanzó una alerta en conjunto con el gobierno de Canadá advirtiendo sobre una posible campaña de ciberataques contra la industria médica de ambos países.

El gobierno canadiense confirmó que el sistema de transporte en Montreal fue afectado por un ataque de ransomware. El incidente en el sistema de transporte ocurrió el pasado 19 de octubre, cuando los cibercriminales atacaron los sistemas de la Société de Transport de Montreal (STM) para inhabilitar su sitio web, exigiendo un pago de casi 3 millones de dólares, al parecer la STM se rehusó a pagar el rescate y se realizan esfuerzos para restablecer los sistemas a la normalidad.

Se informó que es posible se hayan utilizado un correos electrónicos de phishing dirigido para obtener acceso a la red de STM durante el ataque, aunque la investigación de este incidente sigue en curso.

Recientemente se lanzó un aviso conjunto de seguridad cibernética desde la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y el Departamento de Salud y Servicios Humanos (HHS). El aviso describe las tácticas, técnicas y procedimientos (TTP) utilizados por los ciberdelincuentes contra objetivos en el Sector Salud y Salud Pública (HPH) para infectar sistemas con ransomware, especialmente Ryuk y Conti, para obtener ganancias financieras.

CISA, FBI y HHS tienen información creíble de una amenaza creciente e inminente de ciberdelito para los hospitales y proveedores de atención médica de EE. UU. CISA, FBI y HHS están compartiendo esta información para advertir a los proveedores de atención médica para asegurarse de que tomen las precauciones oportunas y razonables para proteger sus redes de estas amenazas.

Se puede obtener una versión en PDF de este informe en el siguiente link:

https://us-cert.cisa.gov/sites/default/files/publications/AA20-302A_Ransomware%20_Activity_Targeting_the_Healthcare_and_Public_Health_Sector.pdf

Según el informe, los ciberdelincuentes detrás de TrickBot, probablemente también sean los creadores del malware BazarLoader, han continuado desarrollando nuevas funciones y herramientas, aumentando la facilidad, velocidad y rentabilidad de la victimización.

Estos actores de amenazas utilizan cada vez más cargadores, como TrickBot y BazarLoader (o BazarBackdoor), como parte de sus campañas cibernéticas maliciosas. Los ciberdelincuentes difunden TrickBot y BazarLoader a través de campañas de phishing que contienen enlaces a sitios web maliciosos que alojan el malware o archivos adjuntos con el malware.

Los cargadores inician la cadena de infección distribuyendo la carga útil; despliegan y ejecutan la puerta trasera desde el servidor de comando y control (C2) y la instalan en la máquina de la víctima.

Nota relacionada:

• Alert (AA20-302A). Ransomware Activity Targeting the Healthcare and Public Health Sector. By Cybersecurity & Infraestructucture Security Agency.

Post relacionados

• El ransomware, un señor problema cada vez más presente. JSK:SDE. 20/07/2020.
• La otra pandemia, los ciberataques a los sistemas médicos y teletrabajadores. JSK_SDE. 21/05/2020.

___________________

NOTA: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

IMPORTANTE: Todas las publicaciones son sin fines comerciales ni económicos. Todos los textos de mi autoría tienen ©todos los derechos reservados. Los contenidos en los link (vínculos) de las notas replicadas (reproducidas) y/o citadas son de exclusiva responsabilidad de sus autores. Éste blog ni su autor tienen responsabilidad alguna por contenidos ajenos.