Alerta: Inminentes ataques de Ransomware a hospitales y clínicas

El FBI revela planes de ciberdelincuentes para tratar de infectar más de 400 hospitales, clínicas y otras instalaciones médicas con malware tipo ransomware.

Junto a dos agencias federales advirtieron que cuentan con “información creíble de una amenaza cibernética inminente a hospitales y proveedores de servicios médicos”. Asimismo, aseguran que “grupos criminales” atacan el sector con ransomware que podría derivar en “robo de datos e interrupciones en los servicios de salud”.

Hace algunos meses atrás Microsoft advirtió a «docenas» de hospitales con gateways y software VPN vulnerables que un infame grupo de ransomware conocido como REvil está escaneando Internet en busca de tales fallas.

La INTERPOL emitió un comunicado alertando sobre un crecimiento significativo de ataques de ransomware apuntando a hospitales en distintos países del mundo.

“Los ciberdelincuentes están creando nuevos ataques e intensificando su ejecución a un ritmo alarmante, aprovechándose del miedo y la incertidumbre provocados por la inestabilidad de la situación socioeconómica generada por la COVID-19”

Jürgen Stock, Secretario General de INTERPOL

El FBI por su parte publicó recientemente una alerta como consecuencia del incremento de engaños dirigidos a organizaciones de la salud y entidades gubernamentales. Esta misma semana lanzó una nueva advertencia en la que hacía referencia a correos de phishing dirigidos a proveedores del sector de la salud en aquel país.

Los daños que causa este malware

Este ransomware puede generar muchos problemas administrativos: tales como perdida de información o convertir los datos en símbolos ilegibles que sólo pueden desbloquearse con llaves de software entregadas una vez que la víctima realiza los pagos. Esto, podría llevar al límite a los hospitales que ya se encuentran bajo presión debido al incremento de contagios por Covid-19.

En una página de la red oscura, REvil hace 8 dias señaló tener más de 900 GB de fotografías y datos de The Hospital Group, una cadena de clínicas de cirugía estética, y amenaza con publicar las imágenes de los pacientes para que cualquiera pueda comparar como se veían antes y después.

En septiembre, otro ataque de ransomware afectó a 250 instalaciones de la cadena de hospitales Universal Health Services (Pensilvania, USA), obligando a médicos y enfermeros a tomar papel y lápiz para sus registros, obstaculizando las labores de laboratorio y de atención de pacientes.

Ese mismo mes también se registró en Duesseldorf, Alemania, el primer fallecimiento relacionado a un ransomware, cuando una falla en el sistema de tecnología obligó a enviar a un paciente gravemente enfermo a un hospital de otra ciudad.

Ransomware Maze

Maze es una de las primeras campañas de ransomware operada por humanos en llegar a los encabezados de los medios por vender datos robados, continúa con proveedores de tecnología y servicios públicos como su objetivo. Maze tiene una historia de ir tras proveedores de servicio gestionado (MSP, por sus siglas en inglés) para obtener acceso a los datos redes de los clientes MSP.

Maze ha sido entregado por email, pero los operadores de la campaña también han desplegado Maze a redes después de obtener acceso a través del uso de vectores comunes, como la fuerza bruta RDP. Una vez dentro de la red, roban credenciales, se mueven de manera lateral para obtener recursos y exfiltrar datos, y luego despliegan el ransomware.

En una campaña reciente, los investigadores de seguridad de Microsoft rastrearon a los operadores de Maze mientras establecían acceso a través de un sistema orientado a internet y al ejecutar fuerza bruta RDP contra la cuenta del administrador local. A través de la contraseña obtenida, los operadores de la campaña pudieron moverse de manera lateral porque las cuentas integradas de administrador y otros puntos de conexión utilizaban la misma contraseña.

Después de ganar control sobre una cuenta de administrador de dominio a través del robo de credenciales, los operadores de campaña utilizaron Cobalt Strike, PsExec, y otras herramientas para desplegar varias cargas de pago y acceder a los datos. Establecieron persistencia sin archivos a través de tareas y servicios agendados que lanzaron shells remotos basados en PowerShell. Luego voltearon a Windows Remote Management para obtener control persistente a través de privilegios robados de administrador de dominio. Para debilitar los controles de seguridad en preparación para el despliegue del ransomware, manipularon varias configuraciones a través de Group Policy.

Notificación de Microsoft

El Equipo de Inteligencia de Protección contra Amenazas de Microsoft publicó el blog titulado Microsoft trabaja con organizaciones de atención médica para protegerse del ransomware popular durante la crisis COVID-19: esto es lo que se debe hacer, donde se establece que las fuentes de inteligencia de amenazas de Microsoft «identificaron varias docenas de hospitales con gateways y dispositivos VPN vulnerables en su infraestructura».

Microsoft dijo que envió «una notificación dirigida por primera vez en su tipo» a los hospitales sobre sus vulnerabilidades en los gateways y despliegues de redes privadas virtuales (VPN), advirtiéndoles que los actores de amenazas de ransomware actualmente están escaneando internet en busca de tales vulnerabilidades.

Si bien ha habido un aumento en los ataques de ingeniería social en medio de la pandemia de COVID-19, Microsoft dijo que ha visto evidencia de una actividad de amenaza más sofisticada y peligrosa, que podría poner en peligro a hospitales y organizaciones de atención médica en un momento crítico.

«No solo estamos viendo un aumento en los correos electrónicos de señuelo de malware o phishing típicos con temática del COVID, sino también un aumento en el intento de compromiso de servicios legítimos, tales como proveedores de atención médica y tecnología. Los atacantes se hacen pasar por entidades de confianza que utilizan sus servicios para llegar a los usuarios. Algunos de ellos son operaciones más sofisticadas que suplantan a una persona u organización durante varios días, fingiendo que están en necesidad». «Hemos visto a atacantes con muchas motivaciones utilizar estas vulnerabilidades de estilo ransomware operadas por humanos, incluso para atacar hospitales».

Dijo un portavoz de Microsoft.

Según el blog de Microsoft Threat Protection Intelligence titulado Ataques de ransomware operados por humanos: un desastre evitable, se sabe que este tipo de ataques «aprovechan las debilidades de configuración de la red y los servicios vulnerables para desplegar cargas devastadoras de ransomware».

«En estos ataques manuales con teclado, que son diferentes del ransomware de propagación automática como WannaCry o NotPetya, los adversarios emplean el robo de credenciales y los métodos de movimiento lateral tradicionalmente asociados con ataques dirigidos como los de los actores del estado-nación. Exhiben un amplio conocimiento de la administración de sistemas y las configuraciones erróneas comunes de seguridad de la red, realizan un reconocimiento completo y se adaptan a lo que descubren en una red comprometida», se lee en la publicación del blog.

Un adversario conocido por explotar las vulnerabilidades de gateways y VPN es el grupo de ransomware, REvil, también conocido como Sodinokibi. Microsoft ha estado siguiendo al grupo como parte de un monitoreo más amplio de los ataques de ransomware operados por humanos.

«A medida que las organizaciones se han trasladado al trabajo remoto debido a la pandemia, vemos las señales de los Servicios de Protección contra Amenazas de Microsoft (Microsoft Defender ATP, Office 365 ATP y Azure ATP) las cuales indican que los atacantes detrás del ransomware REvil están buscando activamente en Internet sistemas vulnerables». «Nuestra información sobre las campañas de ransomware muestra una superposición entre la infraestructura de malware que REvil observó usando el año pasado y la infraestructura utilizada en ataques VPN más recientes. Esto indica una tendencia continua entre los atacantes de reutilizar viejas tácticas, técnicas y procedimientos para nuevos ataques que toman ventaja de la crisis actual».

Equipo de protección contra amenazas de Microsoft en el blog.

El año pasado, aproximadamente 1,5 millones de servidores expuestos del Protocolo de escritorio remoto (RPD) fueron atacados por una botnet llamada GoldBrute que también utilizaba métodos de fuerza bruta. En este ataque el hospital Hancock Health se vio obligado a pagar más de U$ 50K en rescate para recuperar el acceso a los datos críticos que se cifraron después de que el servidor del hospital que ejecuta los servicios RDP se vio comprometido y utilizado como punto de entrada a la red interna.

Según el blog, una vez que REvil tiene éxito con una explotación, «los atacantes roban credenciales, elevan sus privilegios y se mueven lateralmente a través de redes comprometidas para garantizar la persistencia antes de instalar ransomware u otras cargas útiles de malware».

REvil emplea métodos de ataque operados por humanos para apuntar a las organizaciones que son más vulnerables a la interrupción, aquellas que no han tenido el tiempo o los recursos para instalar los últimos parches o actualizar los firewalls, según Microsoft.

Los atacantes pueden permanecer sin ser detectados en las redes, a veces durante meses.

«Recomendamos a los hospitales que prioricen parchear cualquier vulnerabilidad abierta de VPN y gateway, ya que los atacantes se aprovechan activamente de ellas mientras las personas trabajan y acceden a la información de forma remota», dijo un portavoz de Microsoft.

Desde el lanzamiento del blog el 1 de abril, Microsoft dijo que ha recibido respuestas de algunas organizaciones de atención médica que solicitan información y recursos adicionales.

Fuente: https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/