{"id":2010,"date":"2020-12-30T16:26:45","date_gmt":"2020-12-30T21:26:45","guid":{"rendered":"http:\/\/www.itechsas.com\/blog\/?p=2010"},"modified":"2020-12-30T18:23:08","modified_gmt":"2020-12-30T23:23:08","slug":"alerta-inminentes-ataques-de-ransomware-a-hospitales-y-clinicas","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/alerta-inminentes-ataques-de-ransomware-a-hospitales-y-clinicas\/","title":{"rendered":"Alerta: Inminentes ataques de Ransomware a hospitales y cl\u00ednicas"},"content":{"rendered":"\n

El FBI<\/strong> revela planes de ciberdelincuentes para tratar de infectar m\u00e1s de 400 hospitales<\/strong>, cl\u00ednicas y otras instalaciones m\u00e9dicas con malware tipo ransomware. <\/p>\n\n\n\n

Junto a dos agencias federales advirtieron que cuentan con\u00a0\u201cinformaci\u00f3n cre\u00edble de una amenaza cibern\u00e9tica inminente a hospitales y proveedores de servicios m\u00e9dicos\u201d<\/strong>. Asimismo, aseguran que\u00a0\u201cgrupos criminales\u201d<\/strong>\u00a0atacan el sector con ransomware que podr\u00eda derivar en\u00a0\u201crobo de datos e interrupciones en los servicios de salud\u201d.<\/strong><\/p>\n\n\n\n

Hace algunos meses atr\u00e1s Microsoft <\/strong>advirti\u00f3 a \u00abdocenas\u00bb de hospitales con gateways <\/strong>y software VPN vulnerables<\/strong> que un infame grupo de ransomware conocido como REvil <\/strong>est\u00e1 escaneando Internet en busca de tales fallas.<\/p>\n\n\n\n

La INTERPOL <\/strong>emiti\u00f3 un comunicado\u00a0alertando sobre un crecimiento significativo de ataques de ransomware apuntando a hospitales en distintos pa\u00edses del mundo. <\/p>\n\n\n\n

\u201cLos ciberdelincuentes est\u00e1n creando nuevos ataques e intensificando su ejecuci\u00f3n a un ritmo alarmante, aprovech\u00e1ndose del miedo y la incertidumbre provocados por la inestabilidad de la situaci\u00f3n socioecon\u00f3mica generada por la COVID-19\u201d<\/em><\/p>J\u00fcrgen Stock, Secretario General de INTERPOL<\/strong><\/cite><\/blockquote>\n\n\n\n

El FBI <\/strong>por su parte public\u00f3 recientemente una\u00a0alerta<\/a>\u00a0como consecuencia del incremento de enga\u00f1os dirigidos a organizaciones de la salud y entidades gubernamentales. Esta misma semana lanz\u00f3 una\u00a0nueva advertencia<\/a> en la que hac\u00eda referencia a correos de phishing dirigidos a proveedores del sector de la salud en aquel pa\u00eds. <\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Los da\u00f1os que causa este malware<\/h2>\n\n\n\n

Este ransomware puede generar muchos problemas administrativos: tales como perdida de informaci\u00f3n o convertir los datos en s\u00edmbolos ilegibles que s\u00f3lo pueden desbloquearse con llaves de software entregadas una vez que la v\u00edctima realiza los pagos. Esto, podr\u00eda llevar al l\u00edmite a los hospitales que ya se encuentran bajo presi\u00f3n debido al incremento de contagios por Covid-19. <\/p>\n\n\n\n

En una p\u00e1gina de la red oscura,\u00a0REvil<\/strong>\u00a0hace 8 dias se\u00f1al\u00f3 tener m\u00e1s de\u00a0900 GB de <\/strong>fotograf\u00edas y datos de The Hospital Group, una cadena de cl\u00ednicas de cirug\u00eda est\u00e9tica, <\/strong>y amenaza con publicar las im\u00e1genes de los pacientes para que cualquiera pueda comparar como se ve\u00edan antes y despu\u00e9s.<\/strong><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

En septiembre, otro ataque de ransomware afect\u00f3 a 250 instalaciones de la cadena de hospitales Universal Health Services (Pensilvania, USA)<\/strong>, obligando a m\u00e9dicos y enfermeros a tomar papel y l\u00e1piz para sus registros, obstaculizando las labores de laboratorio y de atenci\u00f3n de pacientes.<\/p>\n\n\n\n

Ese mismo mes tambi\u00e9n se registr\u00f3 en Duesseldorf, Alemania<\/strong>, el primer fallecimiento relacionado a un ransomware, cuando una falla en el sistema de tecnolog\u00eda oblig\u00f3 a enviar a un paciente gravemente enfermo a un hospital de otra ciudad.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ransomware Maze<\/h3>\n\n\n\n

Maze es una de las primeras campa\u00f1as de ransomware operada por humanos<\/strong> en llegar a los encabezados de los medios por vender datos robados, contin\u00faa con proveedores de tecnolog\u00eda y servicios p\u00fablicos como su objetivo. Maze tiene una historia de ir tras proveedores de servicio gestionado (MSP, por sus siglas en ingl\u00e9s) para obtener acceso a los datos redes de los clientes MSP.<\/p>\n\n\n\n

Maze ha sido entregado por email, pero los operadores de la campa\u00f1a tambi\u00e9n han desplegado Maze a redes despu\u00e9s de obtener acceso a trav\u00e9s del uso de vectores comunes, como la fuerza bruta RDP. Una vez dentro de la red, roban credenciales, se mueven de manera lateral para obtener recursos y exfiltrar datos, y luego despliegan el ransomware.<\/p>\n\n\n\n

En una campa\u00f1a reciente, los investigadores de seguridad de Microsoft rastrearon a los operadores de Maze mientras establec\u00edan acceso a trav\u00e9s de un sistema orientado a internet y al ejecutar fuerza bruta RDP contra la cuenta del administrador local. A trav\u00e9s de la contrase\u00f1a obtenida, los operadores de la campa\u00f1a pudieron moverse de manera lateral porque las cuentas integradas de administrador y otros puntos de conexi\u00f3n utilizaban la misma contrase\u00f1a.<\/p>\n\n\n\n

Despu\u00e9s de ganar control sobre una cuenta de administrador de dominio a trav\u00e9s del robo de credenciales, los operadores de campa\u00f1a utilizaron Cobalt Strike, PsExec, y otras herramientas para desplegar varias cargas de pago y acceder a los datos. Establecieron persistencia sin archivos a trav\u00e9s de tareas y servicios agendados que lanzaron shells remotos basados en PowerShell. Luego voltearon a Windows Remote Management para obtener control persistente a trav\u00e9s de privilegios robados de administrador de dominio. Para debilitar los controles de seguridad en preparaci\u00f3n para el despliegue del ransomware, manipularon varias configuraciones a trav\u00e9s de Group Policy.<\/p>\n\n\n\n

Notificaci\u00f3n de Microsoft <\/h3>\n\n\n\n

El Equipo de Inteligencia de Protecci\u00f3n contra Amenazas de Microsoft public\u00f3 el blog<\/a>\u00a0titulado\u00a0Microsoft trabaja con organizaciones de atenci\u00f3n m\u00e9dica para protegerse del ransomware popular durante la crisis COVID-19: esto es lo que se debe hacer<\/em>, donde se establece que las fuentes de inteligencia de amenazas de Microsoft \u00abidentificaron varias docenas de hospitales con gateways y dispositivos VPN vulnerables en su infraestructura\u00bb.<\/p>\n\n\n\n

Microsoft dijo que envi\u00f3 \u00abuna notificaci\u00f3n dirigida por primera vez en su tipo\u00bb a los hospitales sobre sus vulnerabilidades en los gateways y despliegues de redes privadas virtuales (VPN), advirti\u00e9ndoles que los actores de amenazas de ransomware actualmente est\u00e1n escaneando internet en busca de tales vulnerabilidades.<\/p>\n\n\n\n

Si bien ha habido un aumento en los ataques de ingenier\u00eda social en medio de la pandemia de COVID-19, Microsoft dijo que ha visto evidencia de una actividad de amenaza m\u00e1s sofisticada y peligrosa, que podr\u00eda poner en peligro a hospitales y organizaciones de atenci\u00f3n m\u00e9dica en un momento cr\u00edtico.<\/p>\n\n\n\n

\u00abNo solo estamos viendo un aumento en los correos electr\u00f3nicos de se\u00f1uelo de malware o phishing t\u00edpicos con tem\u00e1tica del COVID, sino tambi\u00e9n un aumento en el intento de compromiso de servicios leg\u00edtimos, tales como proveedores de atenci\u00f3n m\u00e9dica y tecnolog\u00eda. Los atacantes se hacen pasar por entidades de confianza que utilizan sus servicios para llegar a los usuarios. Algunos de ellos son operaciones m\u00e1s sofisticadas que suplantan a una persona u organizaci\u00f3n durante varios d\u00edas, fingiendo que est\u00e1n en necesidad\u00bb. \u00abHemos visto a atacantes con muchas motivaciones utilizar estas vulnerabilidades de estilo ransomware operadas por humanos, incluso para atacar hospitales\u00bb.<\/p>Dijo un portavoz de Microsoft. <\/cite><\/blockquote>\n\n\n\n

Seg\u00fan el blog de Microsoft Threat Protection Intelligence<\/a> titulado Ataques de ransomware operados por humanos: un desastre evitable<\/em>, se sabe que este tipo de ataques \u00abaprovechan las debilidades de configuraci\u00f3n de la red y los servicios vulnerables para desplegar cargas devastadoras de ransomware\u00bb.<\/p>\n\n\n\n

\u00abEn estos ataques manuales con teclado, que son diferentes del ransomware de propagaci\u00f3n autom\u00e1tica como WannaCry o NotPetya, los adversarios emplean el robo de credenciales y los m\u00e9todos de movimiento lateral tradicionalmente asociados con ataques dirigidos como los de los actores del estado-naci\u00f3n. Exhiben un amplio conocimiento de la administraci\u00f3n de sistemas y las configuraciones err\u00f3neas comunes de seguridad de la red, realizan un reconocimiento completo y se adaptan a lo que descubren en una red comprometida\u00bb, se lee en la publicaci\u00f3n del blog.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Un adversario conocido por explotar las vulnerabilidades de gateways y VPN es el grupo de ransomware, REvil, tambi\u00e9n conocido como Sodinokibi. Microsoft ha estado siguiendo al grupo como parte de un monitoreo m\u00e1s amplio de los ataques de ransomware operados por humanos.<\/p>\n\n\n\n

\u00abA medida que las organizaciones se han trasladado al trabajo remoto debido a la pandemia, vemos las se\u00f1ales de los Servicios de Protecci\u00f3n contra Amenazas de Microsoft (Microsoft Defender ATP, Office 365 ATP y Azure ATP) las cuales indican que los atacantes detr\u00e1s del ransomware REvil est\u00e1n buscando activamente en Internet sistemas vulnerables\u00bb. \u00abNuestra informaci\u00f3n sobre las campa\u00f1as de ransomware muestra una superposici\u00f3n entre la infraestructura de malware que REvil observ\u00f3 usando el a\u00f1o pasado y la infraestructura utilizada en ataques VPN m\u00e1s recientes. Esto indica una tendencia continua entre los atacantes de reutilizar viejas t\u00e1cticas, t\u00e9cnicas y procedimientos para nuevos ataques que toman ventaja de la crisis actual\u00bb.<\/p>Equipo de protecci\u00f3n contra amenazas de Microsoft en el blog. <\/cite><\/blockquote>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

El a\u00f1o pasado, aproximadamente 1,5 millones<\/strong> de servidores expuestos del Protocolo de escritorio remoto (RPD) fueron atacados por una botnet llamada GoldBrute que tambi\u00e9n utilizaba m\u00e9todos de fuerza bruta. En este ataque el hospital Hancock Health se vio obligado a pagar m\u00e1s de U$ 50K<\/strong> en rescate para recuperar el acceso a los datos cr\u00edticos que se cifraron despu\u00e9s de que el servidor del hospital que ejecuta los servicios RDP se vio comprometido y utilizado como punto de entrada a la red interna.<\/p>\n\n\n\n

Seg\u00fan el blog, una vez que REvil tiene \u00e9xito con una explotaci\u00f3n, \u00ablos atacantes roban credenciales, elevan sus privilegios y se mueven lateralmente a trav\u00e9s de redes comprometidas para garantizar la persistencia antes de instalar ransomware u otras cargas \u00fatiles de malware\u00bb.<\/p>\n\n\n\n

REvil emplea m\u00e9todos de ataque operados por humanos para apuntar a las organizaciones que son m\u00e1s vulnerables a la interrupci\u00f3n, aquellas que no han tenido el tiempo o los recursos para instalar los \u00faltimos parches o actualizar los firewalls, seg\u00fan Microsoft.<\/p>\n\n\n\n

Los atacantes pueden permanecer sin ser detectados en las redes, a veces durante meses.<\/strong><\/p>\n\n\n\n

\u00abRecomendamos a los hospitales que prioricen parchear cualquier vulnerabilidad abierta de VPN y gateway, ya que los atacantes se aprovechan activamente de ellas mientras las personas trabajan y acceden a la informaci\u00f3n de forma remota\u00bb, dijo un portavoz de Microsoft.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Desde el lanzamiento del blog el 1 de abril, Microsoft dijo que ha recibido respuestas de algunas organizaciones de atenci\u00f3n m\u00e9dica que solicitan informaci\u00f3n y recursos adicionales.<\/p>\n\n\n\n

Fuente: https:\/\/www.microsoft.com\/security\/blog\/2020\/03\/05\/human-operated-ransomware-attacks-a-preventable-disaster\/<\/p>\n","protected":false},"excerpt":{"rendered":"

El FBI revela planes de ciberdelincuentes para tratar de infectar m\u00e1s de 400 hospitales, cl\u00ednicas y otras instalaciones m\u00e9dicas con malware tipo ransomware. Junto a dos agencias federales advirtieron que cuentan con\u00a0\u201cinformaci\u00f3n cre\u00edble de una amenaza cibern\u00e9tica inminente a hospitales y proveedores de servicios m\u00e9dicos\u201d. Asimismo, aseguran que\u00a0\u201cgrupos criminales\u201d\u00a0atacan el sector con ransomware que podr\u00eda…<\/p>\n","protected":false},"author":1,"featured_media":2015,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23,273],"tags":[162,53,211,214,19,210,213,28,18,209,150,212],"class_list":["post-2010","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","category-salud","tag-ataques-ddos-y-ransomware","tag-ciberataque","tag-cobalt-strike","tag-goldbrute","tag-malware","tag-maze","tag-notpetya","tag-proteccion-de-datos","tag-ransomware","tag-revil","tag-sodinokibi","tag-wannacry"],"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/2010","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=2010"}],"version-history":[{"count":0,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/2010\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/2015"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=2010"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=2010"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=2010"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}