{"id":3760,"date":"2024-01-31T15:42:51","date_gmt":"2024-01-31T20:42:51","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=3760"},"modified":"2024-02-03T13:15:10","modified_gmt":"2024-02-03T18:15:10","slug":"lo-que-se-conoce-del-nuevo-ataque-a-salud-total","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/lo-que-se-conoce-del-nuevo-ataque-a-salud-total\/","title":{"rendered":"Lo que se conoce del nuevo ataque a Salud Total"},"content":{"rendered":"\n

En mayo de 2022, la EPS Salud Total reportaba que hab\u00eda sido victima de un ciberataque<\/a><\/strong> que afectaba sus plataformas tecnol\u00f3gicas y deb\u00edan suspender sus servicios virtuales. El pasado 27 de enero, vuelve a sufrir otro ciberataque que deja por fuera los servicios digitales a los usuarios de la EPS.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Dada la gravedad del incidente, la Superintendencia Nacional de Salud<\/strong> ha intervenido, implementando medidas de emergencia para mitigar los da\u00f1os y proteger los intereses de los m\u00e1s de 4.8 millones de afiliados<\/strong> en todo el pa\u00eds, haciendo seguimiento a las reclamaciones y las quejas de usuarios relacionadas con los problemas de acceso asociadas con las fallas de los sistema afectados.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

La EPS en comunicado realizado, advirti\u00f3 que por el ataque presentado, parte de la informaci\u00f3n relacionada con la operaci\u00f3n de la EPS no esta disponible<\/strong>, por lo que se activaron los protocolos para deshabilitar los servicios inform\u00e1ticos afectados.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Salud Total EPS-S est\u00e1 siendo objeto de ataque inform\u00e1tico externo – Salud Total EPS-S<\/a><\/p>\n\n\n\n

Comparando el comunicado actual con el publicado en mayo de 2022<\/strong> se observan muy similar, como si hubieran cortado y pegado. Da la impresi\u00f3n que no le han dado la importancia adecuada y tampoco se han tomado las acciones necesarias despu\u00e9s del primer ciberataque:<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Documentos filtrados del ataque a Salud Total<\/h3>\n\n\n\n

Seg\u00fan publicaci\u00f3n de MuchoHacker.lol, se logro evidenciar la existencia de documentos robados por los ciberdelincuentes y ahora disponibles a quien tenga acceso al link. Los atacantes identificados como el grupo Ra World<\/strong> publicaron 137 documentos como parte de las pruebas que tienen de su ataque para presionar el pago por su rescate:<\/p>\n\n\n

\n
\"\"<\/a><\/figure><\/div>\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n

De acuerdo con la informaci\u00f3n publicada por los atacantes se puede ver la presunta nota de rescate que debieron recibir los ingenieros de Salud Total.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

La traducci\u00f3n de la notificaci\u00f3n:<\/strong><\/p>\n\n\n\n

Tus datos han sido robados y cifrados mientras lees esta carta. Hemos copiado todos los datos en nuestro servidor. No te preocupes, tus datos no ser\u00e1n divulgados si haces lo que quiero. Pero si no pagas, liberaremos los datos, contactaremos a tus clientes y reguladores, y destruiremos tu sistema nuevamente. Podemos descifrar algunos archivos para demostrar que la herramienta de descifrado funciona correctamente.

Cont\u00e1ctanos, paga el rescate. Si pagas, te proporcionaremos los programas de descifrado y eliminaremos tus datos de nuestros servidores. Si no, filtraremos tus datos y tu empresa aparecer\u00e1 en la lista de verg\u00fcenza a continuaci\u00f3n. Si no, enviaremos un correo electr\u00f3nico a tus clientes e informaremos a la autoridad supervisora.<\/p>\n\n\n\n

Datos t\u00e9cnicos del ciberataque a Salud Total<\/h3>\n\n\n\n

Seg\u00fan investigaci\u00f3n de German Fern\u00e1ndez <\/strong>(Security Research de Chile) que publica en su cuenta de Linkedin<\/a>, se detecto un archivo llamado Stage2.exe<\/strong>, el cual es muy probable que se uso en el ataque a Salud Total<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Los atacantes configuraron el dominio interno de esta organizaci\u00f3n en la muestra y al parecer almacenan otros artefactos en \u00abC:\\Windows\\Help\\\u00bb.<\/p>\n\n\n\n

Parte del c\u00f3digo aqu\u00ed:
string args = \u00absaludtotal.loc\u00bb;
string path = \u00abC:\\\\Windows\\\\Help\\\\Exclude.exe\u00bb;
string path2 = \u00abC:\\\\Windows\\\\Help\\\\Finish.exe\u00bb;
string arg = \u00abC:\\\\Windows\\\\Help\\\\Stage2.exe\u00bb;
string text = \u00abC:\\\\Windows\\\\Help\\\\Stage3.exe\u00bb;
string text2 = \u00abMSOfficeRunOncelsls\u00bb;
string text3 = \u00abC:\\\\Windows\\\\Help\\\\Pay.txt\u00bb;<\/p>\n\n\n\n

\u00abPay.txt\u00bb podr\u00eda contener la nota de rescate<\/strong><\/p>\n\n\n\n

Todo indica que este ransomware se ejecutar\u00eda luego de reiniciar el equipo en modo seguro, t\u00e9cnica utilizada para evadir la detecci\u00f3n de algunos productos de seguridad que no funcionan en este modo.<\/p>\n\n\n\n

Adicionalmente, tambi\u00e9n esta el archivo \u00abSD.bat\u00bb que b\u00e1sicamente elimina la carpeta de Trend Micro<\/strong> y utiliza el comando WMIC para obtener informaci\u00f3n sobre los discos. Tambi\u00e9n deja un log en \u00abC:\\DISKLOG.TXT\u00bb.<\/p>\n\n\n\n

> rmdir \/s \/q \u00abC:\\Program Files (x86)\\Trend Micro\u00bb >> C:\\DISKLOG.TXT
> wmic logicaldisk get name,deviceid,filesystem,freespace,size >> C:\\DISKLOG.TXT<\/p>\n\n\n\n

Hallazgos en la Dark Web del dominio afectado<\/h3>\n\n\n\n

Nuestro equipo hizo un diagnostico al dominio saludtotal.com.co<\/strong> encontrando un incremento en la exposici\u00f3n<\/strong> de datos en la Dark Web, comparado con lo registrado en 2022.<\/p>\n\n\n\n

Reporte registrado en Febrero 2 de 2024<\/strong><\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Reporte registrado en Mayor 4 de 2022<\/strong><\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Los hallazgos encontrados estan en la Dark Web, incluidos varios foros de pirater\u00eda, mercados clandestinos, canales de IRC, sitios web de pegado y otros recursos donde los ciberdelincuentes suelen comercializar, publicitar o compartir datos robados.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

PTaaS<\/a><\/strong>: es un servicio moderno para encontrar vulnerabilidades y hacer pruebas de penetraci\u00f3n (Pentest) y Hacking \u00e9tico avanzado aprovechando la potencia de software especializado y la nube con la capacidad de realizar pruebas de seguridad bajo demanda, de forma \u00e1gil, automatizada y continua. Todo esto con el soporte, acompa\u00f1amiento, revisi\u00f3n y verificaci\u00f3n manual de nuestro Red Team<\/strong> y especialistas en seguridad web.<\/strong><\/p>\n\n\n\n

Recibe un Diagn\u00f3stico Sin Costo <\/strong>del estado de seguridad de tu aplicaci\u00f3n o sitio web dando clic en el siguiente enlace:<\/p>\n\n\n\n

\n
Reciba un test de seguridad sin Costo<\/a><\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

En mayo de 2022, la EPS Salud Total reportaba que hab\u00eda sido victima de un ciberataque que afectaba sus plataformas tecnol\u00f3gicas y deb\u00edan suspender sus servicios virtuales. El pasado 27 de enero, vuelve a sufrir otro ciberataque que deja por fuera los servicios digitales a los usuarios de la EPS. Dada la gravedad del incidente,…<\/p>\n","protected":false},"author":1,"featured_media":3774,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[53,34,28,421,18,420],"class_list":["post-3760","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-ciberataque","tag-ciberseguridad","tag-proteccion-de-datos","tag-ra-world","tag-ransomware","tag-salud-total"],"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/3760","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=3760"}],"version-history":[{"count":7,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/3760\/revisions"}],"predecessor-version":[{"id":3778,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/3760\/revisions\/3778"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/3774"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=3760"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=3760"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=3760"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}