El grupo de hackers está apuntando a hospitales de EE. UU. Con Ryuk ransomware

Ryuk

En una declaración conjunta, el gobierno de EE. UU. Advierte a la industria de la salud que un grupo de piratas informáticos está apuntando activamente a hospitales y trabajadores de la salud en ataques de ransomware Ryuk.

Hoy, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y el Departamento de Salud y Servicios Humanos (HHS) anunciaron una llamada con el sector de la salud para advertirles de una `` amenaza creciente de delitos cibernéticos. e inminente. "

Correo electrónico a profesionales sanitarios
Correo electrónico a profesionales sanitarios

En esta llamada, el gobierno de los EE. UU. Advirtió a los profesionales de la salud que Ryuk ransomware está apuntando activamente a la industria de la salud y que se deben tomar las medidas adecuadas para proteger sus sistemas.

Estos pasos incluyen preparar protocolos de bloqueo de red, revisar planes de respuesta a incidentes, instalar parches en servidores Windows y dispositivos de puerta de enlace perimetrales, limitar el correo electrónico personal y crear estrategias sobre dónde redireccionar pacientes en caso de ataque.

Una fuente le dijo a BleepingComputer que se recomendó apagar todos los dispositivos cuando no estén en uso en caso de un ataque.

Tras la llamada, CISA, FBI y HHS publicaron una advertencia conjunta que contenía información sobre la amenaza del ransomware Ryuk, incluidos los Indicadores de Compromiso (IOC).

"CISA, FBI y HHS tienen información creíble sobre una amenaza creciente e inminente de ciberdelito para los hospitales y profesionales de la salud de los EE. UU. CISA, FBI y HHS comparten esta información para proporcionar advertencias a los profesionales de la salud para garantizar que tomen las precauciones oportunas y razonables. para proteger sus redes de estas amenazas ", el consultivo Estados.

Durante los últimos dos días, el Centro Médico Sky Lakes en Oregon y el Sistema de Salud St. Lawrence en Nueva York han sido afectados por ataques de ransomware Ryuk que impactan el tratamiento del paciente.

Índice()

    UNC1878 grupo de hackers detrás de la amenaza

    Charles Carmakal, vicepresidente senior y CTO de Mandiant, le dijo a BleepingComputer que un grupo de hackers conocido como UNC1878 está detrás de los ataques de Ryuk en el sector de la salud.

    "Estamos experimentando la amenaza de ciberseguridad más importante que jamás hayamos visto en los EE. UU. UNC1878, un actor de amenazas de Europa del Este con motivaciones financieras, está atacando e interrumpiendo deliberadamente los hospitales de EE. UU., Lo que los obliga a desviar a los pacientes a otros proveedores Los pacientes pueden experimentar tiempos de espera prolongados para recibir atención crítica ”, dijo Carmakal en un comunicado a BleepingComputer.

    En una conversación con Carmakal, se informó a BleepingComputer que este grupo es altamente eficiente, con ransomware implementado en algunos casos dentro de los 45 minutos posteriores a la puesta en peligro de la red.

    Las víctimas se quedan con demandas de rescate de 7-8 dígitos para obtener un descifrador de sus archivos cifrados.

    Cuando comenzó la pandemia de Coronavirus, BleepingComputer se acercó a varias operaciones de ransomware para ver si continuarían atacando a las organizaciones médicas y de salud.

    Si bien la mayoría de las bandas de ransomware afirmaron que descifraría los hospitales de forma gratuita, Ryuk ransomware no respondió a nuestras preguntas.

    De BazarLoader a Ryuk

    Últimamente, los ataques de Ryuk suelen comenzar con una campaña de phishing que instala la infección BazarLoader / KegTap en la computadora del destinatario.

    Los correos electrónicos de phishing están dirigidos a una organización en particular y pueden incluir señuelos que van desde facturas hasta quejas de clientes, como se muestra a continuación.

    Correo electrónico de phishing de BazarLoader dirigido a BleepingComputer
    Correo electrónico de phishing de BazarLoader dirigido a BleepingComputer

    Estos correos electrónicos incluyen enlaces a Google Docs que se hacen pasar por archivos PDF que no se pueden previsualizar correctamente. Estos documentos requieren que el usuario haga clic en un enlace para descargar el documento.

    Página de destino del correo electrónico de phishing
    Página de destino del correo electrónico de phishing

    El archivo descargado es un ejecutable que instalará la infección BazarLoader en la computadora de la víctima una vez ejecutada.

    Una vez instalado, BazarLoader finalmente implementará Cobalt Strike, que permite que las amenazas accedan de forma remota a la computadora de la víctima y la utilicen para comprometer el resto de la red.

    Para obtener rápidamente las credenciales de administrador de dominio de Windows, Carmakal le dijo a BleepingComputer que el grupo había sido visto usando la vulnerabilidad Windows ZeroLogon. Por este motivo, los usuarios deben instalar los parches necesarios en todos los servidores de Windows.

    Después de obtener acceso a un controlador de dominio de Windows, los atacantes distribuyen el ransomware Ryuk a través de la red para cifrar todos sus dispositivos, como se ilustra en el diagrama anterior.

    Vitali Kremez de Advanced Intel le dijo a BleepingComputer que su Plataforma de prevención de amenazas de Andariel ha monitoreado un número creciente de ataques a la atención médica utilizando BazarLoader.

    "El grupo criminal detrás de esto continúa apuntando a varios sectores, incluida la atención médica. Actualmente, los servicios sociales y de salud específicos representan el 13,36 por ciento del total de víctimas por sector", dijo Kremez a BleepingComputer.

    FireEye también tiene publicó un informe hoy con TTP que se puede utilizar para obtener más información sobre los métodos de ataque UNC1878.

    Carmakal le dijo a BleepingComputer que estos métodos de ataque cambian constantemente, por lo que los CIO y TTP enumerados probablemente se convertirán en nuevos ataques.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir