El gobierno de EE.UU. se ha visto obligado a emitir una alerta a los proveedores de atención médica, de una nueva e importante campaña de rescate, que puede perjudicar su capacidad para tratar a los pacientes de COVID-19.
La advertencia conjunta, anunciada por el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Departamento de Salud y Servicios Humanos (HHS), afirmaba que los atacantes que utilizaban la variante Ryuk tenían como objetivo el sector con el malware TrickBot.
Diseñado originalmente como un troyano bancario, TrickBot es ahora uno de los programas maliciosos más prolíficos que existen, ofreciendo un conjunto de funcionalidades para varios casos de uso, incluyendo la criptografía y la recolección de datos de puntos de venta.
La alerta advirtió de un módulo relativamente nuevo, Anchor_DNS, añadido por sus autores que ayuda a los atacantes a utilizar el túnel DNS para mantener ocultas las comunicaciones C&C y exfiltrar los datos sin problemas de los objetivos de alto perfil. Anchor ya ha sido utilizado por el Grupo Lazarus de Corea del Norte para robar datos de las víctimas.
La variante Ryuk existe desde 2018 y a menudo los actores de la amenaza despliegan herramientas de uso común como Cobalt Strike y PowerShell Empire para robar credenciales y mantener la persistencia. También despliegan técnicas de “vivir de la tierra” como el uso de PowerShell, Windows Management Instrumentation (WMI), Windows Remote Management y Remote Desktop Protocol (RDP) para moverse lateralmente, advirtió el CISA.
Según los informes, es probable que una banda de ciberdelincuentes de Europa del Este conocida como “Wizard Spider” esté detrás de esta última campaña, que golpeó seis hospitales en el mismo día, incluyendo incidentes en Oregón, Nueva York y California. Al parecer, algunos pacientes se ven obligados a desviarse a otras instalaciones como consecuencia de ello.
Los nuevos datos de SonicWall publicados hoy afirman que Ryuk representa ahora un tercio de todos los ataques con software de rescate en lo que va de año, con detecciones que se han disparado desde alrededor de 5000 hasta el tercer trimestre de 2019 a más de 67 millones durante el año pasado.
La amenaza para la salud no es nada nuevo: Microsoft advirtió de un aumento en los ataques de rescate al estilo de APT durante los primeros días de la crisis de COVID-19.
Con información de: Bleeping Computer.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian