Las organizaciones sanitarias de EE. UU. están siendo blanco de importantes ataques de ransomware

post-immediate

El siguiente artículo publicado en The Hackernews, el 29 de octubre, cubre la alerta conjunta de la Oficina Federal de Investigaciones (FBI), los Departamentos de Seguridad Nacional (DHS) y Salud y Servicios Humanos (HHS) de este miércoles. GLESEC ha estado igualmente alerta para responder a esta amenaza.

“Nuestro enfoque es tanto proactivo como receptivo”, dijo Sergio Heker, CEO de GLESEC. “El enfoque proactivo es mediante la validación continua de la simulación de ataques y violaciones de múltiples vectores de cómo Ransomware puede penetrar, comprometer los terminales y propagarse dentro de la organización; la respuesta es por nuestras capacidades avanzadas de detección y respuesta; nuestros SOC son alertados y realizan la búsqueda de amenazas, cuando se activan, tenemos todas las contramedidas para manejar el incidente ”, comentó Heker. La orquestación de procesos de seguridad de GLESEC para la mitigación de amenazas y el manejo de vulnerabilidades se combinan para abordar estas amenazas de la manera más rentable.

EL FBI Y EL DHS ADVIERTEN SOBRE POSIBLES ATAQUES IMPORTANTES DE RANSOMWARE EN LOS SISTEMAS DE ATENCIÓN MÉDICA

El Buró Federal de Investigaciones (FBI) de EE. UU., Los Departamentos de Seguridad Nacional y Salud y Servicios Humanos (HHS) emitieron una alerta conjunta el miércoles advirtiendo de un aumento “inminente” de ransomware y otros ciberataques contra hospitales y proveedores de atención médica.

“Los ciber actores maliciosos están apuntando al sector [de salud y salud pública] con el malware TrickBot, lo que a menudo conduce a ataques de ransomware, robo de datos y la interrupción de los servicios de salud”, dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad en su aviso.

La infame botnet generalmente se propaga a través de correos electrónicos no deseados maliciosos a destinatarios desprevenidos y puede robar datos financieros y personales y colocar otro software, como ransomware, en los sistemas infectados.

Vale la pena señalar que los ciberdelincuentes ya han usado TrickBot contra un importante proveedor de atención médica, Universal Health Services, cuyos sistemas fueron dañados por el ransomware Ryuk a fines del mes pasado. TrickBot también ha visto una interrupción severa en su infraestructura en las últimas semanas, con Microsoft orquestando un derribo coordinado para hacer inaccesibles sus servidores de comando y control (C2).

“El desafío aquí es debido a los intentos de eliminación, la infraestructura de TrickBot ha cambiado y no tenemos la misma telemetría que teníamos antes”, dijo Alex Holden de Hold Security al New York Times. Aunque el informe federal no nombra a ningún actor de amenazas, el aviso toma nota del nuevo marco de puerta trasera Anchor de TrickBot, que se ha adaptado recientemente a Linux para apuntar a víctimas de más alto perfil. “Estos ataques a menudo implicaron la exfiltración de datos de redes y dispositivos de punto de venta”, dijo CISA. “Como parte del nuevo conjunto de herramientas Anchor, los desarrolladores de Trickbot crearon Anchor_DNS, una herramienta para enviar y recibir datos de las máquinas víctimas mediante la tunelización del Sistema de nombres de dominio (DNS)”.

Como informó The Hacker News ayer, Anchor_DNS es una puerta trasera que permite que las máquinas víctimas se comuniquen con los servidores C2 a través de un túnel DNS para evadir los productos de defensa de la red y hacer que sus comunicaciones se mezclen con el tráfico DNS legítimo.

También coincide con la advertencia un informe separado de FireEye, que ha llamado a un grupo de amenazas con motivaciones financieras al que llama “UNC1878” para el despliegue del ransomware Ryuk en una serie de campañas dirigidas contra hospitales, comunidades de jubilados y centros médicos.

Al instar al sector HPH a parchear los sistemas operativos e implementar la segmentación de la red, CISA también recomendó no pagar rescates, y agregó que puede alentar a los malos actores a apuntar a organizaciones adicionales.

“Realice copias de seguridad de los datos, el espacio de aire y las contraseñas protejan las copias de seguridad sin conexión”, dijo la agencia. “Implemente un plan de recuperación para mantener y retener múltiples copias de datos y servidores confidenciales o patentados en una ubicación segura y físicamente separada”. Fuente: The Hackernews, 29 de octubre de 2020.

Sobre GLESEC®

GLESEC es una potencia de seguridad que ha estado brindando seguridad de la información de clase mundial desde 2003 a organizaciones en las Américas. La cartera de GLESEC ofrece un conjunto completo de servicios de auditoría, cumplimiento normativo, monitoreo, protección y contramedidas que utilizan las mejores tecnologías emergentes y servicios de seguridad administrados e inteligentes. Habiendo consolidado este conjunto único de capacidades bajo un único servicio, organización y plataforma de tecnología patentada, reducimos el riesgo inherente de equipos desarticulados y brindamos la experiencia y las capacidades que nuestros clientes merecen. GLESEC, una empresa privada, tiene su sede mundial en Orlando, Florida. GLESEC opera tanto en Estados Unidos como en Latinoamérica. Nuestros clientes van desde grandes organizaciones hasta multinacionales en las Américas.