Treo Blog

  • Juanita Villegas

Aviso de Cisco Talos sobre adversarios dirigidos al sector sanitario y de salud pública

Escrito por: Cisco Talos



ANTECEDENTES

Cisco Talos se ha dado cuenta de que un adversario está aprovechando el troyano bancario Trickbot y el ransomware Ryuk para apuntar a hospitales y proveedores de atención médica de EE. UU. A un ritmo cada vez mayor. Los periodistas de seguridad informaron el 28 de octubre de 2020 que el adversario se estaba preparando para cifrar sistemas en "potencialmente cientos" de centros médicos y hospitales, según un consejo de un investigador que había estado monitoreando las comunicaciones del actor de la amenaza. El 28 y 29 de octubre, estas afirmaciones fueron respaldadas por los informes de seis hospitales estadounidenses comprometidos con Ryuk en el lapso de 24 horas . CISA, el FBI y el HHS también confirmaron esta actividad dirigida al sector de la salud y la salud pública, publicando un aviso conjunto el 28 de octubre de 2020. El aviso indicó que los actores de Ryuk estaban usando Trickbot para apuntar a la industria y que la actividad planteaba un “ amenaza creciente e inminente ”. También publicaron indicadores técnicos tanto para Trickbot como para Ryuk. Talos tiene años de experiencia tratando con Trickbot, Ryuk y otras herramientas utilizadas por el adversario. Actualmente estamos apoyando a los clientes afectados y trabajando de la mano con las fuerzas del orden federales para respaldar sus investigaciones. También estamos apoyando a otras agencias policiales y federales. PERSPECTIVAS DE LA RESPUESTA A INCIDENTES

Talos también puede confirmar que tenemos varios compromisos de respuesta a incidentes activos que involucran ataques de ransomware contra organizaciones de atención médica. En los últimos 90 días, aproximadamente el 20 por ciento del compromiso de respuesta a incidentes este trimestre ha involucrado amenazas que afectan al sector de la salud. Un compromiso que involucró a un centro médico de EE. UU. Fue dirigido con Ryuk, así como con la herramienta de formación de equipos rojos Cobalt Strike (Cobalt Strike se ha utilizado con frecuencia con Ryuk, consulte a continuación para obtener más detalles). Sin embargo, observamos que en otro compromiso activo de respuesta a incidentes con un centro médico de EE. UU., El ransomware no es Ryuk, y actualmente se evalúa como Vatet o Defray. Aún no hemos identificado la presencia de Trickbot en ninguno de los incidentes. Desde julio de 2020, CTIR identificó al menos otros dos compromisos relacionados con el malware Vatet que han afectado a las organizaciones sanitarias de EE. UU. En una interacción, los adversarios agregaron un ".exe" como un nuevo servicio, y el servicio malicioso se cargó en la memoria. Los adversarios también obtuvieron una cuenta de administrador de dominio con privilegios elevados y realizaron actividades de descarga de credenciales. Luego crearon un archivo “.zip” que contenía los almacenes de contraseñas volcados. Desde al menos abril de 2020, Vatet se ha utilizado para apuntar al sector de la salud. Talos también se ha enterado de un ataque contra varias organizaciones sanitarias en el que la cadena de infección involucró a BazarLoader a un BazarBackdoor a Cobalt Strike, antes de dejar caer a Ryuk . Observamos que hemos observado esta misma cadena de infección que involucra a una agencia del gobierno de los Estados Unidos a fines de octubre. CTIR ha estado lidiando con la amenaza Ryuk durante meses. Desde 2019, Ryuk ha dominado el panorama de amenazas observado por CTIR, representando la mayoría de las amenazas observadas durante varios trimestres seguidos. Esto está en línea con los informes de código abierto, que han demostrado que los actores de Ryuk se han dirigido con frecuencia a las organizaciones de atención médica desde el comienzo de la pandemia de COVID-19 .

Para leer mas puede ir al enlace: https://blog.talosintelligence.com/2020/10/healthcare-advisory.html

4 vistas
D&S colores.png

Un Servidor en Quien Confiar

Servicio al cliente:

contactodirecto@datayservice.com

PBX + 57 6 8812277

Calle 54 # 26-60

ZIP 170004

Manizales, Colombia

Peticiones quejas y reclamos:

pqr.datayservice@datayservice.com

 

 © Data&Service, todos los derechos reservados.