Ryuk se concentra ahora en los servicios de salud

Organismos de seguridad reportan intensa actividad de Ryuk y Conti, habilitados por los malwares TrickBot y BazarLoader.

Un boletín conjunto distribuido la víspera por varios organismos del gobierno estadounidense, entre ellos el FBI, indica que los hospitales y los proveedores de servicios de salud están siendo blanco activo de ataques de ransomware, y que existe una amenaza inminente de nuevos ataques.

Aunque en el bolet√≠n se mencionan varias formas de ransomware, destacan Ryuk y Conti, junto con TrickBot y BazarLoader, √©stas dos √ļltimas utilizadas para obtener acceso a los sistemas elegidos para instalar el ransomware.

Ryuk es bien conocido y estuvo vinculado a organizaciones criminales rusas  en 2019, despu√©s de haberse supuesto que era obra del gobierno norcoreano. Ryuk ha sido utilizado en ataques anteriores, incluyendo la Guardia Costera de EE.UU. en enero y el ayuntamiento de Durham, Carolina del Norte, a principios de marzo. Un informe publicado el 29 de marzo daba cuenta de una campa√Īa en que Ryuk ten√≠a como objetivo los hospitales y otros proveedores de servicios m√©dicos mientras la pandemia de coronavirus continuaba propag√°ndose. Ahora, los ataques de Ryuk han seguido aumentando. Esta semana, Sopra Steria confirm√≥ haber sido v√≠ctima de Ryuk.

El boletín, que aparte del FBI está firmado por el Departamento de Salud y Servicios Humanos, el Departamento de Seguridad Nacional, la Agencia de Seguridad Cibernética e Infraestructural, detalla las tácticas, técnicas y procedimientos utilizados por los delincuentes cibernéticos en el sector de la salud para infectar los sistemas con ransomware.

Llama por cierto la atenci√≥n que TrickBot sea mencionado en el bolet√≠n de seguridad, habida cuenta que el 13 de octubre Microsoft, ESET, Lumen y  NTT aseguraron haber “desbaratado” a TrickBot. Cabe se√Īalar, en todo caso, que ESET precis√≥ que TrickBot cuenta con mecanismos de recuperaci√≥n, y que sus conexiones con el mundo criminal convierte las operaciones de neutralizaci√≥n en algo extremadamente complejo. Microsoft, en tanto, precis√≥ que hab√≠a contribuido a “entorpecer” al bot, en lugar de derribarlo totalmente. 

Lavi Lazarovitz, Head of Security Research de CyberArk Labs, coment√≥ a Diario TI que ‚ÄúLa campa√Īa de ransomware contra el sistema de salud de EEUU es preocupante. Entre otras razones, porque EEUU a√ļn est√° luchando por controlar la pandemia y tratar de frenar el aumento de hospitalizaciones que se est√°n produciendo en muchos Estados. Las consecuencias de ataques de este tipo, que podr√≠an incluir la p√©rdida de vidas humanas, hace que se trate de amenazas y ataques particularmente sensibles y devastadores. Cabe se√Īalar que cualquier tipo de ca√≠da de sistemas o aplicaciones como consecuencia de estos ataques puede afectar a la salud y el bienestar del paciente. De hecho, la naturaleza interconectada de la atenci√≥n m√©dica moderna hace que, incluso los ataques localizados, puedan afectar al flujo de informaci√≥n entre los departamentos y el personal, con el consiguiente riesgo para los pacientes‚ÄĚ.

El experto agreg√≥ que ‚ÄúEl ransomware, generalmente, comienza en el puesto de trabajo, pero cifrar un dispositivo no provocar√° la interrupci√≥n ni generar√° el rescate que buscan los atacantes. En su lugar, utilizar√°n este √ļnico dispositivo como puerta de enlace para moverse por la red y lograr cifrar los archivos, las aplicaciones y los sistemas m√°s relevantes para la organizaci√≥n. Este movimiento desde el punto final a la red es parte integral de la estrategia de un atacante, y tambi√©n es el punto donde los proveedores de atenci√≥n sanitaria pueden romper esa cadena y evitar que estos ataques se propaguen‚ÄĚ.

A juicio de Lavi Lazarovitz, ‚ÄúAdoptar un enfoque proactivo de la seguridad es clave, incluidos la protecci√≥n del acceso privilegiado a los archivos y los sistemas que m√°s importan. Esto ayudar√° a detener a los atacantes al mantener sus acciones inmovilizadas en el punto de infecci√≥n inicial, provocando que los ataques sean mucho menos efectivos y minimizando el da√Īo potencial”.

Ilustración: Ryuk, personaje de Death Note (fotograma, YouTube)




Contacto | Diario TI es una publicación de MPA Publishing International Ltd.