Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Alerta: El FBI advierte del ataque del ransomware sanitario BlackCat
Wajahat Raja
12 de marzo de 2024 - Equipo de expertos TuxCare
En los últimos meses ha surgido una tendencia preocupante en el sector sanitario: el resurgimiento del ransomware BlackCat BlackCat. El BlackCat ha provocado un aviso conjunto de la Oficina Federal de Investigación (FBI), la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) y el Departamento de Salud y Servicios Humanos (HHS), advirtiendo a las organizaciones sanitarias sobre el mayor riesgo al que se enfrentan por parte de estos actores maliciosos.
Alerta gubernamental - BlackCat Ransomware Healthcare Attack
El gobierno estadounidense lanza una dura advertencia sobre el resurgimiento de los ataques de ransomware BlackCat, dirigidos especialmente al sector sanitario. Datos recientes revelan una tendencia preocupante, siendo el sector sanitario el principal objetivo de casi 70 víctimas filtradas desde mediados de diciembre de 2023.
Advertencia del FBI sobre el ransomware BlackCat
El FBI, en colaboración con CISA y el HHS, ha emitido una advertencia sobre el BlackCatlo que supone un esfuerzo de colaboración para hacer frente a la amenaza. El sector sanitario parece estar en el punto de mira, lo que ha provocado la respuesta del gobierno estadounidense.
Retroceso y resurgimiento
A pesar de un golpe significativo a la operación de ransomware BlackCat a finales de 2023, un esfuerzo coordinado de las fuerzas de seguridad no logró desmantelar completamente el grupo. Tras recuperar el control de sus sitios de filtraciones oscuras, BlackCat ha intensificado los ataques contra organizaciones de infraestructuras críticas, incluidas entidades notables como Prudential Financial, LoanDepot, Trans-Northern Pipelines y Optum, filial de UnitedHealth Group.
Incentivos públicos
En respuesta a la escalada de la amenaza, el gobierno estadounidense ofrece recompensas económicas de hasta 15 millones de dólares por información que conduzca a la identificación de miembros y afiliados clave del grupo de ciberdelincuencia BlackCat. Esta medida subraya la gravedad de la situación y la urgente necesidad de colaboración en la lucha contra las ciberamenazas.
Vulnerabilidades de ConnectWise explotadas
Los recientes ataques, como el dirigido contra Optum, han suscitado preocupación por la explotación de fallos de seguridad críticos en el software de acceso y escritorio remoto ScreenConnect de ConnectWise. BlackCat se ha visto implicado en esta filtración de datos sanitariosaunque el grupo niega vehementemente haber utilizado los exploits de ConnectWise para el acceso inicial.
Impacto generalizado
Las vulnerabilidades en el software de ConnectWise se han convertido en un punto focal para varios grupos de ransomware, incluyendo Black Basta y Bl00dy, explotándolas para entregar cargas útiles maliciosas como Cobalt Strike Beacons, XWorm, y herramientas de gestión remota como Atera y Syncro.
La empresa de gestión de superficies de ataque Censys informa de más de 3,400 hosts ScreenConnect expuestos potencialmente vulnerables a fecha de 27 de febrero de 2024, ubicados principalmente en Estados Unidos, Canadá, Reino Unido, Australia, Alemania, Francia, India, Países Bajos, Turquía e Irlanda.
Evolución de las tácticas de ataque del ransomware sanitario BlackCat
El panorama del BlackCat ransomware ataque sanitario a hospitales está evolucionando, con grupos como RansomHouse, Rhysida y una variante de Phobos llamada Backmydata que emplean tácticas más sofisticadas. RansomHouse, por ejemplo, utiliza una herramienta personalizada llamada MrAgent, diseñada para automatizar y rastrear el despliegue de ransomware en grandes entornos, especialmente dirigido a hipervisores VMware ESXi.
Nuevos métodos de monetización
En un cambio preocupante, algunos BlackCat ransomware ataque sanitario afiliados están adoptando nuevos métodos de monetización, como la venta de acceso directo a la red a través de blogs, canales de Telegram o sitios web de fuga de datos. Esto demuestra un movimiento hacia enfoques más matizados y sofisticados por parte de los ciberdelincuentes.
Surgimiento de amenazas específicas para Linux
La publicación de una amenaza de ransomware basada en C y específica para Linux, conocida como Kryptina, plantea un nuevo desafío. Aparecida por primera vez en foros clandestinos en diciembre de 2023 y posteriormente disponible de forma gratuita en BreachForums, la publicación del código fuente de Kryptina podría provocar un aumento de los ataques de ataques de ransomware contra sistemas Linux, atrayendo a participantes poco cualificados al ecosistema de la ciberdelincuencia.
Mitigación del riesgo de ransomware en la sanidad
A la luz de estos acontecimientos, proteger los datos sanitarios del ransomware se ha convertido en un imperativo para las organizaciones sanitarias con el fin de fortalecer sus defensas contra el ransomware BlackCat y sus afiliados. El aviso conjunto emitido por el FBI, CISA y HHS describe las medidas clave para mitigar el riesgo del ransomware sanitario BlackCat ransomware ataque a la salud:
- Acceso remoto seguro: Implemente controles estrictos para las herramientas de acceso remoto, garantizando que sólo se ejecute el software autorizado.
- MFA resistente al phishing: Implanta soluciones de autenticación multifactor (MFA) resistentes a los intentos de phishing, como la autenticación FIDO/WebAuthn.
- Supervisión de la red: Utiliza herramientas sólidas de supervisión de la red para detectar e investigar actividades anómalas y frustrar así la posible penetración del ransomware.
- Supervisión del correo y la mensajería: Mejorar las capacidades de supervisión interna para identificar actividades sospechosas en los sistemas de correo y mensajería.
- Formación para la concienciación de los usuarios: Eduque a los empleados sobre cómo reconocer y responder a los ataques de ingeniería social y phishing, capacitándolos para actuar como primera línea de defensa contra las ciberamenazas.
Al adoptar estas medidas proactivas, las organizaciones sanitarias pueden mejorar su resistencia a los ataques de ransomware BlackCat y salvaguardar los datos confidenciales de los pacientes.
Presunta implicación de BlackCat en el incidente de Change Healthcare
Al parecer, BlackCat ha reivindicado la autoría de un ciberataque contra Change Healthcare, afirmando la exfiltración de 6 TB de datos. Aunque la reivindicación fue retirada sin explicaciones, el incidente ha causado importantes trastornos a Change Healthcare, afectando a los servicios sanitarios, incluidas las recetas, en todo Estados Unidos.
Recuperación de datos sanitarios
Change Healthcare, ahora fusionada con Optum, filial de UnitedHealth Group, está lidiando con las secuelas del ataque. UnitedHealth, que maneja una parte sustancial de los datos de los pacientes estadounidenses y procesa 15.000 millones de transacciones sanitarias al año, declaró que el ataque era obra de un "presunto agente de amenazas a la ciberseguridad asociado a un Estado-nación". "presunto agente de amenazas de ciberseguridad asociado a un Estado-nación".
El incidente ha perturbado los servicios sanitarios, afectando a la transmisión de reclamaciones de seguros de muchas farmacias de Estados Unidos. La ciberseguridad de las organizaciones sanitarias es fundamental para salvaguardar los datos confidenciales de los pacientes y garantizar la continuidad operativa.
Conclusión
El creciente panorama de amenazas de ransomware, ejemplificado por el resurgimiento de BlackCat y grupos similares, exige una mayor vigilancia y medidas proactivas. El cumplimiento de la HIPAA y el ransomware y el ransomware se cruzan en el sector sanitario medidas de seguridad robustas para proteger la privacidad de los pacientes y la integridad de los datos.
Las organizaciones, especialmente en sectores críticos como la sanidad, deben dar prioridad a la ciberseguridad para salvaguardar los datos confidenciales, mantener la continuidad operativa y protegerse contra las tácticas cambiantes de los ciberadversarios. A medida que nos enfrentamos a estos retos, la colaboración, la concienciación y el cumplimiento de los protocolos de seguridad recomendados siguen siendo primordiales.
Las fuentes de este artículo incluyen artículos en The Hacker News y InfoSecurity.
