El FBI reenvía la alerta sobre ataques a la cadena de suministro por tercera vez en tres meses


kwampirs-3.png

El FBI emitió una alerta el lunes sobre piratas informáticos patrocinados por el estado que utilizan el malware Kwampirs para atacar a las empresas de la cadena de suministro y otros sectores de la industria como parte de una campaña worldwide de piratería informática.

Esta es la tercera alerta sobre este grupo en particular enviado este año, en la misma cantidad de meses, después de que el FBI envió alertas el 6 de enero y el 5 de febrero.

Esta vez, el FBI destacó que algunos de los objetivos del grupo son organizaciones de la industria de la salud, que actualmente se enfrentan al brote de coronavirus (COVID-19).

Además de enviar un PIN (Notificación de la industria privada), el FBI también ha publicado dos alertas Flash, uno que contiene las reglas de YARA para identificar el malware Kwampirs del grupo en redes infectadas, y el segundo que contiene un informe técnico, completo con COI (indicadores de compromiso).

Ambas alertas Flash son relanzamientos de los informes de febrero y enero, con información adicional.

El FBI advierte sobre los ataques de Kwampirs contra la atención médica

El FBI nombró al grupo detrás de estos ataques como Kwampirs, después del malware que usaron en sus intrusiones. Describieron el grupo como una amenaza persistente avanzada (APT), un término que normalmente se united states of america para describir grupos de piratería respaldados por el gobierno.

Los investigadores del FBI dijeron que el grupo ha estado activo desde 2016 cuando se observaron en la naturaleza los primeros ataques con el troyano de acceso remoto (RAT) Kwampirs.

«A través de la victimología y el análisis forense, el FBI encontró industrias muy específicas que incluyen atención médica, cadena de suministro de application, energía e ingeniería en los Estados Unidos, Europa, Asia y Oriente Medio», dijo el FBI. «Las industrias secundarias específicas incluyen instituciones financieras y firmas de abogados prominentes».

Pero, sobre todo, el FBI quería señalar en su informe que el grupo se ha enfocado fuertemente en el sector de la salud en el pasado.

Según el FBI, «las operaciones de Kwampirs contra entidades sanitarias mundiales han sido efectivas».

El FBI dijo que el grupo obtuvo «acceso amplio y sostenido» a entidades de salud específicas. Según la oficina, los objetivos pirateados van desde las principales compañías de salud transnacionales hasta las organizaciones de hospitales locales.

Kwampirs obtuvo acceso a hospitales a través de la cadena de suministro

«El FBI evalúa que los actores de Kwampirs obtuvieron acceso a una gran cantidad de hospitales mundiales a través de la cadena de suministro de application y productos de hardware», dijo la agencia.

«Los proveedores de la cadena de suministro de software infectado incluyeron productos utilizados para administrar los activos del sistema de handle industrial (ICS) en los hospitales», dijo el FBI.

En algunos ataques, los hackers accedieron a algunas máquinas, en otros, comprometieron redes empresariales enteras.

El FBI atribuyó esto a la capacidad del malware Kwampirs para propagarse lateralmente a través de las redes a través del protocolo del Bloque de mensajes del servidor (SMB) o mediante recursos compartidos de administración ocultos.

El FBI señala a las organizaciones sus dos alertas técnicas de Flash para obtener detalles sobre la detección del malware del grupo.

Si bien los funcionarios del FBI no intentaron atribuir el grupo a un país específico, sí señalaron que el malware Kwampirs contenía similitudes de código con Disttrack, una pieza de malware comúnmente conocida como Shamoon, y conocida por haber sido desarrollada y desplegada por piratas informáticos asociados con El régimen iraní.

Sin embargo, no está claro si el FBI envió las alertas de ayer porque el grupo Kwampirs ha comenzado a atacar cada vez más a las organizaciones de atención médica en las últimas semanas, o porque se sabe que el grupo ha apuntado históricamente a las organizaciones de atención médica y la oficina está intentando alertar al sector de la salud. contra futuros ciberataques.

Se esperan ataques a la industria de la salud en este momento

En este momento, debido a la precise pandemia de COVID-19 y la búsqueda frenética de una vacuna, las organizaciones de investigación médica y de atención médica son ahora uno de los objetivos más buscados de ataques cibernéticos y operaciones de ciberespionaje.

La semana pasada, Reuters informó que un grupo de piratería patrocinado por el estado intentó violar la Organización Mundial de la Salud a principios de este mes.

En el Webcast de riesgo empresarial en vivo ayer, el presentador y ex reportero de Wired, Patrick Gray, dijo que period de esperar ataques a organizaciones de investigación médica y de atención médica debido a las circunstancias actuales.

En la misma transmisión, el cofundador de Crowdstrike Dmitri Alperovitch describió los servicios de inteligencia que no participaron en la recopilación de inteligencia sobre la precise pandemia de COVID-19 como «incumplimiento del deber».

«En este momento, tiene un desastre en una escala inimaginable que afecta a casi todos los países del mundo y (presenta) una amenaza existencial para la economía», dijo Alperovitch. «Lo único que se supone que deben hacer las agencias de inteligencia es ayudar a los encargados de formular políticas a descubrir cómo resolver disaster como estas».

Si bien el FBI evitó decir si el grupo Kwampirs estaba involucrado en la recopilación de inteligencia sobre el brote de coronavirus, sí recomendó que las organizaciones de atención médica tomen precauciones para protegerse.

ReversingLabs publicado un desglose técnico del malware Kwampirs la semana pasada.





Enlace a la noticia primary