El FBI, el DHS y el HHS advierten sobre una amenaza de ransomware inminente y creíble contra los hospitales de EE. UU. – Krebs on Safety


El lunes 26 de octubre, KrebsOnSecurity comenzó a dar seguimiento a un consejo de una fuente confiable de que una agresiva pandilla de ciberdelincuentes rusa conocida por desplegar ransomware se estaba preparando para interrumpir los sistemas de tecnología de la información en cientos de hospitales, clínicas e instalaciones de atención médica en todo Estados Unidos. Hoy, funcionarios de la FBI y el Departamento de Seguridad Nacional de EE. UU. montó apresuradamente una conferencia telefónica con ejecutivos de la industria de la salud advirtiendo sobre una «amenaza inminente de ciberdelito para los hospitales y proveedores de atención médica de EE. UU.»

Las agencias en la conferencia telefónica, que incluyó Departamento de Salud y Servicios Humanos de EE. UU. (HHS), advirtió a los participantes sobre «información creíble de una amenaza creciente e inminente de delitos cibernéticos para los hospitales y proveedores de atención médica de EE. UU.»

Las agencias dijeron que estaban compartiendo la información «para advertir a los proveedores de atención médica a fin de garantizar que tomen las precauciones oportunas y razonables para proteger sus redes de estas amenazas».

La advertencia se produjo menos de dos días después de que este autor recibiera un aviso de Alex Holden, fundador de la firma de inteligencia cibernética con sede en Milwaukee Mantenga la seguridad. Holden dijo que vio comunicaciones en línea esta semana entre ciberdelincuentes afiliados a un grupo de ransomware de habla rusa conocido como Ryuk en el que los miembros del grupo discutieron planes para implementar ransomware en más de 400 centros de salud en los EE. UU.

Un participante en la conferencia telefónica del gobierno de hoy dijo que las agencias ofrecieron pocos detalles concretos sobre cómo las organizaciones de atención médica podrían protegerse mejor contra este actor de amenaza o una supuesta campaña de malware.

«No compartieron ningún IoC (indicadores de compromiso), por lo que solo ha sido &#39parchear sus sistemas e informar cualquier cosa sospechosa&#39 ”, dijo un veterano de la industria de la salud que participó en la discusión.

Sin embargo, otros en la llamada dijeron que los IoC pueden ser de poca ayuda para los hospitales que ya han sido infiltrados por Ryuk. Esto se debe a que la infraestructura de malware utilizada por la pandilla de Ryuk a menudo es única para cada víctima, incluido todo, desde los archivos ejecutables de Microsoft Windows que se colocan en los hosts infectados hasta los llamados servidores de «comando y command» utilizados para transmitir datos entre sistemas comprometidos.

Sin embargo, la empresa de respuesta a incidentes de ciberseguridad Mandiant hoy publicó una lista de dominios y direcciones de World wide web utilizados por Ryuk en ataques anteriores a lo largo de 2020 y hasta la actualidad. Mandiant se refiere al grupo según la clasificación de actor de amenaza «UNC1878», y transmitió un webcast hoy detallando algunas de las últimas tácticas de explotación de Ryuk.

Charles Carmakal, vicepresidente senior de Mandiant, dijo a Reuters que UNC1878 es uno de los actores de amenazas más descarados, despiadados y disruptivos que ha observado a lo largo de su carrera.

«Varios hospitales ya se han visto afectados significativamente por el ransomware Ryuk y sus redes se han desconectado», dijo Carmakal.

Un veterano de la industria de la salud que participó en la llamada hoy y que habló con KrebsOnSecurity bajo condición de anonimato dijo que si realmente hay cientos de instalaciones médicas en riesgo inminente aquí, eso parecería ir más allá del alcance de cualquier grupo hospitalario y podría implicar a algunos. tipo de proveedor de historiales médicos electrónicos que se integra con muchas instalaciones de atención.

Sin embargo, hasta ahora, nada como cientos de instalaciones han informado públicamente sobre incidentes de ransomware. Pero ha habido un puñado de hospitales que se han enfrentado a ataques de ransomware en los últimos días.

Revisión del Medical center Becker informó hoy que un ataque de ransomware afectó a los sistemas informáticos del Sky Lakes Professional medical Middle de Klamath Falls, Oregon.

Noticias del Canal 7 de WWNY en Nueva York informó ayer que un ataque de ransomware de Ryuk en el sistema de salud de St. Lawrence provocó infecciones informáticas en los hospitales de Caton-Potsdam, Messena y Gouverneur.

SWNewsMedia.com el lunes informó sobre «actividad de red no identificada» que causó interrupciones en ciertas operaciones en el Ridgeview Clinical Heart en Waconia, Minnesota. SWNews dice que el sistema de Ridgeview incluye el Chaska&#39s Two Twelve Professional medical Center, tres hospitales, clínicas y otros sitios de atención de emergencia y a largo plazo alrededor del área metropolitana.

NBC5 informes La red de salud de la Universidad de Vermont está lidiando con un «problema importante y continuo de la pink en todo el sistema» que podría ser un ciberataque malicioso.

-UNA historia a BleepingComputer.com dice que el Wyckoff Medical center en Nueva York sufrió un ataque de ransomware Ryuk el 28 de octubre.

Esta es una historia en desarrollo. Estén atentos para más actualizaciones.

Actualización, 10:11 p.m. ET: El FBI, el DHS y el HHS emitieron conjuntamente una alerta sobre esto, disponible aquí.

Actualización, 30 de octubre a las 11:14 a.m. ET: Se agregó una mención del compromiso de Ryuk del healthcare facility Wyckoff.


Etiquetas: Alex Holden, Charles Carmakal, Departamento de Seguridad Nacional, FBI, Salud y Servicios Humanos, Hold Protection, Mandiant, ransomware, Reuters, Ryuk

Esta entrada se publicó el miércoles 28 de octubre de 2020 a las 8:43 p.m. y está archivada en Últimas advertencias, ransomware, The Coming Storm.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia primary