Colaboración creciente entre grupos criminales …



Se espera un aumento en el ransomware y los ataques de &#39triple extorsión&#39, dice Cyber ​​Threat Intelligence League.

El aumento de la comunicación y la colaboración entre los grupos de ciberdelincuencia aumenta la amenaza del ransomware para el sector de la salud, según la Cyber ​​Threat Intelligence League (CTI League), un grupo que desde marzo pasado ha estado funcionando como un centro de respuesta de emergencia voluntario global para organizaciones de salud.

En un informe del jueves que resume sus esfuerzos durante el año pasado, la Liga CTI dice que espera que los ataques de ransomware y actividades como el comercio y la venta de bases de datos que contienen información médica protegida (PHI) aumenten este año. El grupo también espera un aumento en los ataques de «triple extorsión» que involucran el uso de ransomware, robo de datos y ataques distribuidos de denegación de servicio (DDoS) como palanca para extorsionar a entidades de salud.

CTI League dice que observó una mayor demanda en 2020 de acceso de puerta trasera a las redes de atención médica, generalmente en forma de servicios vulnerables de Protocolo de escritorio remoto (RDP), y también un aumento en la cantidad de corredores que filtran, adquieren y venden ese acceso. Los señuelos con temática de COVID-19 fueron y seguirán siendo una parte central del phishing, las estafas de ingeniería social y las campañas de información que buscan explotar el miedo y la curiosidad por la pandemia.

El papel central que juegan los servicios de salud en la lucha contra la pandemia mundial de COVID-19 y, por lo tanto, su mayor susceptibilidad percibida a los intentos de extorsión, continuará haciendo que los hospitales y otros servicios de salud sean los principales objetivos de los ciberdelincuentes en 2021, según el Informe de la Liga CTI.

Sean O&#39Connor, líder del equipo Dark de la Liga CTI, dice que las organizaciones de atención médica deben esperar que el panorama del ransomware en 2021 refleje el panorama del año pasado en términos de ataques crecientes, cantidad de nuevos grupos de ransomware y nuevas variantes que surgirán.

Gran parte de la actividad está impulsada por lo que O&#39Connor explain como una confluencia de eventos. Entre ellos se encuentra la proliferación de mercados oscuros y cadenas de suministro que ofrecen ransomware como servicio que han reducido significativamente las barreras de entrada para los ciberdelincuentes. Otro element importante es la creciente comunicación y colaboración dentro del ecosistema ciberdelincuente sobre ataques de ransomware dirigidos al sector de la salud.

En lugar de competir entre sí, los grupos de ransomware parecen cada vez más dispuestos a observarse y aprender unos de otros y a adaptar y aplicar tácticas y métodos de extorsión que han funcionado para otros grupos. Como ejemplo, O&#39Connor señala a los operadores de REvil, una de las cepas de ransomware más prolíficas dirigidas a organizaciones sanitarias, que complementa abiertamente y luego utiliza las tácticas de triple extorsión utilizadas por los operadores de DarkSide, otra importante amenaza de ransomware.

Los investigadores de la CTI League también han observado la colaboración entre grupos sobre el uso de corredores de acceso inicial y servicios de lavado de dinero, como el mercado ruso de Darknet Hydra, dice O&#39Connor. Los grupos incluso han comenzado a copiar las notas de rescate de los demás, y algunos continúan donde otros lo dejan, dice. Cuando los operadores de las familias de ransomware Maze y Sekhmet comenzaron a reducir sus operaciones, la familia Egregor comenzó a aumentar el número de víctimas, dice.

«El ransomware es una amenaza en rápida evolución debido a la mayor colaboración dentro del ecosistema ciberdelincuente», señala O&#39Connor.

El análisis de los datos de ransomware de la Liga CTI durante el año pasado identificó a Maze, Conti, Netwalker, REvil y Ryuk como las principales variantes de ransomware que afectaron a las organizaciones de atención médica. En full, estas familias de ransomware afectaron a más de 100 organizaciones de atención médica en todo el mundo, con más de dos tercios de las víctimas ubicadas en América del Norte y Europa.

Un CERT de clases
La Liga CTI está compuesta actualmente por más de 1.500 expertos en ciberseguridad de todo el mundo que trabajan de forma voluntaria para ayudar a las organizaciones de atención médica a lidiar con las ciberamenazas en medio de la pandemia. Actúa como un centro para recopilar y difundir información sobre amenazas y actores de amenazas a organizaciones del sector y otras, incluidas las fuerzas del orden, las agencias gubernamentales y las empresas de telecomunicaciones. Los miembros del grupo también prestan su experiencia en los esfuerzos de eliminación de amenazas.

«En un año de la Liga CTI, comprendemos cuán vulnerable y, en consecuencia, cuán objetivo es el sector de la salud», dice Ohad Zaidenberg, fundador y ejecutivo de la Liga CTI.

Desde su lanzamiento en marzo pasado, la Liga CTI ha ayudado a varias organizaciones de salud a abordar las amenazas de ransomware, dice. Como ejemplo, señala el pasado mes de octubre cuando un grupo de amenazas cifró equipos pertenecientes a 30 proveedores de atención médica, provocando graves interrupciones en el proceso. Los voluntarios de la Liga CTI utilizaron información sobre el ataque divulgada por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional y su propia inteligencia para identificar la infraestructura de comando y control del adversario para rastrear a las víctimas y advertir a los posibles objetivos. Un grupo de trabajo de 28 miembros también ayudó en los derribos legales de la infraestructura del atacante.

Zaidenberg compara el trabajo que está haciendo su equipo con el de un equipo de respuesta a emergencias informáticas (CERT), excepto que está abierto a todos. El objetivo es «proteger los hospitales que no pueden pagar la protección, los hospitales y los servicios de emergencia que no saben cómo hacerlo, y ayudar a las organizaciones policiales en su lucha por la seguridad pública», dice.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary