Nuevos esquemas de pago de rescate dirigidos a ejecutivos, telemedicina – Krebs on Stability


Los grupos de ransomware están constantemente ideando nuevos métodos para infectar a las víctimas y convencerlas de que paguen, pero un par de estrategias probadas recientemente parecen especialmente tortuosas. El primero se centra en las organizaciones de atención médica que ofrecen consultas a través de Net y les envían registros médicos trampa para el «paciente». El otro consiste en editar cuidadosamente las bandejas de entrada de correo electrónico de los ejecutivos de empresas públicas para que parezca que algunos estuvieron involucrados en el uso de información privilegiada.

Alex Holden es fundador de Mantener la seguridad, una empresa de ciberseguridad con sede en Milwaukee. El equipo de Holden ganó visibilidad en las discusiones entre miembros de dos grupos de rescate diferentes: CLOP (también conocido como «Cl0p«también conocido como»TA505“), y un grupo de rescate más nuevo conocido como Venus.

El mes pasado, el Departamento de Salud y Servicios Humanos de EE. UU. (HHS) prevenido que los ataques del ransomware Venus estaban dirigidos a varias organizaciones de atención médica de EE. UU. visto por primera vez a mediados de agosto de 2022Venus es conocido por piratear los servicios de escritorio remoto expuestos públicamente de las víctimas para cifrar los dispositivos de Home windows.

Holden dijo que las discusiones internas entre los miembros del grupo Venus indican que esta pandilla no tiene problemas para acceder a las organizaciones de víctimas.

“El grupo Venus tiene problemas para que le paguen”, dijo Holden. “Están apuntando a muchas empresas estadounidenses, pero nadie quiere pagarles”.

Lo que podría explicar por qué su último esquema se centra en tratar de incriminar a los ejecutivos de las empresas públicas por cargos de tráfico de información privilegiada. Venus indicó que recientemente tuvo éxito con un método que consiste en editar cuidadosamente uno o más archivos de la bandeja de entrada de correo electrónico en una empresa víctima, para insertar mensajes que discutan planes para negociar grandes volúmenes de acciones de la compañía en función de información no pública.

“Imitamos la correspondencia de los [CEO] con cierta información privilegiada que comparte informes financieros de sus empresas a través de las cuales su víctima supuestamente cotiza en el mercado de valores, lo que naturalmente es un delito y, de acuerdo con las leyes federales de EE. UU. [includes the possibility of up to] 20 años de prisión”, escribió un miembro de Venus a un subordinado.

“Necesita crear este archivo e inyectarlo en la(s) máquina(s) de esta manera para que los metadatos digan que fueron creados en su computadora”, continuaron. “Uno de mis clientes lo hizo, no sé cómo. Además de pst, debe descomponer varios archivos en diferentes lugares, de modo que los metadatos digan que los archivos son nativos de una fecha y hora determinadas en lugar de creados ayer en una máquina desconocida”.

Holden dijo que no es fácil plantar correos electrónicos en una bandeja de entrada, pero se puede hacer con Archivos .pst de Microsoft Outlooka la que los atacantes también pueden tener acceso si ya han comprometido la red de una víctima.

“No va a ser sólido desde el punto de vista forense, pero eso no es lo que les importa”, dijo. “Todavía tiene el potencial de ser un gran escándalo, al menos por un tiempo, cuando una víctima es amenazada con la publicación o divulgación de estos registros”.

La nota de extorsión del grupo Venus Ransom. Imagen: Tripwire.com

Holden dijo que la banda de ransomware CLOP tiene un problema diferente últimamente: no hay suficientes víctimas. La comunicación CLOP interceptada vista por KrebsOnSecurity muestra que el grupo se jactó dos veces de tener éxito al infiltrarse en nuevas víctimas en la industria de la salud enviándoles archivos infectados disfrazados de imágenes de ultrasonido u otros documentos médicos para un paciente que buscaba una consulta remota.

Los miembros de CLOP dijeron que un método probado y verdadero para infectar a los proveedores de atención médica implicaba recopilar datos de pagos y seguros de atención médica para enviar solicitudes de consulta remota sobre un paciente que tiene cirrosis hepática.

“Básicamente, cuentan con médicos o enfermeras que revisan el expediente y las exploraciones del paciente justo antes de la cita”, dijo Holden. “Inicialmente discutieron entrar con problemas cardiovasculares, pero decidieron que la cirrosis o la fibrosis del hígado tendrían más probabilidades de ser diagnosticadas de forma remota a partir de los resultados de las pruebas y exploraciones existentes”.

Si bien CLOP como colectivo lucrativo es una organización bastante joven, los expertos en seguridad dicen que los miembros de CLOP provienen de un grupo de Threat Actors (TA) conocido como «TA505», que La base de datos ATT&CK de MITRE dice es un grupo de delitos cibernéticos motivado financieramente que ha estado activo desde al menos 2014. «Este grupo es conocido por cambiar con frecuencia el malware e impulsar las tendencias globales en la distribución de malware legal», evaluó MITRE.

En abril de 2021, KrebsOnSecurity detalló cómo CLOP ayudó a ser pionero en otra innovación destinada a empujar a más víctimas a pagar una demanda de extorsión: enviar correos electrónicos a los clientes y socios de la víctima del ransomware y advertirles que sus datos se filtrarían a la internet oscura a menos que puedan convencer a la víctima. firme para pagar.

Firma de seguridad cable trampa Señala que el aviso del HHS sobre Venus dice que es probable que varios grupos de actores de amenazas estén distribuyendo el ransomware de Venus. Los consejos de Tripwire para todas las organizaciones para evitar ataques de ransomware incluyen:

  • Realización de copias de seguridad seguras fuera del sitio.
  • Ejecutar soluciones de seguridad actualizadas y asegurarse de que sus computadoras estén protegidas con los últimos parches de seguridad contra vulnerabilidades.
  • Usar contraseñas únicas difíciles de descifrar para proteger cuentas y datos confidenciales, además de habilitar la autenticación multifactor.
  • Cifrar datos confidenciales siempre que sea posible.
  • Educar e informar continuamente al particular sobre los riesgos y métodos utilizados por los ciberdelincuentes para lanzar ataques y robar datos.

Si bien los consejos anteriores son importantes y útiles, un área crítica de la preparación contra el ransomware que demasiadas organizaciones pasan por alto es la necesidad de desarrollar, y luego ensayar periódicamente, un program sobre cómo todos en la organización deben responder en caso de un ransomware o un rescate de datos. incidente. Perforar este plan de respuesta a infracciones es clave porque ayuda a exponer las debilidades en esos planes que los intrusos podrían explotar.

Como se señaló en la historia del año pasado ¿No quieren pagar las pandillas de rescate? Pruebe sus copias de seguridad, los expertos dicen que la principal razón por la que los objetivos del ransomware y/o sus proveedores de seguros aún pagan cuando ya tienen copias de seguridad confiables de sus sistemas y datos es que nadie en la organización de la víctima se molestó en probar de antemano cuánto tiempo podría llevar este proceso de restauración de datos. .

“De repente, la víctima se da cuenta de que tiene un par de petabytes de datos para restaurar a través de Net y se da cuenta de que, incluso con sus conexiones rápidas, tardará tres meses en descargar todos estos archivos de respaldo”, dijo. Fabián Wosardirector de tecnología de Emsisoft. “Muchos equipos de TI en realidad nunca hacen ni siquiera un cálculo al revés de cuánto tiempo les llevaría restaurar desde una perspectiva de tasa de datos”.



Enlace a la noticia first