Lima, Perú
+51946145467
Search
Lima, Perú
+5113014109

Cómo el bloqueo de ransomware infecta a las organizaciones de atención médica

Cómo el bloqueo de ransomware infecta a las organizaciones de atención médica
jatun jatun
Blog
29 de enero de 2025

[ad_1]

Los ataques de ransomware han alcanzado una escala sin precedentes en el sector de la salud, exponiendo vulnerabilidades que ponen en riesgo a millones. Recientemente, UnitedHealth reveló que 190 millones de estadounidenses tenían sus datos personales y de salud robados durante el cambio de ransomware de salud, una cifra que casi duplica el total revelado previamente.

Esta violación muestra cuán profundamente el ransomware puede infiltrarse en sistemas críticos, dejando la confianza del paciente y la atención en el equilibrio.

Uno de los grupos que se dirige a este sector ya frágil es el grupo de ransomware entrelazado. Conocidos por sus ataques calculados y sofisticados, se centran en hospitales, clínicas y otros proveedores de servicios médicos.

Grupo de ransomware de enclavamiento: una amenaza activa para la atención médica

El grupo de ransomware entrelazado es un jugador relativamente reciente pero peligroso en el mundo del delito cibernético, conocido por emplear tácticas de doble extensión.

Este método implica encriptar los datos de una víctima para interrumpir las operaciones y amenaza con filtrar información confidencial si no se cumplen las demandas de rescate. Su principal motivación es la ganancia financiera, y sus métodos se adaptan a maximizar la presión sobre sus objetivos.

Características notables

  1. Sofisticación: El grupo utiliza técnicas avanzadas como phishing, actualizaciones de software falsas y sitios web maliciosos para obtener acceso inicial.
  2. Persistencia: Su capacidad de permanecer sin ser detectada durante largos períodos amplifica el daño que pueden causar.
  3. Despliegue rápido: Una vez dentro de una red, se mueven rápidamente lateralmente, robando datos confidenciales y preparando sistemas para el cifrado.
  4. Demandas de rescate a medida: El grupo evalúa cuidadosamente el valor de los datos robados para establecer los montos de rescate que las víctimas probablemente pagarán.

Objetivos recientes del Grupo de Ransomware de Interlock

A finales de 2024, el enclavamiento se dirigió a múltiples organizaciones de atención médica en los Estados Unidos, exponiendo la información confidencial del paciente e interrumpir gravemente las operaciones. Las víctimas incluyen:

  • Centro de salud del vecindario de Brockton: Irumitó en octubre de 2024, con el ataque permaneciendo sin ser detectado durante casi dos meses.
  • Servicios de tratamiento heredado: Detectado a fines de octubre de 2024.
  • Servicio de tratamiento de drogas y alcohol: Datos comprometidos descubiertos en el mismo período.

Cadena de ataque de grupo de ransomware entrelazado

El grupo de ransomware entrelazado comienza su ataque con un método estratégico y muy engañoso conocido como compromiso de manejo. Esta técnica permite al grupo obtener acceso inicial a sistemas específicos al explotar a los usuarios desprevenidos, a menudo a través de sitios web de phishing cuidadosamente diseñados.

Ataque inicial del ransomware

El ataque comienza cuando el grupo de enclavamiento compromete un sitio web legítimo existente o registra un nuevo dominio de phishing. Estos sitios están cuidadosamente diseñados para parecer confiables, imitando plataformas creíbles como portales de noticias o páginas de descarga de software. Los sitios a menudo contienen enlaces para descargar actualizaciones o herramientas falsas, que, cuando se ejecutan, infectan el dispositivo del usuario con software malicioso.

Ejemplo: Any. La caja de arena interactiva de Any.Run detectó un dominio marcado como parte de la actividad de Interlock, Apple-Online.shop. Este último fue diseñado para engañar a los usuarios en la descarga de malware disfrazado de software legítimo.

Esta táctica evita efectivamente la capa inicial de sospecha del usuario, pero con la detección y el análisis temprano, los equipos de SOC pueden identificar rápidamente dominios maliciosos, bloquear el acceso y responder más rápido a las amenazas emergentes, reduciendo el impacto potencial en las operaciones comerciales.

Ver sesión de análisis

Apple-Online.Shop marcado como parte de la actividad de Interlock dentro de Any.

Equipe a tu equipo con las herramientas para combatir las amenazas cibernéticas.

Obtenga una prueba gratuita de 14 días y analizar amenazas ilimitadas con cualquiera.

Ejecución: cómo el enclavamiento gana el control

Una vez que el grupo de ransomware entrelazado infringe las defensas iniciales, comienza la fase de ejecución. En esta etapa, los atacantes implementan cargas útiles maliciosas o ejecutan comandos dañinos en dispositivos comprometidos, preparando el escenario para el control total sobre la red de la víctima.

El ransomware entrelazado a menudo disfraza sus herramientas maliciosas como actualizaciones de software legítimas para engañar a los usuarios. Las víctimas lanzan sin saberlo actualizadores falsos, como los que imitan a los instaladores de Chrome, Msteams o Microsoft Edge, pensando que están realizando un mantenimiento de rutina. En su lugar, estas descargas activan herramientas de acceso remoto (ratas), que otorgan a los atacantes el acceso completo al sistema infectado.

Dentro de Any. upd_8816295.exese identifica claramente dentro del árbol de proceso en el lado derecho, mostrando su comportamiento malicioso y flujo de ejecución.

Actualizador falso analizado dentro de cualquiera.

Al hacer clic en el botón Malconf en el lado derecho de cualquiera.

Los analistas reciben datos detallados en un formato claro y fácil de usar, ayudando a las empresas a mejorar sus flujos de trabajo de respuesta a amenazas, reducir el tiempo de análisis y lograr resultados más rápidos y efectivos al luchar contra las amenazas cibernéticas.

Descifrado URL malicioso dentro de cualquiera.

Acceso sensible comprometiendo

El siguiente paso del ataque es robar credenciales de acceso. Estas credenciales otorgan a los atacantes la capacidad de moverse lateralmente dentro de la red y explotar aún más la infraestructura de la víctima.

El grupo de ransomware entrelazado utilizó una herramienta de robador personalizado para cosechar datos confidenciales, incluidos nombres de usuario, contraseñas y otras credenciales de autenticación. Según los informes, esta información robada se almacenó en un archivo llamado «Chrgetpdsi.txt», que sirvió como punto de recolección antes de la exfiltración.

Usando cualquier herramienta de búsqueda TI de RUN, descubrimos que este robador fue detectado en la plataforma ya en agosto de 2024.

Robador de enclavamiento detectado por cualquiera.

Movimiento lateral: expandir el punto de apoyo

Durante el Fase de movimiento laterallos atacantes se extienden por la red para acceder a sistemas y recursos adicionales. El grupo de ransomware de enclavamiento se basó en herramientas de administración remota legítimas como Masilla, Anydesky RDPa menudo utilizado por los equipos de TI pero reutilizados para actividades maliciosas.

Masilla detectada dentro de cualquiera.

Exfiltración de datos: extraer información robada

En esta etapa final, los atacantes exfiltran los datos robados de la red de la víctima, a menudo utilizando servicios de almacenamiento en la nube. El grupo de ransomware entrelazado, por ejemplo, aprovechó el almacenamiento de la nube Azure para transferir datos fuera de la organización.

Dentro de Any.

Por ejemplo, aquí los registros revelaron que la información se transmitía a IP 217[.]148.142.19 encima puerto 443 durante un ataque de enclavamiento.

Datos enviados por la rata a servidores controlados por los atacantes revelados por cualquiera.

Protección proactiva contra el ransomware en la atención médica

El sector de la salud es un objetivo principal para los grupos de ransomware como el enclavamiento, con ataques que ponen en peligro los datos confidenciales de los pacientes, interrumpen los servicios críticos y ponen en riesgo vidas. Las organizaciones de atención médica deben mantenerse cautelosas y priorizar las medidas de ciberseguridad para proteger sus sistemas y datos.

La detección temprana es la clave para minimizar el daño. Herramientas como cualquiera.

Con la capacidad de analizar de manera segura archivos sospechosos, descubrir indicadores ocultos de compromiso (COI) y monitorear la actividad de la red, cualquiera. Run ofrece a las organizaciones el poder de luchar contra las amenazas avanzadas.

Comience su prueba de 14 días gratis. hoy y dar a su equipo las herramientas para ayudarlos a detener las amenazas de ransomware antes de que se intensifiquen.

¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Séguenos Gorjeo y LinkedIn Para leer más contenido exclusivo que publicamos.



[ad_2]

Enlace fuente

ATENCION bloqueó COMO infecta las médica organizaciones ransomware
-
Related Posts
Close
Search

Hit enter to search or ESC to close

Potenciado por Ujjina.com

cookie Al utilizar este sitio web, acepta nuestra política de cookies. Close