El Departamento de Salud de EE. UU. advertir sobre un “aumento” de ataques de ransomware Royal en hospitales

El Departamento de Salud y Servicios Humanos de EE. UU. (HHS, por sus siglas en inglés) utilizar a los hospitales y organizaciones del sector de la salud que se mantuvieran alerta ante los ataques del grupo de ransomware Royal, una pandilla relativamente nueva que surgió en septiembre.

En una alerta publicada esta semana, el HHS dijo que los ataques del grupo a las instalaciones de atención médica están aumentando y que el grupo generalmente exige rescates de entre $250,000 y $2 millones. 

“Debido a la naturaleza histórica del ransomware que victimiza a la comunidad de atención médica, Royal debe sospechar una amenaza para el sector HPH”, dijeron los funcionarios. 

“Royal es una operación que parece consistir en actores experimentados de otros grupos, ya que se han observado elementos de operaciones de ransomware anteriores. Si bien la mayoría de los operadores de ransomware conocidos han realizado Ransomware-as-a-Service, Royal parece ser un grupo privado sin afiliados y mantiene la motivación financiera como su objetivo”. 

Como la mayoría de los grupos de ransomware, la pandilla roba datos confidenciales y amenaza con filtrarlos para presionar a las víctimas para que paguen el rescate, lo que se conoce como “ataques de doble extorsión”.

El HHS señaló que la operación usaba anteriormente un encriptador del grupo de ransomware BlackCat, pero ahora usa uno de otro grupo llamado Zeon, que, según dijeron, genera una “nota de ransomware que se identificó como similar a la de Conti”.

Conti fue uno de los grupos de ransomware más prolíficos y lanzó ataques de alto perfil contra instituciones, incluido el gobierno de Costa Rica, hasta que se disolvió en mayo.

UNA MUESTRA DE LA NOTA DE RESCATE DE ZEON QUE SE EMITIÓ INICIALMENTE.

El ransomware funciona para eliminar todas las copias de datos en una red, y una vez que los archivos están encriptados, la extensión se cambia a “.royal”.

“Royal es un ransomware más nuevo, y se sabe menos sobre el malware y los operadores que sobre otros. Además, en los compromisos anteriores de Royal que han impactado en el sector HPH, parecían estar enfocados principalmente en organizaciones en los Estados Unidos”, dijo HHS. 

“En cada uno de estos hechos, el actor de amenazas ha afirmado haber publicado el 100% de los datos que supuestamente fueron extraídos de la víctima”. 

El aviso señala que el grupo generalmente usa phishing para ingresar a los sistemas antes de comprometer las credenciales y moverse lateralmente dentro de un sistema. También se ha visto al grupo explotando vulnerabilidades que afectan a los servidores VPN y otros productos. 

HHS también hizo referencia a un informe de Microsoft publicado hace dos semanas que encontró que múltiples actores difundían el ransomware Royal. Ese informe encontró que el grupo usó Google Ads en una de sus campañas de ataques, que incluye docenas de bufetes de abogados y empresas en los EE. UU., así como uno de los circuitos de carreras de autos más populares del Reino Unido .

Los investigadores dijeron a fines de octubre que descubrieron una campaña de “publicidad maliciosa” en la que los piratas informáticos, que rastrean como DEV-0569, usaron Google Ads para redirigir a los usuarios a un sitio de descarga con archivos maliciosos. Microsoft dijo que reportó el abuso del sistema de distribución de tráfico a Google. 

“DEV-0569 se basa notablemente en publicidad maliciosa, enlaces de phishing que apuntan a un descargador de malware que se hace pasar por instaladores de software o actualizaciones incrustadas en correos electrónicos no deseados, páginas de foros falsas y comentarios de blogs”, dijeron los investigadores de Microsoft. 

El HHS se hizo eco de esos hallazgos y dijo que se ha visto a la pandilla incrustando enlaces maliciosos en publicidad maliciosa, correos electrónicos de phishing, foros falsos y comentarios de blogs. También han visto al grupo usar el foro de contacto de una organización que puede eludir las protecciones de correo electrónico y colocar archivos de instalación maliciosos en repositorios y sitios de software que parecen legítimos.

El arquitecto senior de seguridad de Recorded Future, Allan Liska, dijo el mes pasado que, si bien el grupo de ransomware Royal es nuevo, parece estar compuesto por piratas informáticos experimentados que anteriormente trabajaron como afiliados para otros grupos de ransomware. 

“Se sabe que usan varios tipos de ransomware y, a diferencia de muchos grupos de ransomware actuales que generan extensiones aleatoriamente para archivos cifrados, usan la extensión .Royal”, explicó. 

“También fueron vistos a principios de este año usando campañas de phishing de devolución de llamada. Si bien este ataque no es nuevo, es poco común para los grupos de ransomware”.

El HHS ha publicado varios informes sobre grupos de ransomware este año, incluidos los grupos de ransomware Cuba , Venus , Lorenz y Hive .

Stephan Chenette, CTO de AttackIQ, señaló que la advertencia llega inmediatamente después de que CommonSpirit Health confirmara que un reciente ataque de ransomware expuso los datos de más de medio millón de pacientes.

Conocer los procedimientos utilizados por el adversario ayuda a informar los programas de seguridad de las organizaciones y ayuda a construir un programa de seguridad más resistente, proactivo, defensivo y receptivo que protege la información del paciente, agregó Chenette.

Fuente: therecord.media