Microsoft advierte a los hospitales sobre inminentes ataques de ransomware

Microsoft envió esta semana advertencias dirigidas a docenas de hospitales que cree que son vulnerables a los ataques inminentes de ransomware.

El 1 de abril, el Equipo de Inteligencia de Protección contra Amenazas de Microsoft publicó el blog titulado Microsoft trabaja con organizaciones de atención médica para protegerse del ransomware popular durante la crisis COVID-19: esto es lo que se debe hacer, donde se establece que las fuentes de inteligencia de amenazas de Microsoft "identificaron varias docenas de hospitales con gateways y dispositivos VPN vulnerables en su infraestructura".

Microsoft dijo que envió "una notificación dirigida por primera vez en su tipo" a los hospitales sobre sus vulnerabilidades en los gateways y despliegues de redes privadas virtuales (VPN), advirtiéndoles que los actores de amenazas de ransomware actualmente están escaneando internet en busca de tales vulnerabilidades.

Si bien ha habido un aumento en los ataques de ingeniería social en medio de la pandemia de COVID-19, Microsoft dijo que ha visto evidencia de una actividad de amenaza más sofisticada y peligrosa, que podría poner en peligro a hospitales y organizaciones de atención médica en un momento crítico.

"No solo estamos viendo un aumento en los correos electrónicos de señuelo de malware o phishing típicos con temática del COVID, sino también un aumento en el intento de compromiso de servicios legítimos, tales como proveedores de atención médica y tecnología. Los atacantes se hacen pasar por entidades de confianza que utilizan sus servicios para llegar a los usuarios. Algunos de ellos son operaciones más sofisticadas que suplantan a una persona u organización durante varios días, fingiendo que están en necesidad", dijo un portavoz de Microsoft. "Hemos visto a atacantes con muchas motivaciones utilizar estas vulnerabilidades de estilo ransomware operadas por humanos, incluso para atacar hospitales".

Según el blog de Microsoft Threat Protection Intelligence titulado Ataques de ransomware operados por humanos: un desastre evitable, se sabe que este tipo de ataques "aprovechan las debilidades de configuración de la red y los servicios vulnerables para desplegar cargas devastadoras de ransomware".

"En estos ataques manuales con teclado, que son diferentes del ransomware de propagación automática como WannaCry o NotPetya, los adversarios emplean el robo de credenciales y los métodos de movimiento lateral tradicionalmente asociados con ataques dirigidos como los de los actores del estado-nación. Exhiben un amplio conocimiento de la administración de sistemas y las configuraciones erróneas comunes de seguridad de la red, realizan un reconocimiento completo y se adaptan a lo que descubren en una red comprometida", se lee en la publicación del blog.

Un adversario conocido por explotar las vulnerabilidades de gateways y VPN es el grupo de ransomware, REvil, también conocido como Sodinokibi. Microsoft ha estado siguiendo al grupo como parte de un monitoreo más amplio de los ataques de ransomware operados por humanos.

"A medida que las organizaciones se han trasladado al trabajo remoto debido a la pandemia, vemos las señales de los Servicios de Protección contra Amenazas de Microsoft (Microsoft Defender ATP, Office 365 ATP y Azure ATP) las cuales indican que los atacantes detrás del ransomware REvil están buscando activamente en Internet sistemas vulnerables", escribió el equipo de protección contra amenazas de Microsoft en el blog. "Nuestra información sobre las campañas de ransomware muestra una superposición entre la infraestructura de malware que REvil observó usando el año pasado y la infraestructura utilizada en ataques VPN más recientes. Esto indica una tendencia continua entre los atacantes de reutilizar viejas tácticas, técnicas y procedimientos para nuevos ataques que toman ventaja de la crisis actual".

Según el blog, una vez que REvil tiene éxito con una explotación, "los atacantes roban credenciales, elevan sus privilegios y se mueven lateralmente a través de redes comprometidas para garantizar la persistencia antes de instalar ransomware u otras cargas útiles de malware".

El analista de amenazas de Emsisoft, Brett Callow, proporcionó a SearchSecurity información que mostraba que una organización de atención médica fue atacada recientemente por REvil; varios grupos de ransomware se comprometieron recientemente a no atacar las instalaciones médicas y de salud durante la pandemia, aunque REvil no fue uno de esos grupos.

REvil emplea métodos de ataque operados por humanos para apuntar a las organizaciones que son más vulnerables a la interrupción, aquellas que no han tenido el tiempo o los recursos para instalar los últimos parches o actualizar los firewalls, según Microsoft.

Los atacantes pueden permanecer sin ser detectados en las redes, a veces durante meses.

"Recomendamos a los hospitales que prioricen parchear cualquier vulnerabilidad abierta de VPN y gateway, ya que los atacantes se aprovechan activamente de ellas mientras las personas trabajan y acceden a la información de forma remota", dijo un portavoz de Microsoft.

Desde el lanzamiento del blog el 1 de abril, Microsoft dijo que ha recibido respuestas de algunas organizaciones de atención médica que solicitan información y recursos adicionales.