El FBI y la CISA advierten sobre el ransomware Zeppelin dirigido a la atención médica

En una alerta conjunta emitida el 11 de agosto, la Agencia de Seguridad de Infraestructura y Ciberseguridad de la Oficina Federal de Investigaciones y Seguridad Nacional informó sobre la variedad de ransomware Zeppelin , que ha estado dirigido a organizaciones sanitarias

POR QUÉ ES IMPORTANTE
La alerta describe las tácticas, técnicas y procedimientos (TTP) y los incidentes de consecuencia (IOC) de la variante Zeppelin, y describe recomendaciones para ayudar a hospitales y sistemas de salud a mitigar sus riesgos.

«Zeppelin ransomware es un derivado de la familia de malware Vega basada en Delphi y funciona como ransomware como servicio (RaaS)», dicen los funcionarios federales.

«Desde 2019 hasta al menos junio de 2022, los actores han usado este malware para apuntar a una amplia gama de empresas e infraestructura crítica organizaciones, incluidos contratistas de defensa, instituciones educativas, fabricantes, empresas de tecnología y, especialmente, organizaciones anizaciones en las industrias de la salud y la medicina». millones.

«Los actores obtienen acceso a las redes de las víctimas a través de la explotación de RDP [Protocolo de escritorio remoto], explotando las vulnerabilidades del firewall de SonicWall y campañas de phishing», dijeron el FBI y CISA funcionarios

«Antes de implementar el ransomware Zeppelin, los actores pasan de una a dos semanas mapeando o enumerando la red de la víctima para identificar enclaves de datos, incluido el almacenamiento en la nube y las copias de seguridad de la red, los actores de Zeppelin puede implementar Zeppelin ransomware como un archivo .dll o .exe o contenido dentro de un cargador de PowerShell». vender o publicar en caso de que la víctima se niegue a pagar el rescate», agregaron.

Una vez que se ejecuta la variante, «se agrega un número hexadecimal aleatorio de nueve dígitos a cada archivo cifrado como una extensión de archivo», dijeron. «Se deja un archivo de nota con una nota de rescate en los sistemas comprometidos, con frecuencia en el escritorio».

El FBI dijo que ha visto casos en los que se ejecutó el ransomware Zeppelin » varias veces dentro de la red de una víctima, lo que resulta en la creación de diferentes ID o extensiones de archivo, para cada instancia de un ataque», dijeron los funcionarios. «Esto da como resultado que la víctima necesite varias claves de descifrado únicas».

En un comunicado enviado a Healthcare El investigador de IT News Roger Grimes, evangelista de defensa basada en datos en KnowBe4, señaló que no está claro si «los mismos archivos se cifran accidentalmente varias veces (lo que sería raro , pero no único) o simplemente diferentes archivos cifrados por separado (lo cual es muy común).

«La mayoría de los programas de ransomware hoy en día tienen una clave maestra general que cifra de otras claves que realmente hacen el cifrado «, agregó.» Y cuando la víctima solicita pruebas de que el atacante ransomware tiene claves de descifrado y que el software o proceso de la banda ransomware funcionará si la víctima paga el rescate, el grupo ransomware liberará una sola clave para desbloquear un solo conjunto de archivos como ‘prueba de vida'».

En cuanto a las mitigaciones, los funcionarios del FBI y CISA dijeron que la atención médica y otras organizaciones deberían pasos de sentido común para reducir el riesgo de efectos adversos del ransomware Zeppelin.

Aconsejan implementar un plan de recuperación para mantener y retener múltiples copias de datos y servidores importantes en un lugar físicamente separado, ubicación segmentada y segura; exigir que todas las cuentas con inicios de sesión con contraseña cumplan con los estándares del NIST para desarrollar y administrar políticas de contraseñas; requiriendo credenciales de administrador para instalar software y requiriendo autenticación multifactor «para todos los servicios en la medida de lo posible, particularmente para correo web, redes privadas virtuales y cuentas que acceden a sistemas críticos».

Las agencias también recomiendan deshabilitar la línea de comandos y las actividades y permisos de secuencias de comandos, ya que «la escalada de privilegios y el movimiento lateral a menudo dependen de las utilidades de software que se ejecutan desde la línea de comandos. Si los actores de amenazas no pueden ejecutar estas herramientas, tendrán dificultades para escalar». privilegios y/o moverse lateralmente».

LA TENDENCIA MÁS GRANDE
La alerta llegó el mismo día que el senador Angus King, I-Maine, y el representante Mike Gallagher, R-Wisconsin – ex copresidentes de la Comisión de Solárium del Ciberespacio – enviaron una carta al Secretario de Salud y Servicios Humanos de EE. UU., Xavier Becerra, solicitando una sesión informativa sobre los esfuerzos del HHS para proteger los hospitales y las organizaciones de salud pública iones del ataque cibernético.

«Los ataques de ransomware en el sector HPH se han disparado en los últimos dos años cuando los delincuentes oportunistas reconocieron que los hospitales pueden pagar rápidamente para resolver problemas y proteger al paciente seguridad”, escribieron . «Mientras tanto, los tesoros de información de identificación personal e información de salud personal hacen que las organizaciones en el sector sean objetivos valiosos tanto para los piratas informáticos criminales como de los estados nacionales».

Mientras aplaudía movimientos recientes, como un foro ejecutivo de la Casa Blanca sobre ciberseguridad en el cuidado de la salud, la priorización de la ciberseguridad de dispositivos médicos por parte de la FDA y recursos adicionales para la División de Protección de Infraestructura Crítica del HHS y su Centro de Coordinación de Ciberseguridad del Sector de la Salud, o HC3, King y Gallagher dijeron que tenían preocupaciones sobre una «falta de intercambio sólido y oportuno de información procesable sobre amenazas con socios de la industria y la necesidad de ampliar drásticamente las capacidades y los recursos [del HHS]».

Ellos solicitó una sesión informativa para evaluar las capacidades del departamento como Agencia de Gestión de Riesgos Sectoriales para el sector hospitalario y de salud pública, y para obtener una evaluación de las autoridades actuales que tiene el HHS para mejorar la ciberseguridad en todo el sector, así como como las brechas en esas autoridades y qué más podría ser necesario para garantizar que la agencia tenga el personal, el presupuesto y las herramientas que necesita en esa capacidad.

EN EL REGISTRO En una declaración sobre el nuevo aviso de ransomware Zeppelin, mientras tanto, John Riggi, asesor nacional de seguridad cibernética y riesgo en la Asociación Americana de Hospitales, ofreció la perspectiva de esa organización.

«Parece que esta pandilla está robando y amenazando con divulgar públicamente información confidencial, como información de pacientes, nómina, recursos humanos e información protegida contra la divulgación», dijo Riggi. «Por lo tanto, incluso si una organización víctima puede restaurar de forma independiente los archivos cifrados a partir de una copia de seguridad, se enfrenta al dilema de la posible divulgación pública de la información robada en posesión de los delincuentes.

«La AHA, junto con el gobierno federal, desaconseja enfáticamente el pago de rescates”, agregó. «Esta alerta junto con el #stopransomware integral sitio proporciona una amplia guía sobre cómo proteger sus sistemas contra ransomware y evitar el dilema ético y legal de ‘pagar, no pagar.‘»

Twitter: @MikeMiliardHITN Correo electrónico del escritor: mike.miliard@himssmedia.com Healthcare IT News es una publicación de HIMSS.


Lee mas

Deja un comentario

Tu dirección de correo electrónico no será publicada.