El auge de la nueva versión del Ransomware Knight en los hospitales

Image in image block

El mundo está alarmado por una serie de ataques de ransomware llevados a cabo por Ransomhub. Sólo en abril, hubo 26 informes de ataques a hospitales y otras organizaciones, como la casa de subastas Christie's. Los hospitales londinenses tuvieron que detener las transfusiones de sangre y las cirugías debido a estos ataques.

¿Qué es Ransomhub? Se trata de una versión actualizada del programa ransomware Knight. A principios de 2024, el código fuente de Knight se puso a la venta en la web oscura. El nuevo propietario(o posiblemente el mismo) ha mejorado el programa y ahora lo ofrece como Ransomware-as-a-Service (RaaS). Este servicio atrae activamente a afiliados. Muchos antiguos usuarios de Lockbit se están pasando a Ransomhub porque el funcionamiento de Lockbit se ha visto recientemente muy afectado por la aplicación de la ley. La persona detrás de Lockbit sigue en libertad y activa.

El sector sanitario bajo fuego

En el pasado, varias operaciones de RaaS declararon que los ataques al sector sanitario eran inaceptables, especialmente durante la pandemia. Sin embargo, recientemente, Ransomhub ha dirigido sus ataques contra instituciones sanitarias y sus proveedores.

Doble extorsión: Además del modelo de negocio tradicional del Ransomware, en el que se pide un rescate para restaurar el acceso a los datos cifrados, los delincuentes utilizan ahora también el método de la "doble extorsión". Primero roban los datos y luego amenazan con venderlos o divulgarlos públicamente.

Másrápido que antes: El rápido crecimiento y desarrollo de este nuevo servicio RaaS sugiere que Ransomhub desempeñará un papel importante en el mundo de la ciberdelincuencia. Esto es preocupante porque el tiempo entre el initial access y el despliegue del Ransomware es cada vez más corto.

Lainvestigación de muestra que desde 2023, el ransomware se ha desplegado en más de la mitad de los casos en el plazo de una semana. En un tercio de los casos, ocurre en menos de 48 horas. La mayoría del ransomware se activa fuera del horario laboral, a menudo a primera hora de la mañana.

Métodos utilizados

Como es habitual en los ataques de Ransomware, el initial access suele producirse a través de credenciales obtenidas mediante phishing o spearphishing. Por lo tanto, es esencial que su organización se centre continuamente en la awareness de ciberseguridad de sus empleados, por ejemplo, a través del programa SAFE.

Los piratas informáticos instalan malware y, cada vez más, también software de acceso remoto. Piense en programas como TeamViewer, VNC, Atera y Splashtop. También suelen explotar vulnerabilidades conocidas de la red interna.

¿Qué vulnerabilidades conocidas?

Nunca podremos saber con exactitud qué es lo que intentan los afiliados al ransomware. Pero basándonos en nuestra investigación, podemos indicar qué es lo que falla con regularidad en la ciberseguridad en la sanidad. Los propios atacantes a veces dan consejos, como se ve en la siguiente imagen.

Image in image block

Ejemplo de mensaje de los atacantes

Los piratas informáticos suelen acceder primero a un único sistema o cuenta de la red interna. Posteriormente, los intrusos acceden a otros sistemas y cuentas de la red mediante, por ejemplo, exploits:

  • Contraseñas débiles y falta de autenticación multifactor.
  • Las llamadas "sesiones nulas" que a veces permiten los sistemas de la red, permitiendo un acceso limitado al contenido del sistema sin credenciales de inicio de sesión.
  • El llamado ataque de "retransmisión NTLM", en el que los intentos legítimos de inicio de sesión pueden ser explotados por un atacante para obtener acceso a otros sistemas.
  • Puertos y servicios de red que sólo son necesarios para los administradores, pero que a menudo también están disponibles o son utilizables por empleados no administrativos.
  • Sistemas de la red interna que no están actualizados y que contienen vulnerabilidades críticas conocidas que pueden ser explotadas, como zerologon.

Siguiente paso: Obtener los máximos privilegios

Una vez que se ha ampliado el acceso a la red, a menudo es posible obtener amplios privilegios o incluso los más altos dentro del entorno mediante ataques como:

  • Explotación de una configuración errónea en Active Directory (las llamadas plantillas ADCS que son estándar en un entorno AD), lo que permite al atacante obtener inmediatamente los privilegios más altos en el entorno.
  • Obtención de cuentas de altos privilegios mediante ataques de kerberoasting, permitiendo al atacante recuperar la contraseña de la respectiva cuenta de altos privilegios.
  • Lectura de contraseñas o hashes de contraseñas de la memoria de un ordenador con derechos administrativos mediante el volcado de credenciales de usuarios que hayan iniciado sesión recientemente. En los sistemas de servidor, esto suele dar como resultado cuentas de administrador con privilegios elevados, ya que son las únicas cuentas que inician sesión en dichos sistemas.

Recomendamos que las organizaciones sanitarias presten especial atención a las cuestiones anteriores para mantener a raya a los actores maliciosos a corto plazo.

¿En qué puede ayudarle Secura?

Bureau Veritas Cybersecurity utiliza un enfoque basado en los riesgos para evaluar el grado de vulnerabilidad de su organización a los ataques de ransomware: la Evaluación de Resiliencia ante Ransomware. Basándonos en los riesgos identificados y clasificados, proporcionamos asesoramiento procesable para mejorar su ciberresiliencia.

Obtenga más información sobre nuestra Evaluación de Resiliencia ante Ransomware aquí

TAMBIÉN DE SU INTERÉS

Monitorización de la Dark Web

Dark Web Monitoring

Detección de credenciales de inicio de sesión robadas, que pueden facilitar el initial access a la red de la organización afectada.

Programas de awareness/phishing

Phishing Awareness Program Secura

Formar a los empleados utilizando un método científicamente probado dirigido no sólo a aumentar la awareness, sino a provocar un cambio de comportamiento.

Prueba de penetración interna

Why you need more than a classical pentest External Attack Surface Management

Si aún así alguien consigue entrar, ¿qué es posible y dónde están los puntos débiles? Esta investigación pone a prueba, entre otras cosas, las conclusiones críticas de este artículo.

Más información

¿Desea más información sobre cómo aumentar la resistencia contra el ransomware? Rellene el formulario y nos pondremos en contacto con usted en el plazo de un día laborable.

USP

¿Por qué elegir la ciberseguridad de Bureau Veritas?

Bureau Veritas Cybersecurity es su socio experto en ciberseguridad. Ayudamos a las organizaciones a identificar riesgos, reforzar sus defensas y cumplir con las normas y regulaciones de ciberseguridad. Nuestros servicios abarcan personas, procesos y tecnología, desde la formación en materia de concienciación y la ingeniería social hasta el asesoramiento en seguridad, el cumplimiento normativo y las pruebas de penetración.

Operamos en entornos de TI, TO e IoT, y damos soporte tanto a sistemas digitales como a productos conectados. Con más de 300 profesionales de la ciberseguridad en todo el mundo, combinamos una profunda experiencia técnica con una presencia global. Bureau Veritas Cybersecurity forma parte del Bureau Veritas Group, líder mundial en pruebas, inspección y certificación.