Los atacantes cibernéticos patrocinados por Corea del Norte se han dirigido al sector de la salud con ransomware paralizante, advirtieron funcionarios de seguridad nacional de EE. UU.
Los atacantes cibernéticos se han dirigido a organizaciones de atención médica desde al menos mayo de 2021 utilizando el ransomware Maui, según un aviso conjunto del FBI, el Tesoro y la Agencia de Seguridad de Infraestructura y Ciberseguridad.
“Los ciberactores patrocinados por el estado de Corea del Norte utilizaron el ransomware Maui en estos incidentes para cifrar los servidores responsables de los servicios de atención médica, incluidos los servicios de registros médicos electrónicos, los servicios de diagnóstico, los servicios de imágenes y los servicios de intranet”, dijeron las agencias. “En algunos casos, estos incidentes interrumpieron los servicios proporcionados por el objetivo [healthcare and public health] Organizaciones del sector por períodos prolongados «.
Las agencias desconocían los puntos de acceso iniciales que los ciberatacantes utilizaron en los ataques.
La empresa de seguridad cibernética Stairwell investigó el ransomware de Maui en junio y dijo que descubrió que, a diferencia de otros servicios de ransomware, Maui no incluye una nota de rescate integrada con instrucciones sobre cómo las víctimas pueden recuperar los sistemas de los extorsionadores.
El informe de amenazas del ingeniero inverso principal de Stairwell, Silas Cutler, en Maui dijo que el ransomware parecía operarse manualmente para especificar qué archivos cifrar en un ataque, mientras que otros atacantes de ransomware pueden usar medios automatizados.
VEA TAMBIÉN: Corea del Norte aumentó los intentos de piratería en 2021: Informe
El vicepresidente de inteligencia de Mandiant, John Hultquist, dijo que su equipo detectó que los atacantes cibernéticos de Corea del Norte cambiaban de objetivo de las organizaciones de atención médica a las organizaciones diplomáticas y militares tradicionales, pero el sector de la atención médica sigue siendo extremadamente vulnerable a la extorsión.
“Los ataques de ransomware contra la atención médica son un desarrollo interesante, a la luz del enfoque que estos actores han puesto en este sector desde la aparición de COVID-19”, dijo Hultquist en un comunicado. “No es inusual que un actor monetice el acceso que puede haber sido obtenido inicialmente como parte de una campaña de espionaje cibernético”.
La nueva alerta de la administración Biden se produce después de un aviso en mayo que decía que Corea del Norte envió trabajadores para infiltrarse en el sector tecnológico para beneficiar los programas de armas y misiles del país autoritario.
Esa alerta señaló que si bien los trabajadores de TI normalmente se dedican al trabajo de tecnología de la información de rutina, también «han utilizado el acceso privilegiado obtenido como contratistas para permitir [Democratic People’s Republic of Korea’s] intrusiones cibernéticas maliciosas”.
No se sabe por completo si existe una conexión entre la advertencia sobre los infiltrados de Corea del Norte y los ataques cibernéticos en el sector de la salud. El analista de amenazas de Emsisoft, Brett Callow, dijo que es posible una conexión.
“Si bien no estoy al tanto de ninguna evidencia [directly] vincular a los trabajadores de TI de la RPDC con los ataques de ransomware es ciertamente algo que podría haber sucedido”, dijo Callow en un correo electrónico a The Washington Times. «Dependiendo de su función, podrían tener el acceso necesario para implementar ransomware o ayudar a los actores maliciosos a obtener acceso a la red de sus empleadores».
VEA TAMBIÉN: Los piratas informáticos patrocinados por China comprometen seis redes del gobierno estatal de EE. UU., dice una firma de seguridad cibernética