virus
FOTO: PIXABAY Los ciberdelincuentes tienen como objetivo el sector de la salud pública y la salud (HPH) con el fin de infectar los sistemas con el ransomware Ryuk para obtener ganancias financieras  

A través de una investigación de seguridad cibernética en la que trabajaron en conjunto la Agencia de Seguridad de Infraestrcutura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y el Departamento de Salud y Servicios Humanos (HHS), alertaron sobre la nueva tentación de los hackers, las redes de los hospitales.

Los ciberdelincuentes tienen como objetivo el sector de la salud pública y la salud (HPH) con el fin de infectar los sistemas con el ransomware Ryuk para obtener ganancias financieras.

Dichas agencias de seguridad indican que se trata de una amenaza “creciente e inminente de delitos cibernéticos para los hospitales y proveedores de atención médica de EU”.

De igual manera, esta alerta tiene como objetivo de que todos aquellos proveedores de atención médica tomen precauciones oportunas y razonables para proteger sus redes.

Los ciberataques apuntan a ataques de ransomware, robo de datos y la interrupción de los servicios de atención médica; por lo que instan a pensar en inversiones en su ciberseguridad.

La empresa protagonista de la historia de terror cibernética detrás del malware trickbot ha hecho múltiples funcionalidades desde 2016, en donde se aumenta la facilidad, velocidad y rentabilidad de la victimización.

Y es que inició como un troyano bancario, sin embargo, al día de hoy brinda a sus operadores un conjunto completo de herramientas para practicar actividades ilegales, tales como: recolección de credenciales, exfiltración de correo, criptominería, la exfiltración de datos en el punto de venta y el despliegue de ransomware.

Cabe mencionar que a inicios de 2019, el FBI se dio cuenta que Trickbot realizó nuevos módulos bautizados como “Anchor”, los cuales eran usados para ataques a a grandes corporaciones o figuras políticas que consistían en la exfiltración de datos y dispositivos.

Como parte complementaria del nuevo conjunto de herramientas Anchor, crearon anchor_dns, la cual consiste en enviar y recibir datos de las máquinas víctimas mediante la tunelización del Sistema de Nombres de Dominio (DNS).

Las autoridades detallaron que anchor_dns es una puerta trasera que ayuda a que las máquinas de las víctimas se comuniquen con servidores de comando y control a través de DNS, los cuales ayudan a evadir productos de defensa de red y hacer que sus comunicaciones maliciosas se mezclen con el tráfico DNS legítimo.

Resaltaron que anchor_dns utiliza un cifrado XOR de un solo byte para cifrar sus comunicaciones, que se han observado con la clave 0xB9. Una vez descifrada, la cadena anchor_dns se puede encontrar en el tráfico de solicitudes de DNS.

Aquí puedes consultar la investigación completa: https://us-cert.cisa.gov/ncas/alerts/aa20-302a