Esta semana ha transcurrido con tranquilidad, y parece que incluso los posibles actores de amenazas han decidido tomarse un respiro durante las vacaciones. No hemos observado una cantidad significativa de investigaciones publicadas sobre el tema del ransomware en estos días; en su lugar, las noticias se han centrado en nuevos ataques, especialmente aquellos perpetrados por los afiliados de LockBit, quienes están dirigiendo sus ataques cada vez más hacia hospitales.
Entre los incidentes recientes, se destacan los ataques a Yakult Australia y a la Lotería de Ohio, ejecutados mediante una nueva operación de ransomware llamada DragonForce.
Te podrá interesar leer: Yakult Australia reporta brecha de 95GB en incidente Cibernético
Sin embargo, lo que más preocupa es la tendencia creciente de los afiliados de LockBit de atacar hospitales, a pesar de que la propia operación de ransomware asegura que va en contra de sus propias reglas. Un ejemplo de esto ocurrió en diciembre de 2022, justo una semana antes de Navidad, cuando una rama de LockBit llevó a cabo un ataque al Hospital para Niños Enfermos (SickKids) en Toronto, lo que resultó en retrasos en los diagnósticos y tratamientos médicos. Curiosamente, la operación de ransomware emitió un descifrador gratuito en respuesta a este incidente.
No obstante, esta semana se ha informado que LockBit ha perpetrado ataques contra tres hospitales en Alemania, causando interrupciones en los servicios de urgencias.
Además, se ha revelado que dos hospitales de Nueva York están buscando una orden judicial para que la empresa de almacenamiento en la nube Wasabi Technologies, con sede en Boston, devuelva los datos robados que fueron almacenados en uno de sus servidores por la banda de ransomware LockBit. Según los documentos judiciales, el Hospital del Área de Carthage y el Centro Médico Claxton-Hepburn fueron atacados en septiembre, y los atacantes de LockBit utilizaron el servicio de almacenamiento en la nube de Wasabi para guardar los datos robados. En consecuencia, estos hospitales están solicitando a los tribunales que Wasabi les proporcione acceso y elimine los datos de sus servidores. Es importante mencionar que Wasabi ya está colaborando con el FBI y ha compartido una copia de los datos robados con ellos.
Por último, se ha observado que Microsoft ha vuelto a deshabilitar el controlador de protocolo MSIX ms-appinstaller, después de haberlo desactivado previamente en febrero de 2022 y luego haberlo vuelto a habilitar en 2023 por razones desconocidas. Sin embargo, debido al abuso continuo de esta función por parte de las campañas de malware, lo que podría resultar en ataques de ransomware, la función ha sido desactivada nuevamente.
Te podrá interesar leer: Microsoft Refuerza la Seguridad: Respuesta a Ataques de Malware
Yakult Australia confirmó la ocurrencia de un "incidente cibernético" después de la filtración de datos que alcanzó los 95 gigabytes. La compañía, conocida por su producción de bebidas lácteas probióticas, emitió un comunicado para informar que sus sistemas informáticos en Australia y Nueva Zelanda se vieron afectados por este incidente.
Por otro lado, la Lotería de Ohio se vio impactada por un ciberataque en la víspera de Navidad, lo que resultó en el cierre de algunos sistemas internos no especificados. El ataque fue atribuido al ransomware DragonForce.
Además, se confirmó que las interrupciones en los servicios de tres hospitales en Alemania fueron causadas por un ataque de ransomware Lockbit, afectando a la red hospitalaria alemana Katholische Hospitalvereinigung Ostwestfalen (KHO).
En cuanto a la seguridad cibernética, PCrisk identificó una nueva variante del ransomware STOP que utiliza la extensión .cdmx, y otra variante que agrega la extensión .Tisak y despliega una nota de rescate denominada Tisak_Help.txt.
Te podrá interesar: Lotería de Ohio sufre un ciberataque de Ransomware Dragonforce
Microsoft ha tomado la decisión de desactivar nuevamente el controlador de protocolo MSIX ms-appinstaller debido a su abuso por parte de varios grupos de amenazas con motivaciones financieras. Estos grupos han empleado este controlador para propagar malware y comprometer a usuarios de Windows.
Además, se ha identificado un nuevo ransomware llamado "Live Team", el cual agrega la extensión .LIVE a los archivos cifrados y deja una nota de rescate denominada "FILE RECOVERY_ID_[ID de la víctima].txt".
También se ha detectado una nueva variante de ransomware denominada "SNet". Este ransomware añade la extensión .SNet a los archivos cifrados y presenta una nota de rescate llamada "DecryptNote.txt".
Por último, se ha resumido la información sobre un ransomware conocido como "8base", el cual tiene como principal motivación la obtención de beneficios financieros y se cree que está relacionado con el ransomware Phobos. De acuerdo con los datos proporcionados por FortiRecon, el ransomware 8base hizo su primera aparición en mayo de 2023.
Podría interesarte: Detección de Ataques de Ransomware con Wazuh
Dos hospitales sin fines de lucro en Nueva York han presentado una solicitud ante los tribunales en busca de una orden judicial que les permita recuperar los datos que fueron objeto de robo en un ataque de ransomware ocurrido en agosto. Estos datos actualmente se encuentran alojados en los servidores de una empresa de almacenamiento en la nube con sede en Boston.
Te podrá interesar: El auge del Ransomware en Salud: Guía Esencial para Líderes de TI
El reciente aumento en los ataques de ransomware, particularmente por grupos como LockBit, subraya la necesidad de una seguridad cibernética sólida en el sector de la salud. Al adoptar una estrategia proactiva que incluye educación del personal, copias de seguridad regulares, actualizaciones de seguridad, soluciones robustas de seguridad y un plan de respuesta a incidentes, los hospitales pueden mejorar significativamente su resiliencia contra estos ataques devastadores.
La lucha contra el ransomware es un esfuerzo constante que requiere atención y recursos dedicados. Es esencial que las instituciones sanitarias reconozcan la gravedad de esta amenaza y tomen medidas activas para proteger a sus pacientes, su personal y sus datos vitales. En un mundo cada vez más conectado, la seguridad cibernética no es solo una cuestión de protección de datos, sino una necesidad crítica para garantizar la prestación de servicios de salud seguros y confiables.