La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), en conjunto con la Oficina Federal de Investigaciones (FBI) y el Departamento de Salud y Servicios Humanos (HHS), notificaron las tácticas y procedimientos empleados por delincuentes para vulnerar el sector de salud pública e infectar con el ransomware Ryuk para obtener ganancias financieras.
De acuerdo con las agencias federales, están compartiendo información con el sector salud para advertir a los proveedores de atención médica para asegurarse que tomen las precauciones para proteger sus redes e información.
El gobierno estadounidense señaló que este tipo de ataques se ha intensificado durante la emergencia sanitaria por Covid-19, por lo cual los administradores deberán equilibrar el riesgo con inversiones en ciberseguridad.
Desde 2016, la ciberdelincuencia detrás del malware Trickbot siguió desarrollando nuevas funciones y herramientas que aumentan la facilidad, la velocidad y la rentabilidad de la victimización.
La actividad ilícita que desarrolla el malware incluye recolección de credenciales, exfiltración de correo, criptominería, exfiltración de datos en el punto de venta y despliegue de ransomware.
Como parte del nuevo conjunto de herramientas, Anchor, los desarrolladores de TrickBot, crearon anchor_dns, una herramienta para enviar y recibir datos de las máquinas de las víctimas mediante el sistema de nombres de dominio (DNS).
La herramienta anchor_dns es una puerta trasera que permite que las máquinas víctimas se comuniquen con servidores de comando y control (C2) a través de DNS para evadir los productos típicos de defensa de red y hacer que sus comunicaciones maliciosas se mezclen con el tráfico DNS legítimo.
“Antes de iniciar las comunicaciones con el servidor C2, el malware utiliza un marcador de infección que se encuentra en la memoria en ejecución de la máquina víctima”, señaló el gobierno norteamericano.
CISA, FBI y el HHS alentaron a las organizaciones del sector a mantener “planes de continuidad comercial y ejecutar funciones esenciales a través de emergencias para minimizar las interrupciones del servicio”.Las instancias dieron una serie de recomendaciones que incluyen parchado de sistemas operativos, firmware, verificar las configuraciones, cambiar contraseñas, utilizar autenticación multifactor, entre otros.