Cómo el ransomware Interlock infecta a las organizaciones de salud

XPoint
Publicado el 30/01/2025

Los ataques de ransomware han alcanzado una escala sin precedentes en el sector de la salud, exponiendo vulnerabilidades que ponen en riesgo a millones de personas. Recientemente, UnitedHealth reveló que 190 millones de estadounidenses tuvieron su información personal y médica robada en el ataque de ransomware a Change Healthcare, casi duplicando la cifra divulgada anteriormente.

Este incidente muestra la profundidad con la que el ransomware puede infiltrarse en sistemas críticos, afectando la confianza de los pacientes y la continuidad del servicio.

Uno de los grupos que ataca este sector es el grupo de ransomware Interlock, conocido por sus ataques sofisticados y dirigidos a hospitales, clínicas y otros proveedores médicos.

 

Grupo de ransomware Interlock: una amenaza activa para la salud

 

El grupo de ransomware Interlock es un actor reciente pero peligroso en el mundo del cibercrimen, conocido por utilizar tácticas de doble extorsión.

Este método implica cifrar los datos de la víctima para interrumpir sus operaciones y amenazar con filtrar información sensible si no se paga el rescate. Su principal motivación es económica, y sus estrategias están diseñadas para maximizar la presión sobre sus objetivos.

 

Características principales

 

Sofisticación: Utiliza técnicas avanzadas como phishing, actualizaciones de software falsas y sitios web maliciosos para obtener acceso inicial.

Persistencia: Se mantiene sin ser detectado por largos períodos, aumentando el daño causado.

Despliegue rápido: Una vez dentro de la red, se mueve lateralmente para robar datos sensibles y preparar el cifrado de los sistemas.

Rescates personalizados: Evalúa el valor de los datos robados para exigir montos que las víctimas sean propensas a pagar.

 

Objetivos recientes del grupo Interlock

 

A finales de 2024, Interlock atacó varias organizaciones de salud en EE. UU., exponiendo datos sensibles de pacientes y causando graves interrupciones. Entre las víctimas se encuentran:

Brockton Neighborhood Health Center: Atacado en octubre de 2024; el ataque pasó desapercibido casi dos meses.

Legacy Treatment Services: Detectado a finales de octubre de 2024.

Drug and Alcohol Treatment Service: Datos comprometidos descubiertos en el mismo período.

 

Cadena de ataque del ransomware Interlock

 

El grupo Interlock inicia sus ataques con una técnica engañosa llamada Compromiso por navegación (Drive-by Compromise), explotando a usuarios desprevenidos a través de sitios web de phishing cuidadosamente diseñados.

 

Fase 1: Acceso inicial

 

Interlock compromete sitios web legítimos o registra dominios de phishing que imitan plataformas confiables como portales de noticias o páginas de descargas de software. Estos sitios incluyen enlaces a “actualizaciones” falsas que, al ejecutarse, instalan malware en el dispositivo de la víctima.

Ejemplo: La sandbox de ANY.RUN detectó un dominio vinculado a Interlock, apple-online.shop, diseñado para engañar a los usuarios y hacerles descargar software malicioso.

 

Fase 2: Ejecución del ransomware

 

Una vez dentro, los atacantes despliegan cargas maliciosas disfrazadas de actualizaciones de software legítimas, como instaladores falsos de Chrome, Microsoft Teams o Microsoft Edge. Al ejecutarlas, los usuarios activan herramientas de acceso remoto (RATs), que otorgan a los atacantes el control total del sistema.

Ejemplo: La sandbox de ANY.RUN identificó el ejecutable upd_8816295.exe, mostrando su comportamiento malicioso.

 

Fase 3: Robo de credenciales

 

El grupo Interlock usa un Stealer personalizado para recolectar credenciales como nombres de usuario y contraseñas. Este malware almacena los datos en un archivo llamado chrgetpdsi.txt antes de exfiltrarlos.

 

Fase 4: Movimiento lateral

 

Una vez dentro de la red, los atacantes utilizan herramientas legítimas como PuTTY, AnyDesk y RDP para moverse entre sistemas y expandir su alcance.

 

Fase 5: Exfiltración de datos

 

El grupo Interlock utiliza servicios en la nube, como Azure, para extraer datos robados de la organización. La sandbox de ANY.RUN reveló transferencias de datos a servidores controlados por atacantes, como IP 217[.]148.142.19 en el puerto 443.

 


 

English

 

How Interlock Ransomware Infects Healthcare Organizations

 

Ransomware attacks have reached an unprecedented scale in the healthcare sector, exposing vulnerabilities that put millions at risk. Recently, UnitedHealth revealed that 190 million Americans had their personal and healthcare data stolen in the Change Healthcare ransomware attack, nearly doubling the previously disclosed total.

This breach highlights how deeply ransomware can infiltrate critical systems, jeopardizing patient trust and care.

One group actively targeting this vulnerable sector is the Interlock ransomware group, known for sophisticated attacks against hospitals, clinics, and medical service providers.

 

Interlock Ransomware Group: An Active Threat to Healthcare

 

The Interlock ransomware group is a relatively new but dangerous cybercriminal entity, leveraging double extortion tactics.

This approach encrypts victim data to disrupt operations while threatening to leak sensitive information if ransom demands are not met. Their primary motivation is financial, and their strategies are designed to maximize pressure on their targets.

 

Key Characteristics

 

Sophistication: Uses phishing, fake software updates, and malicious websites to gain access.

Persistence: Stays undetected for long periods, amplifying damage.

Rapid Deployment: Moves laterally, stealing data and preparing encryption.

Tailored Ransom Demands: Sets ransom amounts based on stolen data value.

 

Recent Interlock Ransomware Targets

 

In late 2024, Interlock targeted multiple U.S. healthcare organizations, compromising patient data and disrupting operations. Victims included:

Brockton Neighborhood Health Center (October 2024, undetected for two months).

Legacy Treatment Services (Detected in late October 2024).

Drug and Alcohol Treatment Service (Compromised data uncovered in the same period).

 

Interlock Ransomware Attack Chain

 

Interlock begins attacks with Drive-by Compromise, deceiving users via phishing sites.

 

Phase 1: Initial Access

 

Fake domains (e.g., apple-online.shop) trick users into downloading malware.

 

Phase 2: Execution

 

Victims unknowingly launch fake updates (e.g., Chrome, MSTeams), activating Remote Access Tools (RATs).

 

Phase 3: Credential Theft

 

A custom Stealer extracts usernames and passwords, storing them in chrgetpdsi.txt.

 

Phase 4: Lateral Movement

 

Attackers use PuTTY, AnyDesk, and RDP to expand control.

 

Phase 5: Data Exfiltration

 

Data is transferred to Azure-based attacker servers (e.g., IP 217[.]148.142.19).

 

 

Preguntas frecuentes

¿Para que sirve el Pentesting?

+

El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos