Los ataques de ransomware han alcanzado una escala sin precedentes en el sector de la salud, exponiendo vulnerabilidades que ponen en riesgo a millones de personas. Recientemente, UnitedHealth reveló que 190 millones de estadounidenses tuvieron su información personal y médica robada en el ataque de ransomware a Change Healthcare, casi duplicando la cifra divulgada anteriormente.
Este incidente muestra la profundidad con la que el ransomware puede infiltrarse en sistemas críticos, afectando la confianza de los pacientes y la continuidad del servicio.
Uno de los grupos que ataca este sector es el grupo de ransomware Interlock, conocido por sus ataques sofisticados y dirigidos a hospitales, clínicas y otros proveedores médicos.
El grupo de ransomware Interlock es un actor reciente pero peligroso en el mundo del cibercrimen, conocido por utilizar tácticas de doble extorsión.
Este método implica cifrar los datos de la víctima para interrumpir sus operaciones y amenazar con filtrar información sensible si no se paga el rescate. Su principal motivación es económica, y sus estrategias están diseñadas para maximizar la presión sobre sus objetivos.
✅ Sofisticación: Utiliza técnicas avanzadas como phishing, actualizaciones de software falsas y sitios web maliciosos para obtener acceso inicial.
✅ Persistencia: Se mantiene sin ser detectado por largos períodos, aumentando el daño causado.
✅ Despliegue rápido: Una vez dentro de la red, se mueve lateralmente para robar datos sensibles y preparar el cifrado de los sistemas.
✅ Rescates personalizados: Evalúa el valor de los datos robados para exigir montos que las víctimas sean propensas a pagar.
A finales de 2024, Interlock atacó varias organizaciones de salud en EE. UU., exponiendo datos sensibles de pacientes y causando graves interrupciones. Entre las víctimas se encuentran:
•Brockton Neighborhood Health Center: Atacado en octubre de 2024; el ataque pasó desapercibido casi dos meses.
•Legacy Treatment Services: Detectado a finales de octubre de 2024.
•Drug and Alcohol Treatment Service: Datos comprometidos descubiertos en el mismo período.
El grupo Interlock inicia sus ataques con una técnica engañosa llamada Compromiso por navegación (Drive-by Compromise), explotando a usuarios desprevenidos a través de sitios web de phishing cuidadosamente diseñados.
Interlock compromete sitios web legítimos o registra dominios de phishing que imitan plataformas confiables como portales de noticias o páginas de descargas de software. Estos sitios incluyen enlaces a “actualizaciones” falsas que, al ejecutarse, instalan malware en el dispositivo de la víctima.
Ejemplo: La sandbox de ANY.RUN detectó un dominio vinculado a Interlock, apple-online.shop, diseñado para engañar a los usuarios y hacerles descargar software malicioso.
Una vez dentro, los atacantes despliegan cargas maliciosas disfrazadas de actualizaciones de software legítimas, como instaladores falsos de Chrome, Microsoft Teams o Microsoft Edge. Al ejecutarlas, los usuarios activan herramientas de acceso remoto (RATs), que otorgan a los atacantes el control total del sistema.
Ejemplo: La sandbox de ANY.RUN identificó el ejecutable upd_8816295.exe, mostrando su comportamiento malicioso.
El grupo Interlock usa un Stealer personalizado para recolectar credenciales como nombres de usuario y contraseñas. Este malware almacena los datos en un archivo llamado chrgetpdsi.txt antes de exfiltrarlos.
Una vez dentro de la red, los atacantes utilizan herramientas legítimas como PuTTY, AnyDesk y RDP para moverse entre sistemas y expandir su alcance.
El grupo Interlock utiliza servicios en la nube, como Azure, para extraer datos robados de la organización. La sandbox de ANY.RUN reveló transferencias de datos a servidores controlados por atacantes, como IP 217[.]148.142.19 en el puerto 443.
English
Ransomware attacks have reached an unprecedented scale in the healthcare sector, exposing vulnerabilities that put millions at risk. Recently, UnitedHealth revealed that 190 million Americans had their personal and healthcare data stolen in the Change Healthcare ransomware attack, nearly doubling the previously disclosed total.
This breach highlights how deeply ransomware can infiltrate critical systems, jeopardizing patient trust and care.
One group actively targeting this vulnerable sector is the Interlock ransomware group, known for sophisticated attacks against hospitals, clinics, and medical service providers.
The Interlock ransomware group is a relatively new but dangerous cybercriminal entity, leveraging double extortion tactics.
This approach encrypts victim data to disrupt operations while threatening to leak sensitive information if ransom demands are not met. Their primary motivation is financial, and their strategies are designed to maximize pressure on their targets.
✅ Sophistication: Uses phishing, fake software updates, and malicious websites to gain access.
✅ Persistence: Stays undetected for long periods, amplifying damage.
✅ Rapid Deployment: Moves laterally, stealing data and preparing encryption.
✅ Tailored Ransom Demands: Sets ransom amounts based on stolen data value.
In late 2024, Interlock targeted multiple U.S. healthcare organizations, compromising patient data and disrupting operations. Victims included:
•Brockton Neighborhood Health Center (October 2024, undetected for two months).
•Legacy Treatment Services (Detected in late October 2024).
•Drug and Alcohol Treatment Service (Compromised data uncovered in the same period).
Interlock begins attacks with Drive-by Compromise, deceiving users via phishing sites.
Fake domains (e.g., apple-online.shop) trick users into downloading malware.
Victims unknowingly launch fake updates (e.g., Chrome, MSTeams), activating Remote Access Tools (RATs).
A custom Stealer extracts usernames and passwords, storing them in chrgetpdsi.txt.
Attackers use PuTTY, AnyDesk, and RDP to expand control.
Data is transferred to Azure-based attacker servers (e.g., IP 217[.]148.142.19).
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.