La Oficina Federal de Investigaciones (FBI) de EE. UU., los Departamentos de Seguridad Nacional y Salud y Servicios Humanos (HHS) emitieron una alerta conjunta el miércoles advirtiendo sobre un aumento «inminente» de ransomware y otros ataques cibernéticos contra hospitales y proveedores de atención médica.
«Ciberactores maliciosos están apuntando a la [Healthcare and Public Health] Sector con malware TrickBot, que a menudo conduce a ataques de ransomware, robo de datos y la interrupción de los servicios de atención médica «, dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad en su aviso.
La infame botnet generalmente se propaga a través de correo electrónico no deseado malicioso a destinatarios desprevenidos y puede robar datos financieros y personales y colocar otro software, como ransomware, en sistemas infectados.
Vale la pena señalar que los ciberdelincuentes ya han usado TrickBot contra un importante proveedor de atención médica, Universal Health Services, cuyos sistemas fueron paralizados por el ransomware Ryuk a fines del mes pasado.
TrickBot también ha visto una interrupción severa en su infraestructura en las últimas semanas, con Microsoft organizando un derribo coordinado para hacer que sus servidores de comando y control (C2) sean inaccesibles.
«El desafío aquí se debe a los intentos de derribos, la infraestructura de TrickBot ha cambiado y no tenemos la misma telemetría que teníamos antes», dijo Alex Holden de Hold Security a The New York Times.
Aunque el informe federal no nombra a ningún actor de amenazas, el aviso hace una nota del nuevo marco de puerta trasera Anchor de TrickBot, que se ha portado recientemente a Linux para apuntar a víctimas de más alto perfil.
«Estos ataques a menudo involucraban la exfiltración de datos de redes y dispositivos de punto de venta», dijo CISA. «Como parte del nuevo conjunto de herramientas de Anchor, los desarrolladores de Trickbot crearon Anchor_DNS, una herramienta para enviar y recibir datos de las máquinas de las víctimas utilizando túneles del Sistema de nombres de dominio (DNS)».
Como informó ayer The Hacker News, Anchor_DNS es una puerta trasera que permite que las máquinas de las víctimas se comuniquen con los servidores C2 a través de túneles DNS para evadir los productos de defensa de la red y hacer que sus comunicaciones se mezclen con el tráfico DNS legítimo.
También coincide con la advertencia un informe separado de FireEye, que ha llamado a un grupo de amenazas con motivación financiera llamado «UNC1878» por el despliegue de Ryuk ransomware en una serie de campañas dirigidas contra hospitales, comunidades de jubilados y centros médicos.
Al instar al sector HPH a parchear los sistemas operativos e implementar la segmentación de la red, CISA también recomendó no pagar rescates, y agregó que puede alentar a los malos actores a apuntar a organizaciones adicionales.
«Haga copias de seguridad regulares de los datos, el espacio de aire y proteja con contraseña las copias de seguridad fuera de línea», dijo la agencia. «Implemente un plan de recuperación para mantener y conservar varias copias de datos confidenciales o de propiedad y servidores en una ubicación segura y separada físicamente».