Los ataques de ransomware han pillado una escalera sin precedentes en el sector de la sanidad, exponiendo vulnerabilidades que ponen en peligro a millones. Recientemente, UnitedHealth reveló que 190 millones de estadounidenses tenían sus datos personales y de sanidad robados durante el cambio de ransomware de sanidad, una signo que casi duplica el total revelado previamente.
Esta violación muestra cuán profundamente el ransomware puede infiltrarse en sistemas críticos, dejando la confianza del paciente y la atención en el inmovilidad.
Uno de los grupos que se dirige a este sector ya frágil es el género de ransomware entrelazado. Conocidos por sus ataques calculados y sofisticados, se centran en hospitales, clínicas y otros proveedores de servicios médicos.
Liga de ransomware de enclavamiento: una amenaza activa para la atención médica
El género de ransomware entrelazado es un ludópata relativamente nuevo pero peligroso en el mundo del delito cibernético, conocido por invertir tácticas de doble extensión.
Este método implica encriptar los datos de una víctima para interrumpir las operaciones y amenaza con filtrar información confidencial si no se cumplen las demandas de rescate. Su principal motivación es la rendimiento financiera, y sus métodos se adaptan a maximizar la presión sobre sus objetivos.
Características notables
- Sofisticación: El género utiliza técnicas avanzadas como phishing, actualizaciones de software falsas y sitios web maliciosos para obtener paso auténtico.
- Persistencia: Su capacidad de permanecer sin ser detectada durante largos períodos amplifica el daño que pueden causar.
- Despliegue rápido: Una vez internamente de una red, se mueven rápidamente lateralmente, robando datos confidenciales y preparando sistemas para el secreto.
- Demandas de rescate a medida: El género evalúa cuidadosamente el valía de los datos robados para establecer los montos de rescate que las víctimas probablemente pagarán.
Objetivos recientes del Liga de Ransomware de Interlock
A finales de 2024, el enclavamiento se dirigió a múltiples organizaciones de atención médica en los Estados Unidos, exponiendo la información confidencial del paciente e interrumpir gravemente las operaciones. Las víctimas incluyen:
- Centro de sanidad del vecindario de Brockton: Irumitó en octubre de 2024, con el ataque permaneciendo sin ser detectado durante casi dos meses.
- Servicios de tratamiento heredado: Detectado a fines de octubre de 2024.
- Servicio de tratamiento de drogas y vino: Datos comprometidos descubiertos en el mismo período.
Sujeción de ataque de género de ransomware entrelazado
El género de ransomware entrelazado comienza su ataque con un método clave y muy engañoso conocido como compromiso de manejo. Esta técnica permite al género obtener paso auténtico a sistemas específicos al explotar a los usuarios desprevenidos, a menudo a través de sitios web de phishing cuidadosamente diseñados.
Ataque auténtico del ransomware
El ataque comienza cuando el género de enclavamiento compromete un sitio web seguro existente o registra un nuevo dominio de phishing. Estos sitios están cuidadosamente diseñados para parecer confiables, imitando plataformas creíbles como portales de parte o páginas de descarga de software. Los sitios a menudo contienen enlaces para descargar actualizaciones o herramientas falsas, que, cuando se ejecutan, infectan el dispositivo del agraciado con software astuto.
Ejemplo: Any. La caja de arena interactiva de Any.Run detectó un dominio impresionado como parte de la actividad de Interlock, Apple-Online.shop. Este final fue diseñado para engañar a los usuarios en la descarga de malware disfrazado de software seguro.
Esta táctica evita efectivamente la capa auténtico de sospecha del agraciado, pero con la detección y el disección temprano, los equipos de SOC pueden identificar rápidamente dominios maliciosos, cerrar el paso y objetar más rápido a las amenazas emergentes, reduciendo el impacto potencial en las operaciones comerciales.
Ver sesión de disección
 |
| Apple-Online.Shop impresionado como parte de la actividad de Interlock internamente de Any. |
Equipe a tu equipo con las herramientas para combatir las amenazas cibernéticas.
Obtenga una prueba gratuita de 14 días y analice amenazas ilimitadas con cualquiera.
Ejecución: cómo el enclavamiento apetencia el control
Una vez que el género de ransomware entrelazado infringe las defensas iniciales, comienza la grado de ejecución. En esta etapa, los atacantes implementan cargas bártulos maliciosas o ejecutan comandos dañinos en dispositivos comprometidos, preparando el decorado para el control total sobre la red de la víctima.
El ransomware entrelazado a menudo disfraza sus herramientas maliciosas como actualizaciones de software legítimas para engañar a los usuarios. Las víctimas lanzan sin saberlo actualizadores falsos, como los que imitan a los instaladores de Chrome, Msteams o Microsoft Edge, pensando que están realizando un mantenimiento de rutina. En su puesto, estas descargas activan herramientas de paso remoto (ratas), que otorgan a los atacantes el paso completo al sistema infectado.
Internamente de Any. upd_8816295.exese identifica claramente internamente del árbol de proceso en el flanco derecho, mostrando su comportamiento astuto y flujo de ejecución.
 |
| Actualizador espurio analizado internamente de cualquiera. |
Al hacer clic en el gema Malconf en el flanco derecho de cualquiera.
Los analistas reciben datos detallados en un formato claro y dócil de usar, ayudando a las empresas a mejorar sus flujos de trabajo de respuesta a amenazas, resumir el tiempo de disección y ganar resultados más rápidos y efectivos al pelear contra las amenazas cibernéticas.
 |
| Descifrado URL astuto internamente de cualquiera. |
Paso sensible comprometiendo
El subsiguiente paso del ataque es robar credenciales de paso. Estas credenciales otorgan a los atacantes la capacidad de moverse lateralmente internamente de la red y explotar aún más la infraestructura de la víctima.
El género de ransomware entrelazado utilizó una aparejo de robador personalizado para cosechar datos confidenciales, incluidos nombres de agraciado, contraseñas y otras credenciales de autenticación. Según los informes, esta información robada se almacenó en un archivo llamado “Chrgetpdsi.txt”, que sirvió como punto de casa recoleta ayer de la exfiltración.
Usando cualquier aparejo de búsqueda TI de RUN, descubrimos que este robador fue detectado en la plataforma ya en agosto de 2024.
 |
| Robador de enclavamiento detectado por cualquiera. |
Movimiento vecino: expandir el punto de apoyo
Durante el Grado de movimiento vecinolos atacantes se extienden por la red para obtener a sistemas y fortuna adicionales. El género de ransomware de enclavamiento se basó en herramientas de dependencia remota legítimas como Masilla, Anydesky RDPa menudo utilizado por los equipos de TI pero reutilizados para actividades maliciosas.
 |
| Masilla detectada internamente de cualquiera. |
Exfiltración de datos: extraer información robada
En esta etapa final, los atacantes exfiltran los datos robados de la red de la víctima, a menudo utilizando servicios de almacenamiento en la cirro. El género de ransomware entrelazado, por ejemplo, aprovechó el almacenamiento de la cirro Azure para transferir datos fuera de la estructura.
Internamente de Any.
Por ejemplo, aquí los registros revelaron que la información se transmitía a IP 217 (.) 148.142.19 encima puerto 443 durante un ataque de enclavamiento.
 |
| Datos enviados por la rata a servidores controlados por los atacantes revelados por cualquiera. |
Protección proactiva contra el ransomware en la atención médica
El sector de la sanidad es un objetivo principal para los grupos de ransomware como el enclavamiento, con ataques que ponen en peligro los datos confidenciales de los pacientes, interrumpen los servicios críticos y ponen en peligro vidas. Las organizaciones de atención médica deben mantenerse cautelosas y priorizar las medidas de ciberseguridad para proteger sus sistemas y datos.
La detección temprana es la esencia para minimizar el daño. Herramientas como cualquiera.
Con la capacidad de analizar de forma segura archivos sospechosos, descubrir indicadores ocultos de compromiso (COI) y monitorear la actividad de la red, cualquiera. Run ofrece a las organizaciones el poder de pelear contra las amenazas avanzadas.
Comience su prueba de 14 días injustificado.
