Ataques ransomware apuntan deliberadamente al sector salud en medio de la pandemia

El equipo de seguridad de Microsoft reveló un nuevo ransomware que se implementa en los ataques operados por humanos. Utiliza la «fuerza bruta» contra el servidor de gestión de sistemas de una empresa objetivo, y se ha dirigido principalmente al sector de la salud en medio de la crisis de COVID-19.

Según una serie de tuits publicados por el gigante tecnológico el 27 de mayo, el ataque de ransomware operado por humanos, llamado «PonyFinal», requiere que los piratas informáticos rompan el esquema de seguridad de las redes corporativas para desplegar el ransomware manualmente .

Eso significa que PonyFinal no depende en engañar a los usuarios para que lancen la carga a través de enlaces de phishing o correos electrónicos.

Un ataque de ransomware basado en Java

Pony Final está basado en Java e implementa un Entorno de Ejecución de Java, o JRE. La evidencia encontrada por Microsoft muestra que los atacantes utilizan la información robada del servidor de administración de sistemas para apuntar a los puntos finales donde el JRE ya está instalado.

El informe afirma además que el rescate se entrega a través de un archivo MSI que contiene dos archivos por lotes, incluyendo la carga útil que será activada por el atacante.

Phillip Misner, director de investigación de Protección de Amenazas de Microsoft, aclara que hay otras campañas de ransomware operadas por humanos como Bitpaymer, Ryuk, Revil y Samas. PonyFinal fue detectado por primera vez a principios de abril.

Más de un grupo de atacantes están usando PonyFinal

En el informe se destaca que la autoría no puede atribuirse a un solo grupo de atacantes, ya que varios grupos de piratas informáticos están utilizando esta misma forma de ransomware.

Brett Callow, analista de amenazas en el laboratorio de malware, Emsisoft, proporcionó la siguiente información sobre PonyFinal:

«El ransomware operado por humanos como PonyFinal no es inusual y tampoco lo es su método de distribución que, según Microsoft, es ‘a través de ataques de fuerza bruta contra el servidor de administración de sistemas de una compañía objetivo’. Los ataques a los servidores de Internet no son en absoluto inusuales y representan un porcentaje significativo de los incidentes de ransomware. Pero también son mayormente prevenibles ya que tales ataques normalmente sólo tienen éxito debido a una debilidad o vulnerabilidad de seguridad».

Callow añade que las empresas pueden reducir significativamente la probabilidad de ser atacadas con éxito si se adhieren a las mejores prácticas: utilizar la autenticación multifactorial, aplicar rápidamente los parches y desactivar PowerShell cuando sea posible.

Los últimos ataques con ransomware en medio de la pandemia del coronavirus

Los ataques con ransomware se siguen llevando a cabo en diferentes partes del mundo en medio de la crisis de COVID-19, y muchos se dirigen a las empresas de salud.

Los operadores del ransomware Ryuk continúan atacando los hospitales. El 7 de mayo, los hackers supuestamente infectaron la infraestructura de IT del hospital privado más grande de Europa, Fresenius con sede en Alemania, con un programa de ransomware conocido como Snake.

Cortesía de Felipe Erazo Cointelegraph

Te podría interesar