Considerado el principal auditor de ciberseguridad del mundo, la Agencia de Seguridad de Infraestructura y Ciberseguridad estadounidense, CISA por sus siglas en inglés, junto a la NSA (Agencia de Seguridad Nacional de EE.UU.), el FBI, el Servicio Nacional de Inteligencia de la República de Corea y la Agencia de Seguridad de Defensa de la República de Corea, han lanzado un aviso sobre la ofensiva de hackers de Corea del Norte, que estarían patrocinados por el gobierno de ese país.
La advertencia se basa en la detección de “actividad de ransomware en curso contra Organizaciones del sector de la salud y la salud pública y otras entidades del sector de infraestructura crítica”, emitida dentro de la campaña mundial #StopRansomware.
Según explica el sitio Cyware, los tipos de ataque utilizados por los norcoreanos son los ransomware Maui y H0lyGh0st, desarrollados de forma privada, pero también se ha detectado el uso de herramientas disponibles públicamente para el cifrado, como BitLocker, Deadbolt, ech0raix, GonnaCry, Hidden Tear, Jigsaw, LockBit 2.0, My Little Ransomware, NxRansomware, Ryuk y YourRansom.
El modus operandi descripto en la advertencia de CISA incluye la adquisición de infraestructura que oculte las identidades y operaciones, como cuentas falsas y criptomonedas obtenidas ilegalmente, el uso de servicios VPN para encubrir el origen de ataque, la distribución de archivos troyanos para 'X-Popup', un mensajero de código abierto comúnmente utilizado por los empleados de hospitales pequeños y medianos en Corea del Sur, y la utilización de cuentas de Proton Mail para comunicarse con las víctimas. Una vez concretado el ataque, los ciberdelincuentes exigen el pago en Bitcoins.
“Las agencias autoras desalientan el pago de rescates, ya que hacerlo no garantiza que los archivos y registros se recuperen y pueden presentar riesgos de sanciones”, señala el aviso.
Entre las recomendaciones a los centros de salud que podrían verse afectados, tanto públicos como privados, las agencias ofrecen una lista de sugerencias entre las que se incluye mantener copias de seguridad aisladas, desarrollar un plan de respuesta a incidentes, la aplicación de las actualizaciones de seguridad disponibles en todos los productos de software, el uso de autenticación multifactor (MFA) para la protección de cuentas, monitorear el protocolo de escritorio remoto (RDP) y la supervisión del tráfico de red, entre otras medidas.
Si bien este aviso se centra en una amenaza contra Estados Unidos y Corea del Sur, no son ataques exclusivos contra estos países. Según un informe de la compañía de ciberseguridad Shopos publicado en 2022, los ataques de ransomware a la atención médica casi se duplicaron en los últimos años: el 66% de las organizaciones del sector encuestadas se vieron afectadas por alguna agresión de tipo ransomware en 2021, mientras que el área sanitaria experimentó el mayor aumento en volumen (69 %) y complejidad percibida (67 %) de los ciberataques registrados.