Gestión de fraudes y delitos cibernéticos, atención médica, un grupo específico de la industria afirma que un centro quirúrgico de Nueva York y un centro médico de Nevada están entre las víctimas recientes Marianne Kolbasuk McGee (HealthInfoSec) • 22 de agosto de 2024 El grupo de ransomware Everest, que habla ruso, está apuntando a entidades del sector de la salud con ransomware y ataques de robo de datos, advierten los funcionarios estadounidenses. Un grupo de ransomware de habla rusa relativamente nuevo está buscando objetivos en el sector de la salud y afirma haber robado información confidencial de pacientes en ataques recientes a al menos dos proveedores de atención médica en Nueva York y Nevada. Ver también: Ataque de ransomware del NHS: las infraestructuras de la industria de la salud son fundamentales El grupo de ransomware Everest ha estado activo desde 2020, participando en operaciones de extorsión de datos y ransomware, junto con la actividad inicial de intermediarios de acceso, dijo el Centro de Coordinación de Ciberseguridad del Sector de la Salud del Departamento de Salud y Servicios Humanos de EE. UU. en un aviso del martes. “El grupo ha atacado cada vez más a la industria de la salud desde 2021 y se atribuyó la responsabilidad de un incidente reciente que afectó a un centro quirúrgico en los Estados Unidos”, dice el aviso. Parece que, desde abril de 2021 hasta julio de 2024, Everest ha atacado al menos a 20 entidades del sector de la salud. Everest enumera en su sitio de filtraciones de la dark web una variedad de víctimas recientes, incluido Gramercy Surgery Center. Afirma tener 450 gigabytes de datos que supuestamente exfiltró del consultorio con sede en Nueva York, incluida información personal y médica perteneciente a sus pacientes y médicos. Gramercy, en un aviso publicado en su sitio web, dijo que el 18 de junio se enteró de que podría haber sido víctima de un ciberataque. El 28 de junio, Gramercy determinó que ciertos documentos robados dentro de su entorno de TI “fueron copiados o vistos en el sistema como parte del incidente entre el 14 y el 17 de junio”. Gramercy informó el incidente de piratería a los reguladores federales el 9 de agosto como una violación de la HIPAA que afectó a casi 51.000 personas. Everest también incluye en su sitio de filtración de datos al Centro Médico Horizon View con sede en Nevada y afirma haber robado información de registros médicos, incluidos resultados de pruebas y otros datos confidenciales de pacientes. Hasta el jueves, Horizon View no parecía tener un aviso publicado en su sitio web sobre el supuesto incidente, y no respondió de inmediato a la solicitud de comentarios de Information Security Media Group sobre las afirmaciones de Everest. Basándose en la alerta HC3 del HHS, la Asociación Estadounidense de Hospitales emitió el miércoles una advertencia a los hospitales sobre las amenazas de Everest. «Otro grupo de ransomware de habla rusa apunta a la atención médica estadounidense», dijo John Riggi, asesor nacional de AHA para ciberseguridad y riesgo, en la alerta. «Everest parece haberse transformado en lo que se conoce como un ‘agente de acceso inicial’, lo que significa que su papel en la economía subterránea de ransomware rusa es facilitar los ataques de ransomware obteniendo inicialmente acceso no autorizado a una organización víctima a través de medios como el robo de credenciales». Everest vende el acceso no autorizado a otros cibercriminales, que realizan ataques de ransomware, dijo Riggi. “Everest, al igual que otras bandas, utiliza herramientas legítimas de simulación de amenazas de ciberseguridad como Cobalt Strike para facilitar sus ataques”. Everest fue observado por primera vez actuando como un corredor de acceso inicial alrededor de noviembre de 2021, dijo HHS. “La cepa de ransomware se ha vinculado anteriormente a la familia EverBe 2.0 y, según un análisis más reciente de su ransomware, los investigadores también han vinculado a Everest con el grupo de ransomware BlackByte con sede en Rusia”. El grupo utiliza cuentas de usuario comprometidas y un protocolo de escritorio remoto para moverse lateralmente a través de las redes de las víctimas. “Al explotar credenciales débiles o robadas, pueden acceder a múltiples sistemas dentro de una organización objetivo. Everest utiliza herramientas como ProcDump para crear copias del proceso LSASS, lo que les permite extraer credenciales adicionales”. La AHA y HC3 recomendaron que los hospitales y otras organizaciones de atención médica configuren herramientas de monitoreo de red para alertar sobre las activaciones de Cobalt Strike. También recomendó revisar los controladores de dominio, servidores, estaciones de trabajo y directorios activos en busca de cuentas de usuario nuevas o no reconocidas; realizar copias de seguridad de datos con regularidad; hacer copias de datos con espacio de aire; y copias de seguridad protegidas con contraseña fuera de línea. Además de la atención sanitaria, Everest también ha atacado a organizaciones de construcción e ingeniería, servicios financieros, servicios legales y profesionales, fabricación y gobierno. URL de la publicación original: https://www.databreachtoday.com/us-authorities-warn-health-sector-everest-gang-threats-a-26119