TWCERT/CC es una organización que se encarga de recopilar información externa y recientemente ha detectado que el grupo de hackers Hunter Ransom Group ha lanzado ataques de ransomware dirigidos a instituciones médicas. Según la información recopilada, las principales técnicas de ataque utilizadas por este grupo incluyen la infiltración en la red interna de la empresa, el uso de técnicas como SharpGPOAbuse y BYOVD (Bring-Your-Own-Vulnerable-Driver) para aumentar los privilegios de las cuentas y evadir la detección y protección de los antivirus tradicionales. Una vez dentro de la red, los hackers se mueven lateralmente y cifran los archivos del sistema en otros equipos.
Hasta el momento, se ha confirmado que las instituciones médicas atacadas han sido infiltradas a través de la red interna y luego han sido atacadas en sus servidores de Active Directory (AD). Una vez que obtienen acceso, los hackers distribuyen malware en otros equipos. Algunos de los nombres de los archivos maliciosos identificados son: av-1m.exe, av.exe, bb.exe, crazyhunter.exe, crazyhunter.sys, go.exe, go2.exe, go3.exe, ru.bat, ta.bat, zam64.sys, zam64.sys, y crazeHunter.zip.
Para protegerse de este tipo de ataques de ransomware, se recomienda seguir las siguientes medidas de seguridad:
1. Verificar los valores hash de los archivos y revisar si hay archivos sospechosos en el sistema.
2. Controlar estrictamente los permisos de las carpetas compartidas.
3. Utilizar mecanismos de protección contra intrusiones en la red, segmentar diferentes segmentos de red para aislarlos y reducir el alcance de los posibles daños.
4. Utilizar software antivirus para proteger el sistema y asegurarse de que las medidas de seguridad estén activas y actualizadas regularmente.
5. Aumentar la conciencia de seguridad y no abrir enlaces sospechosos, correos electrónicos de origen desconocido o archivos. Siempre realizar un escaneo de seguridad antes de abrir o ejecutar cualquier archivo y descargar e instalar software solo de fuentes confiables.
6. Instalar un sistema de detección y respuesta en los puntos finales (EDR, por sus siglas en inglés) en los servidores principales para detectar y responder a actividades sospechosas en tiempo real.
7. Realizar copias de seguridad periódicas de los archivos y seguir la regla de 3-2-1: tener al menos 3 copias de seguridad, en 2 medios diferentes y almacenar 1 de ellas en un lugar remoto.
Es importante tomar medidas preventivas para protegerse de los ataques de ransomware, ya que pueden causar graves daños y pérdidas de datos. Mantenerse informado y seguir las recomendaciones de seguridad de TWCERT/CC puede ayudar a prevenir y mitigar estos ataques. Recuerde siempre mantener una actitud positiva y estar preparado para enfrentar cualquier situación de seguridad cibernética. ¡Juntos podemos mantener nuestros sistemas seguros y protegidos!