El Centro de Ciberseguridad y Coordinación del Sector Salud (HC3) emitió una nueva alerta de ransomware para el sector de la salud y la salud pública (HPH) luego de una serie de ataques contra el sector HPH en abril por parte de los grupos de ransomware Clop y LockBit.
HC3 ha emitido múltiples advertencias sobre los grupos de ransomware como servicio Clop y LockBit que han llevado a cabo muchos ataques en el sector de la salud. Clop estuvo detrás del ataque de enero/febrero de 2023 a la solución GoAnywhere Fortra MFT y del ataque de 2022 a la aplicación de transferencia de archivos (FTA) Accellion, ambos explotando vulnerabilidades de día cero en la solución. La última advertencia sobre LockBit se emitió en diciembre de 2022 tras varios ataques a organizaciones del sector HPH.
El grupo Clop explotó la vulnerabilidad GoAnywhere MFT (CVE-2023-0669) y robó datos de alrededor de 130 organizaciones, y se ha observado que ambos grupos explotan otras dos vulnerabilidades recientemente reveladas: CVE-2023-27350 y CVE-2023-27351, a saber, el Vulnerabilidad de omisión de autenticación en el software de gestión de impresión ampliamente utilizado PaperCut MF/NG. Los desarrolladores revelaron ambas vulnerabilidades el 19 de abril de 2023 y se corrigieron en las versiones 20.1.7, 21.2.11 y 22.0.9 de PaperCut y posteriores.
El 26 de abril de 2023, Microsoft anunció que un actor de amenazas conocido como Lace Tempest explotó la falla de PaperCut y que la actividad se superpuso con los grupos de amenazas FIN11 y TA505, ambos asociados con Clop. Después de explotar la vulnerabilidad, se implementó el malware TrueBot, que se sabe que es utilizado por la operación de ransomware Clop. El ransomware LockBit se implementó en varios ataques.
Consíguelo gratis
Lista de verificación de HIPAA
Encuentra todo lo que necesitas
para ser compatible con HIPAA
Enviado por correo electrónico, así que asegúrese de ingresar su dirección de correo electrónico correctamente.
Su privacidad es respetada
Política de privacidad del diario HIPAA
Se ha aconsejado a los defensores de la red que parcheen sus servidores de inmediato actualizando a la última versión de PaperCut. Si eso no es posible, existe una solución sugerida, que consiste en bloquear todo el tráfico al puerto de administración web (9191) desde direcciones IP externas en dispositivos perimetrales y bloquear todo el tráfico al puerto predeterminado 9191 en el firewall del servidor. Los usuarios de la solución GoAnywhere MFT de Fortra deben rotar las claves maestras de cifrado, restablecer todas las credenciales, revisar los registros de auditoría y eliminar las cuentas de usuario y administrador sospechosas.
“Zombie friki. Erudito de las redes sociales sutilmente encantador. Entusiasta de la cerveza. Pionero del tocino de toda la vida”.
