Trellix Global Defenders: Reporte de amenazas del Sector Salud, Enero 2022

En este reporte, Trellix resalta las principales amenazas al sector salud recopiladas por los equipos de Trellix MVISION Insights y Advanced Threath Research (ATR). Además, en una segunda parte, nos muestra cómo podemos operacionalizar esta información para adaptar su estrategia de ciberseguridad.

MVISION Insights combina telemetría global de sensores, a nivel mundial, con información  recolectada sobre Threath Intelligence y curada por el equipo de Trellix ATR. MVISION Insights entrega información sobre amenazas en más de 1,400 campañas y actores con visibilidad única sobre su prevalencia por país y sector.

Top amenazas detectadas por clientes del Sector Salud en Q4 2021

Esta es la lista de amenazas detectadas por clientes del Sector Salud de Octubre a Diciembre del 2021:

Revisemos algunos de los actores más resaltantes en esta lista usando MVISION Insights

APT40 Tácticas, Técnicas y Procedimientos (Alerta CISA AA21-200A)

APT40, también llamado Gadolinium, es un grupo de espionaje Chino que trata de robar información industrial desde el 2009. CISA publicó una alerta en Julio del 2021. MVISION Insights aún reporta muchas detecciones a nivel mundial, incluso en el sector salud.

Aunque actualmente el Ransomware es la principal ciber amenaza que se ve en las noticias, los grupos de espionaje de estado son igualmente preocupantes.

Otros grupos de espionaje detectados en el sector salud de Octubre a Diciembre del 2021 son:

• Mustang Panda, APT27, APT41, Naikon: groups associated to China
• APT36: Grupo con vínculos Paquistaníes, el cual recientemente aprovechó la coyuntura del COVID 19 para enviar falsas alertas de salud, enfocándose principalmente en India.
• APT29: Grupo con vínculos a Rusia, también aprovechó la coyuntura del COVID 19

Alerta CISA AA21-200A: APT40 mapa de calor – Fuente MVISION Insights Enero 2022

Sodinokibi Ransomware

Sodinokibi, also known lined to Gangcrab and REvil has been one of the top Ransomware groups in 2021, including in Healthcare. Trellix provides regular publications on the strategies to defend against ransomware, such as this blog.

Sodinokibi, también conocido como Gangcrab y REvil ha sido uno de los grupos top de Ransomware en el 2021, incluido en el sector salud.

Otros grupos criminales en el sector salud de Octubre a Diciembre 2021 son:

• TA505
• FIN12
• Trickbot
• Gold Dupont

Mapa de calor de la amenaza Sodinokibi – Fuente MVISION Insights, 6 de Enero del 2022

UNC1945

UNC1945 es un grupo conocido por aprovechar múltiples herramientas de hacking, especialmente “Living of the land”.

Living off the land binarios (conocido también como lolbins) son archivos de sistemas operativos nativos que pueden ser usados para más que sus intenciones originales. Se conoce que los atacantes lo usan para hacer un bypass a los controles de seguridad.

En el reporte de amenazas de Enero 2022 se proveen algunas estadísticas en los binarios nativos OS usados en recientes ataques.

En la última parte de este reporte, proveemos de algunas guías sobre cómo detectar actividades sospechosas en dichas herramientas.

UNC1945 mapa de calor – Fuente MVISION Insights 6 de Enero, 2022

Amenazas globales detectadas por clientes del sector salud: Vulnerabilidades Log4Shell – A Log4j

Varias vulnerabilidades han sido encontradas en la biblioteca de Java Log4j, en Diciembre del 2021 afectando millones de servidores en todo el mundo. MVISION Insights continuamente monitorea IOCs (Indicadores de Compromiso) asociados a conocidos ataques tomando ventaja de estas vulnerabilidades.

Mapa de calor de IOCs  vinculados con Log4Shell – Fuente MVISION Insights 6 de Enero, 2022