El FBI vuelve a enviar alerta sobre ataques a la cadena de suministro por tercera vez en tres meses

kwampirs-3.png

El FBI emitió una alerta el lunes sobre piratas informáticos patrocinados por el estado que utilizan el malware Kwampirs para atacar a las empresas de la cadena de suministro y otros sectores industriales como parte de una campaña mundial de piratería.

Esta es la tercera alerta sobre este grupo en particular enviada este año, en tantos meses, después de que el FBI envió alertas el 6 de enero y el 5 de febrero.

Esta vez, el FBI destacó que algunos de los objetivos del grupo son organizaciones de la industria de la salud, que actualmente luchan contra el brote de coronavirus (COVID-19).

Además de enviar un PIN (Notificación de la Industria Privada), el FBI también ha publicado dos alertas Flash, una que contiene las reglas YARA para identificar el malware Kwampirs del grupo en las redes infectadas, y la segunda que contiene un informe técnico completo con IOC (indicadores de compromiso) .

Ambas alertas Flash son relanzamientos de los informes de febrero y enero, con información adicional.

El FBI advierte sobre los ataques de Kwampirs a la atención médica

El FBI nombró al grupo detrás de estos ataques como Kwampirs, por el malware que usaron en sus intrusiones. Describieron al grupo como una Amenaza Persistente Avanzada (APT), un término que normalmente se usa para describir los grupos de piratería respaldados por el gobierno.

Los investigadores del FBI dijeron que el grupo ha estado activo desde 2016 cuando se observaron los primeros ataques con el troyano de acceso remoto (RAT) Kwampirs en la naturaleza.

“A través de la victimología y el análisis forense, el FBI encontró industrias muy específicas que incluyen atención médica, cadena de suministro de software, energía e ingeniería en los Estados Unidos, Europa, Asia y Medio Oriente”, dijo el FBI. «Las industrias objetivo secundarias incluyen instituciones financieras y bufetes de abogados destacados».

Pero, sobre todo, el FBI quería señalar en su informe que el grupo se ha centrado fuertemente en el sector de la salud en el pasado.

Según el FBI, «las operaciones de Kwampirs contra entidades de atención médica global han sido efectivas».

El FBI dijo que el grupo obtuvo «acceso amplio y sostenido» a entidades de atención médica específicas. Según la oficina, los objetivos pirateados van desde las principales empresas transnacionales de atención médica hasta las organizaciones hospitalarias locales.

Kwampirs obtuvo acceso a hospitales a través de la cadena de suministro

«El FBI evalúa que los actores de Kwampirs obtuvieron acceso a una gran cantidad de hospitales globales a través de la cadena de suministro de software de proveedores y productos de hardware», dijo la agencia.

«Los proveedores de la cadena de suministro de software infectados incluían productos utilizados para administrar los activos del sistema de control industrial (ICS) en los hospitales», dijo el FBI.

En algunos ataques, los piratas informáticos accedieron a algunas máquinas, en otros, comprometieron redes empresariales completas.

El FBI atribuyó esto a la capacidad del malware Kwampirs para propagarse lateralmente a través de las redes a través del protocolo Server Message Block (SMB) oa través de recursos compartidos de administración ocultos.

El FBI señala a las organizaciones sus dos alertas técnicas Flash para obtener detalles sobre la detección del malware del grupo.

Si bien los funcionarios del FBI no intentaron atribuir al grupo a un país específico, sí señalaron que el malware Kwampirs contenía similitudes de código con Disttrack, una pieza de malware comúnmente conocida como Shamoon, y que se sabe que fue desarrollada e implementada por piratas informáticos asociados con el régimen iraní.

Sin embargo, no está claro si el FBI envió las alertas de ayer porque el grupo Kwampirs ha comenzado a apuntar cada vez más a las organizaciones de atención médica en las últimas semanas, o porque se sabe que el grupo históricamente ha apuntado a organizaciones de atención médica y la oficina está tratando de poner en alerta al sector de la atención médica. contra futuros ciberataques.

Se esperan ataques a la industria de la salud en este momento

En este momento, debido a la pandemia de COVID-19 en curso y la búsqueda frenética de una vacuna, las organizaciones de investigación médica y de atención médica son ahora uno de los objetivos más buscados de los ataques cibernéticos y las operaciones de espionaje cibernético.

La semana pasada, Reuters informó que un grupo de piratería patrocinado por el estado intentó violar la Organización Mundial de la Salud a principios de este mes.

En el webcast de Risky Business Live de ayer, el productor y presentador del programa, Patrick Gray, dijo que se esperan ataques contra organizaciones de investigación médica y de atención médica debido a las circunstancias actuales.

En el mismo webcast, el cofundador de Crowdstrike Dmitri Alperovitch describió a los servicios de inteligencia que no participaron en la recopilación de inteligencia sobre la pandemia actual de COVID-19 como «abandono del deber».

«En este momento, tienes un desastre en una escala inimaginable que afecta a casi todos los países del mundo, y [it] presenta una amenaza existencial para la economía”, dijo Alperovitch. “Lo único que se supone que deben hacer las agencias de inteligencia es ayudar a los formuladores de políticas a descubrir cómo abordar crisis como esta”.

Si bien el FBI evitó decir si el grupo Kwampirs estaba involucrado en la recopilación de inteligencia sobre el brote de coronavirus, recomendó que las organizaciones de atención médica tomen precauciones para protegerse.

ReversingLabs publicó un desglose técnico del malware Kwampirs la semana pasada.

Los ciberdelincuentes más buscados por el FBI

Deja un comentario