Ciberdelincuentes patrocinados por el estado de Corea del Norte utilizan Maui Ransomware para apuntar al sector de la salud y la salud pública
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) ha lanzado una alerta sobre el ransomware Maui. Desde mayo de 2021, el FBI ha observado y respondido a múltiples incidentes en organizaciones del sector de la salud y la salud pública. Los ciberactores patrocinados por el estado de Corea del Norte utilizaron el ransomware Maui en estos incidentes para cifrar los servidores responsables de los servicios de atención médica, incluidos los servicios de registros médicos electrónicos, los servicios de diagnóstico, los servicios de imágenes y los servicios de intranet. En algunos casos, estos incidentes interrumpieron los servicios proporcionados por las organizaciones del sector durante períodos prolongados.
Es probable que este grupo de actores asuma que las organizaciones de atención médica están dispuestas a pagar rescates porque éstas brindan servicios que son críticos para la vida y la salud humana. Debido a esta suposición, el FBI, CISA y el Tesoro estiman que es probable que continúen atacando a las organizaciones de este sector objetivo. Sin embargo desaconsejan enfáticamente el pago de rescates, ya que hacerlo no garantiza que los archivos y registros se recuperarán.
Recomendamos examinar la situación actual de ciberseguridad y aplicar las siguientes mitigaciones:
- Entrenar a los usuarios para reconocer y reportar intentos de phishing.
- Habilitar y aplicar la autenticación multifactor.
- Instalar y actualizar periódicamente el software antivirus y antimalware en todos los hosts.
OpenSSL lanza actualización de seguridad
El software OpenSLL es un conjunto de herramientas sólido, de grado comercial y con todas las funciones para criptografía de propósito general y comunicación segura. OpenSSL ha publicado una actualización de seguridad para abordar una vulnerabilidad que afecta a OpenSSL 3.0.4.; OpenSSL 1.1.1 y OpenSSL 3.0. Un atacante podría aprovechar esta vulnerabilidad para tomar el control de un sistema afectado.
La vulnerabilidad más grave afectaría únicamente a la versión OpenSSL 3.0.4 y se produce por un error grave en la implementación RSA para procesadores con CPU X86_64 y compatibles, debido a una implementación incorrecta de las instrucciones AVX512IFMA en el algoritmo RSA al procesar las claves privadas de 2048 bits, lo que provoca corrupción de la memoria en el sistema afectado y permite que un atacante desencadene una ejecución remota de código. A la vulnerabilidad se le asignó el identificador CVE-2022-2274.
OpenSSL también ha informado de otra vulnerabilidad menos grave corregida el 5 de julio y corregido en las versiones 1.1.1q y 3.0.5 que permitiría revelar 16 bytes en el modo AES OCB al utilizar el ensamblado AES-NI para cifrar los datos. A la vulnerabilidad se le ha asignado el identificador CVE-2022-2097.
Recomendamos a los usuarios y administradores actualizar a la versión adecuada de Open SSL.
Para más información sobre acciones de mitigación y prevención, contacte con nuestros expertos.
Fuentes: https://www.cisa.gov/uscert/ncas/alerts/aa22-187a
https://www.incibe-cert.es/en
Imagen: https://visualhunt.com/f7/photo/41918817144/a7fd699042/