
Los ataques de ransomware han alcanzado niveles sin precedentes en el sector sanitario, exponiendo vulnerabilidades críticas que afectan a millones de pacientes.
Recientemente, UnitedHealth reveló que 190 millones de estadounidenses fueron víctimas del robo de sus datos personales y sanitarios tras el ataque de ransomware a Change Healthcare. Esta cifra duplica la estimación inicial, evidenciando el peligro del ransomware en infraestructuras médicas.
Uno de los grupos más activos en este tipo de ataques es Interlock Ransomware Group, una amenaza emergente que emplea tácticas avanzadas de doble extorsión contra hospitales, clínicas y otros proveedores de salud.
Interlock Ransomware Group: una amenaza creciente para la atención médica
El grupo de ransomware Interlock es un actor relativamente nuevo en el cibercrimen, pero altamente peligroso. Su estrategia de doble extorsión combina el cifrado de datos con la amenaza de filtración de información confidencial si la víctima no paga el rescate.
📌 Objetivo principal: Organizaciones del sector sanitario en EE. UU.
🎯 Motivación: Ganancia financiera mediante extorsión dirigida.
💡 Métodos de ataque: Phishing, sitios web maliciosos y actualizaciones de software falsas.
Ataques recientes del grupo de ransomware Interlock
Durante 2024, Interlock ha comprometido múltiples organizaciones de atención médica, incluyendo:
✅ Brockton Neighborhood Health Center – Atacado en octubre de 2024; el ataque pasó desapercibido durante casi dos meses.
✅ Legacy Treatment Services – Detectado en octubre de 2024.
✅ Drug & Alcohol Treatment Service – Datos comprometidos en el mismo período.
Estos ataques no solo exponen datos sensibles, sino que interrumpen operaciones críticas, afectando directamente la calidad del servicio y la seguridad de los pacientes.
Cómo opera el ransomware Interlock: fases del ataque
1️⃣ Acceso inicial: phishing y sitios web maliciosos
Interlock emplea un método conocido como Drive-by Compromise, utilizando sitios web fraudulentos que imitan plataformas legítimas.
Ejemplo: Un sitio identificado como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta distribuía malware disfrazado de software legítimo.
2️⃣ Ejecución: infiltración en sistemas médicos
Una vez dentro, los atacantes despliegan cargas maliciosas ocultas en actualizaciones falsas de software como Chrome, MSTeams o Microsoft Edge.
📌 Ejemplo detectado: Un archivo llamado upd_8816295.exe simulaba ser un actualizador, pero en realidad contenía una herramienta de acceso remoto (RAT) que permitía el control total del sistema.
3️⃣ Robo de credenciales y movimiento lateral
El ransomware Interlock emplea stealers personalizados para robar credenciales, facilitando la expansión del ataque dentro de la red.
📌 Ejemplo: Se identificó un archivo malicioso llamado "chrgetpdsi.txt" que almacenaba credenciales robadas antes de la exfiltración.
4️⃣ Exfiltración de datos: robo de información sanitaria
El grupo extrae datos sensibles mediante servicios en la nube.
📌 Ejemplo: Se detectó una conexión con la IP 217[.]148.142.19 a través del puerto 443, lo que indica una extracción de datos a servidores controlados por los atacantes.
Cómo protegerse del ransomware en el sector sanitario
🔹 Implementar monitoreo de tráfico para detectar actividad sospechosa.
🔹 Capacitar al personal sanitario sobre tácticas de phishing.
🔹 Utilizar entornos de análisis de amenazas como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta Sandbox para detectar malware en archivos sospechosos.
🔹 Aplicar segmentación de red y autenticación multifactor (MFA) para reducir la exposición a ataques.
Un llamado urgente a reforzar la ciberseguridad en la salud
El sector sanitario sigue siendo un objetivo clave para los grupos de ransomware como Interlock, lo que resalta la urgencia de implementar medidas de ciberseguridad proactivas.
La detección temprana es esencial para prevenir ataques antes de que se propaguen. Herramientas como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta Sandbox permiten analizar archivos en tiempo real, identificando indicadores de compromiso (IOC) y ayudando a bloquear amenazas antes de que causen daños irreparables.
🔐 Proteger los datos sanitarios es una prioridad. La prevención y la respuesta rápida pueden marcar la diferencia entre una violación controlada y un desastre a gran escala.
Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta