Uno grupo de ataques dirigidos a la atención médica infecta MRI y máquinas de rayos X
Orangeworm está apuntando al sector y a los proveedores asociados por lo que los investigadores de Symantec creen que es espiar a la industria.

Según un informe de Symantec, un grupo de Hackers tiene como objetivo los sistemas vinculados al sector de la salud mundial y ya ha infectado los equipos que se utilizan para controlar los dispositivos de imágenes médicas.

El grupo, que Symantec denominó Orangeworm, implementó malware personalizado llamado Kwampirs. El virus se dirige tanto a los proveedores de atención médica como a las organizaciones asociadas y se ha encontrado en equipos que admiten máquinas como resonancias magnéticas y rayos X.

Los investigadores también han visto el virus en dispositivos que los pacientes usan para completar formularios de consentimiento.

Los Hackers recopilan la mayor cantidad de información posible de la red de su víctima, como información de configuración, recursos compartidos de red y grupos de usuarios, procesos y servicios del sistema en ejecución, información de política de cuentas, cuentas con acceso de administrador, una lista de directorios y archivos.

Si el virus encuentra algo en el sistema de valor, Kwampirs se copiará a sí mismo y proliferará por la red para infectar otras computadoras.

Los investigadores no creen que los hackers estén intentando robar datos de pacientes, ya que no parece estar copiando ninguno de los datos de la red. Más bien, es probable que los hackers estén realizando algún tipo de espionaje en el sector.

Si bien el grupo ha estado activo desde 2015, la última avalancha de ataques se centra principalmente en el sector de la salud. Alrededor del 40 por ciento de sus víctimas están activamente en el cuidado de la salud, pero el resto de los objetivos están de alguna manera conectados con el sector.

Por ejemplo, la mayoría de las demás empresas afectadas en los sectores de agricultura, logística, TI y fabricación brindan servicios a la industria de la salud. Según los investigadores, es probable que los hackers estén utilizando un método de ataque a la cadena de suministro, infectando a un proveedor externo para penetrar en el objetivo deseado.

Lo interesante es que, si bien el grupo ha estado activo durante tres años, los investigadores no conocen la ubicación de los mismos. El método de ataque no tiene las características de un atacante de estado-nación, y los investigadores dijeron que es probable que sea el trabajo de un solo hacker o un pequeño grupo.

Pero lo preocupante es que a los hackers no parece importarles si se notan en un sistema. Copiar el virus a través de recursos compartidos de red es una táctica audaz, como lo es el uso de comando y control para establecer una conexión: ambos son ataques ruidosos.

Sin embargo, las organizaciones de atención médica no deberían consolarse con ese hecho. Los hackers son audaces porque sus métodos son muy efectivos.

“El hecho de que poco haya cambiado en el interior de Kwampirs desde su primer descubrimiento también puede indicar que los métodos de mitigación anteriores contra el malware no han tenido éxito y que los atacantes han podido alcanzar sus objetivos a pesar de que los defensores sabían de su presencia dentro. su red”, explicaron los investigadores.

Los líderes de seguridad han enfatizado durante mucho tiempo que los piratas informáticos comenzarían a apuntar a estos puertos debilitados.

Y si bien Orangeworm no es el primero en afinar estas vulnerabilidades, debería servir como un recordatorio para que las organizaciones de atención médica busquen y monitoreen rutinariamente los puertos abiertos y se aseguren de que estos dispositivos estén segmentados de la red.

Symantec también incluyó una hoja informativa para ayudar a las organizaciones a determinar si Orangeworm ha comprometido una red.

×