El FBI reenvía la alerta sobre ataques a la cadena de suministro por tercera vez en tres meses



El FBI emitió una alerta el lunes sobre piratas informáticos patrocinados por el estado que utilizan el malware Kwampirs para atacar a las empresas de la cadena de suministro y otros sectores de la industria como parte de una campaña global de piratería informática. Esta es la tercera alerta sobre este grupo en particular enviado este año, en la misma cantidad de meses, después de que el FBI envió alertas el 6 de enero y el 5 de febrero. Esta vez, el FBI destacó que algunos de los objetivos del grupo son organizaciones de la industria de la salud, que actualmente se enfrentan al brote de coronavirus (COVID-19).
Además de enviar un PIN (Notificación de la Industria Privada), el FBI también ha publicado dos alertas Flash, una que contiene las reglas de YARA para identificar el malware Kwampirs del grupo en redes infectadas, y la segunda que contiene un informe técnico, completo con IOC (indicadores de compromiso) . Ambas alertas Flash son relanzamientos de los informes de febrero y enero, con información adicional. El FBI nombró al grupo detrás de estos ataques como Kwampirs, después del malware que usaron en sus intrusiones. Describieron el grupo como una amenaza persistente avanzada (APT), un término que normalmente se usa para describir grupos de piratería respaldados por el gobierno. Los investigadores del FBI dijeron que el grupo ha estado activo desde 2016 cuando se observaron en la naturaleza los primeros ataques con el troyano de acceso remoto (RAT) Kwampirs. "A través de la victimología y el análisis forense, el FBI descubrió que industrias muy específicas incluyen atención médica, cadena de suministro de software, energía e ingeniería en los Estados Unidos, Europa, Asia y Medio Oriente", dijo el FBI.
"Industrias secundarias específicas incluyen instituciones financieras y firmas de abogados prominentes ". Pero, sobre todo, el FBI quería señalar en su informe que el grupo se ha enfocado fuertemente en el sector de la salud en el pasado. Según el FBI, "las operaciones de Kwampirs contra entidades sanitarias mundiales han sido efectivas". El FBI dijo que el grupo obtuvo "acceso amplio y sostenido" a entidades de salud específicas. Según la oficina, los objetivos pirateados van desde las principales compañías de salud transnacionales hasta las organizaciones de hospitales locales. "El FBI evalúa que los actores de Kwampirs obtuvieron acceso a una gran cantidad de hospitales mundiales a través de la cadena de suministro de software de proveedores y productos de hardware", dijo la agencia.
"Los proveedores de la cadena de suministro de software infectado incluyeron productos utilizados para administrar los activos del sistema de control industrial (ICS) en los hospitales", dijo el FBI. En algunos ataques, los hackers accedieron a algunas máquinas, en otros, comprometieron redes empresariales enteras. El FBI atribuyó esto a la capacidad del malware Kwampirs para propagarse lateralmente a través de las redes a través del protocolo del Bloque de mensajes del servidor (SMB) o mediante recursos compartidos de administración ocultos.
El FBI señala a las organizaciones sus dos alertas técnicas de Flash para obtener detalles sobre la detección del malware del grupo. Si bien los funcionarios del FBI no intentaron atribuir el grupo a un país específico, sí señalaron que el malware Kwampirs contenía similitudes de código con Disttrack, una pieza de malware comúnmente conocida como Shamoon, y conocida por haber sido desarrollada y desplegada por piratas informáticos asociados con El régimen iraní. Sin embargo, no está claro si el FBI envió las alertas de ayer porque el grupo Kwampirs ha comenzado a atacar cada vez más a las organizaciones de atención médica en las últimas semanas, o porque se sabe que el grupo ha apuntado históricamente a las organizaciones de atención médica y la oficina está intentando alertar al sector de la salud. contra futuros ciberataques.
Por el momento, debido a la actual pandemia de COVID-19 y la búsqueda frenética de una vacuna, las organizaciones de investigación médica y de atención médica son ahora uno de los objetivos más buscados de ataques cibernéticos y operaciones de ciberespionaje. La semana pasada, Reuters informó que un grupo de piratería patrocinado por el estado intentó violar la Organización Mundial de la Salud a principios de este mes. En la transmisión por Internet de Risky Business Live de ayer, el presentador y ex reportero de Wired, Patrick Gray, dijo que se esperaban ataques a organizaciones de investigación médica y de atención médica debido a las circunstancias actuales. En la misma transmisión por Internet, el cofundador de Crowdstrike, Dmitri Alperovitch, describió los servicios de inteligencia que no participaron en la recolección de inteligencia sobre la actual pandemia de COVID-19 como "incumplimiento del deber". "En este momento, tiene un desastre en una escala inimaginable que afecta a casi todos los países del mundo y [presenta] una amenaza existencial para la economía", dijo Alperovitch. "Lo único que se supone que deben hacer las agencias de inteligencia es ayudar a los encargados de formular políticas a descubrir cómo resolver crisis como estas". Si bien el FBI evitó decir si el grupo Kwampirs estaba involucrado en la recopilación de inteligencia sobre el brote de coronavirus, sí recomendó que las organizaciones de atención médica tomen precauciones para protegerse. ReversingLabs publicó un desglose técnico del malware Kwampirs la semana pasada. pag VER GALERÍA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı