Farmacéuticas espiadas por un ciberactor de amenazas avanzadas de habla china
Los analistas de Kaspersky Lab han descubierto evidencias de una emergente y alarmante tendencia: cada vez hay más ciberactores avanzados que centran su atención e interés en los ataques dirigidos contra el sector de la salud.
Se ha detectado el famoso malware PlugX en diversas organizaciones farmacéuticas en Vietnam, con el objetivo de robar valiosas fórmulas de medicamentos e información comercial.
El malware PlugX es una conocida herramienta de acceso remoto (RAT). Generalmente se propaga a través de spear phishing, y ya se había detectado previamente en ataques dirigidos contra el ejército, el gobierno y organizaciones políticas. Esta herramienta de acceso remoto ya la habían utilizado una serie de actores de ciberamenazas de habla china, incluidos Deep Panda, NetTraveler o Winnti. En 2013 se descubrió que Winnti, responsable de ataques a compañías en la industria del juego online, utilizaba PlugX desde mayo de 2012. Curiosamente, Winnti también apareció en ataques contra empresas farmacéuticas, donde el objetivo era robar certificados digitales de equipos médicos y fabricantes de software.
PlugX permite a los ciberatacantes realizar diversas operaciones maliciosas en un sistema sin el permiso o la autorización del usuario, incluyendo, pero no limitándose, la copia y modificación de archivos, el registro de las teclas, el robo de contraseñas y la captura de pantallas de la actividad del usuario. PlugX, como ocurre con otras herramientas de acceso remoto, se utiliza para robos discretos y recopilar información sensible o rentable con fines maliciosos.
El uso de las herramientas de acceso remoto en ataques contra organizaciones farmacéuticas indica que los actores sofisticados de APT están mostrando un mayor interés en capitalizar en el sector de la salud.
“Los datos sanitarios personales y confidenciales viajan permanentemente dentro de las organizaciones sanitarias, desde el papel hacia formatos digitales sanitarias. Si bien en este sector a veces se descuida la seguridad de la infraestructura de red, la búsqueda por parte de las APTs de información sobre avances en la investigación en medicamentos y equipos es una realidad muy preocupante. La detección de malware PlugX en organizaciones farmacéuticas nos muestra una batalla adicional que tenemos que luchar con los ciberdelincuentes, y ganarla”, afirma Yury Namestnikov, analista de seguridad de Kaspersky Lab.
Entre otros descubrimientos claves en el estudio de 2017, podemos citar:
• Más del 60% de las organizaciones sanitarias tienen malware en sus servidores u ordenadores,
• Filipinas, Venezuela y Tailandia son los tres países con más ataques contra dispositivos en las organizaciones sanitarias.
Para poder estar protegido, los expertos de Kaspersky Lab recomiendan a las empresas que tomen las siguientes medidas:
• Eliminar todos los nodos que procesan datos médicos de portales públicos y de webs públicas seguras.
• Actualizar el software instalado de forma automática, utilizando sistemas de administración de parches en todos los nodos, incluidos servidores.
• Segmentar la red: evitar conectar equipos costosos a la LAN principal de su organización.
• Usar una solución probada de seguridad para empresas en combinación con tecnologías anti ataques dirigidos e información de riesgos. Esta combinación gracias al análisis de las anomalías de la red, es capaz de detectar y parar ataques avanzados dirigidos y dar a los equipos de ciberseguridad una visibilidad completa sobre la red y la automatización de la respuesta.
