A partir de julio de 2021, más de 1.300 empresas de todo el mundo se han visto comprometidas por el hackeo de ransomware, y el grupo de hackers ha recibido una suma ascendente a los 100 millones de dólares en extorciones. La Oficina Federal de Investigación (FBI) estima que el grupo ha afectado a más de 1.300 empresas en todo el mundo.
En noviembre de 2022, el FBI, el CISA y el Departamento de Salud y Servicios Humanos emitieron un aviso de ciberseguridad en el que advertían de las peticiones de rescate por parte de un grupo de hackers desde noviembre de 2022. CISA, el Departamento de Salud y Servicios Humanos y el FBI describieron las técnicas que usa el grupo desde junio de 2021 hasta noviembre de 2022.
CISA y el FBI, junto con otras agencias como la CSA, están impulsando la iniciativa #StopRansomware para concienciar sobre los riesgos que se han identificado. La sanidad y la salud pública han sido especialmente objetivo de este grupo, así como otras empresas y sectores de infraestructuras críticas.
Según la CSA, Los hackers se dirigió al Guilford College en 2015. Aunque las organizaciones sanitarias han sido durante mucho tiempo uno de los objetivos favoritos del grupo, la CSA informó de que el Guilford College fue el objetivo de los hackers. El año anterior, el Memorial Health System y varias otras organizaciones sanitarias fueron hackeadas, dejando a los pacientes a la espera de citas y a los sistemas clínicos interrumpidos.
Como resultado, El grupo de hospitales de Ohio y Virginia Occidental pagó un rescate. Aunque no se recomienda que los afectados desembolsen un rescate, la CSA advierte que los intelectuales del hackeo pueden volver a infectar una red después de reparar una brecha.
Los tres organismos determinaron que los actores del hackeo obtienen la entrada a las redes a través de inicios de sesión de factor único con el Protocolo de Escritorio Remoto, conexiones virtuales y demás protocolos de acceso a redes internas de manera remota. La MFA fue eludida a través de protocolos de conexión remota a la red y de correos engañosos por medio del phishing.
Las organizaciones, especialmente en el sector sanitario, deben tomar precauciones para reducir el riesgo, según el FBI, CISA y HHS. Recomiendan que las organizaciones sanitarias instalen actualizaciones de todo lo que tiene que ver con software lo antes posible, en cuanto estén disponibles para la descarga, que exijan una autenticación multifactor inmunes al phishing y que mantengan copias de seguridad de los datos sin conexión.
Además, las compañías tienen que cifrar todos los datos de las copias de seguridad, mantener el software antivirus actualizado y mantener seguras las conexiones remotas externas. Después de un incidente de ransomware, las organizaciones deben dejar sin conexión cualquier sistema contaminad, salvaguardar las copias de seguridad y apagar otros ordenadores y dispositivos para prevenir futuros ataques.
