El Departamento de Salud y Servicios Humanos de EE. UU. (HHS) advierte que los piratas informáticos ahora están utilizando tácticas de ingeniería social para atacar los servicios de asistencia de TI en todo el sector de atención médica y salud pública (HPH).
La alerta sectorial emitida por el Centro de Coordinación de Ciberseguridad del Sector de la Salud (HC3) esta semana dice que estas tácticas han permitido a los atacantes obtener acceso a los sistemas de las organizaciones objetivo al registrar sus propios dispositivos de autenticación multifactor (MFA).
En estos ataques, los actores de amenazas utilizan un código de área local para llamar a organizaciones que se hacen pasar por empleados del departamento financiero y proporcionan detalles de verificación de identidad robada, incluidos números de identificación corporativa y de seguridad social.
Utilizando esta información confidencial y afirmando que su teléfono inteligente está roto, convencen al servicio de asistencia técnica de TI para que registre un nuevo dispositivo en MFA bajo el control del atacante.
Esto les da acceso a recursos corporativos y les permite redirigir transacciones bancarias en ataques de compromiso de correo electrónico empresarial.
“El actor de la amenaza apuntó específicamente a la información de inicio de sesión relacionada con los sitios web de los pagadores, donde luego enviaron un formulario para realizar cambios ACH para las cuentas de los pagadores”, dice HC3. [PDF].
“Una vez que se obtuvo acceso a las cuentas de correo electrónico de los empleados, enviaron instrucciones a los procesadores de pagos para desviar pagos legítimos a cuentas bancarias estadounidenses controladas por atacantes”.
“Los fondos fueron luego transferidos a cuentas en el extranjero. Durante la campaña maliciosa, el actor de amenazas también registró un dominio con una variación de una sola letra de la organización objetivo y creó una cuenta haciéndose pasar por el director financiero (CFO) de la organización objetivo”.
En tales incidentes, los atacantes también pueden utilizar herramientas de clonación de voz de IA para engañar a los objetivos, lo que dificulta la verificación de identidades de forma remota. Esta es ahora una táctica muy popular: el 25% de las personas han experimentado una estafa de suplantación de voz mediante IA o conocen a alguien que lo ha experimentado, según un estudio global reciente.
Vibraciones de araña dispersas
Las tácticas descritas en la alerta del Departamento de Salud son muy similares a las utilizadas por el grupo de amenazas Scattered Spider (también conocido como UNC3944 y 0ktapus), que también utiliza phishing, bombardeo MFA (también conocido como fatiga MFA) e intercambio de SIM para obtener acceso inicial a la red.
Esta banda de ciberdelincuentes a menudo se hace pasar por empleados de TI para engañar al personal de servicio al cliente para que les proporcione credenciales o ejecute herramientas de acceso remoto para violar las redes de los objetivos.
Los piratas informáticos Scatter Spider cifraron recientemente los sistemas de MGM Resorts utilizando el ransomware BlackCat/ALPHV. También son conocidos por la campaña 0ktapus, en la que se dirigieron a más de 130 organizaciones, incluidas Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games y Best Buy.
El FBI y CISA emitieron un aviso en noviembre para resaltar las tácticas, técnicas y procedimientos (TTP) de Scattered Spider en respuesta a su robo de datos y ataques de ransomware contra una larga serie de empresas de alto perfil.
Sin embargo, HC3 dice que incidentes similares en el sector de la salud reportados hasta ahora aún no se han atribuido a un grupo de amenaza específico.
Para bloquear los ataques dirigidos a sus servicios de asistencia de TI, se recomienda a las organizaciones del sector de la salud:
- Exigir devoluciones de llamadas para verificar a los empleados que solicitan restablecimiento de contraseñas y nuevos dispositivos MFA.
- Supervise cambios sospechosos en ACH.
- Revalidar a todos los usuarios con acceso a sitios web de pagos.
- Considere solicitudes en persona para asuntos delicados.
- Exigir a los supervisores que verifiquen las solicitudes.
- Capacite al personal de la mesa de ayuda para identificar e informar técnicas de ingeniería social y verificar las identidades de las personas que llaman.
URL de la publicación original: https://www.bleepingcomputer.com/news/security/us-health-dept-warns-hospitals-of-hackers-targeting-it-help-desks/
Fuente Original CISO2CISO.COM & CYBER SECURITY GROUP
