Los organismos estadounidenses han emitido una advertencia conjunta sobre el ransomware Maui, utilizado por agentes de amenazas norcoreanos.

El FBI, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de los Estados Unidos (CISA) y el Tesoro de los Estados Unidos emitieron elcybersecurity advisory ayer (6 de julio).

Afirmó que el ransomware Maui se ha utilizado para los ciberataques patrocinados por el Estado de Corea del Norte en el sector de la salud pública de Estados Unidos desde al menos mayo de 2021.

En ese tiempo, el FBI ha respondido a múltiples incidentes de ransomware en Maui que afectaban a organismos de salud pública. El ransomware se ha utilizado para cifrar servidores utilizados para servicios sanitarios esenciales, como los registros sanitarios electrónicos, los diagnósticos, las imágenes y la intranet. En algunos casos, la interrupción se prolongó durante períodos prolongados.

Todavía no se conoce el vector de acceso inicial de estos incidentes. Lo que el FBI ha averiguado es que Maui parece estar diseñado para ser ejecutado manualmente por un actor remoto mediante una interfaz de línea de comandos. Esto se utiliza para interactuar con el malware e identificar los archivos a cifrar.

Esto se correlaciona con los detalles de un informe sobre amenazas en Maui emitido por Stairwell el mismo día.

Maui es una familia de ransomware menos conocida que el más notorio Conti Silas Cutler, ingeniero inverso principal de Stairwell, dijo que destacaba «por la falta de varias características clave que solemos ver en las herramientas de los proveedores [de ransomeware como servicio], como una nota de rescate incrustada para proporcionar instrucciones de recuperación o medios automatizados para transmitir las claves de cifrado a los atacantes».

La primera copia identificada de Maui fue detectada por la plataforma de inicio de Stairwell en abril de este año, pero todas las copias identificadas por la empresa de ciberseguridad comparten una marca de tiempo de compilación fechada en abril de 2021.

Los ataques de ransomware a proveedores de servicios sanitarios no son inusuales. Irlanda se vio afectada por un ataque de ransomware cuando el Health Service Executive (HSE) fue atacado en mayo de 2021. Este ataque utilizó el ransomware Conti.

«Estos grupos se dirigen a las organizaciones sanitarias a propósito porque saben que el impacto emocional de hacerlo les ayudará a forzar los pagos de extorsión», dijo Adam Flatley, director de inteligencia de amenazas en Redacted y miembro del grupo de trabajo de ransomware de Estados Unidos.

«Es fundamental que los gobiernos y el sector privado no sólo ayuden con la preparación y la resistencia para mitigar los ataques de ransomware, sino que también aporten consecuencias tangibles a los actores de la amenaza», añadió Flatley. «Lo que aún falta es una campaña público-privada bien coordinada contra ellos para desmantelar sus organizaciones criminales».

El pago de rescates a los ciberatacantes de Maui está muy desaconsejado y el aviso de Estados Unidos señala que pagar a los atacantes norcoreanos podría suponer riesgos de sanciones.

Además, los expertos en ciberseguridad coinciden en que pagar rescates no garantiza que se recuperen los archivos y registros y, además, puede fomentar nuevos ataques.

Las distintas agencias estadounidenses han aconsejado a los proveedores de servicios sanitarios y de otras infraestructuras críticas que tomen medidas para reducir la posibilidad de un ataque.

Las medidas sugeridas incluyen la limitación del acceso a los datos a través de una infraestructura de clave pública y certificados digitales para autenticar todas las conexiones con una red, incluyendo el Internet de las cosas y los dispositivos médicos.

El aviso también recomienda mejorar las medidas de seguridad, desde las contraseñas fuertes hasta el cifrado y los cortafuegos, pasando por la limitación del acceso a los privilegios de administrador.

Para prepararse para un ataque, se aconseja a las organizaciones que mantengan copias de seguridad encriptadas y fuera de línea de los datos, y que las prueben periódicamente para restablecer los servicios en caso de emergencia.

10 cosas que necesitas saber directamente en tu bandeja de entrada cada día de la semana. Inscríbase en el Resumen diario El resumen de Silicon Republic de las noticias esenciales de ciencia y tecnología.