El Department of Health and Human Services Cybersecurity Coordination Center (HC3, en español, Centro de Coordinación de Ciberseguridad del Departamento de Salud y Servicios Humanos) en Estados Unidos, está advirtiendo a doctores, enfermeras, hospitales, clínicas y centros hospitalarios, de la amenaza potencial que supone el grupo de ransomware Lorenz.

Esta operación criminal de origen humano es bien conocida por intentar vulnerar grandes organizaciones y ha cobrado víctimas en la instituciones de salud tanto privada como pública.

La alerta sigue a una advertencia sobre la grave amenaza que suponen los actores del ransomware Hive para las organizaciones de la salud. A principios de este mes, el HC3 también emitió un informe sobre el grupo relativamente nuevo conocido como ransomware Venus, que se ha cobrado al menos una entidad sanitaria estadounidense desde su aparición en agosto. Venus se dirige principalmente a los Servicios de Escritorio Remoto expuestos en dispositivos Windows.

Pero mientras que los informes de código abierto muestran que las demandas de rescate de Venus comienzan alrededor de 1 BTC, o menos de 20.000 dólares, el grupo Lorenz opera en un campo de juego mucho más grande con demandas que van de 500.000 a 700.000 dólares. También se sabe que los actores venden el acceso a la red de la víctima.

Lorenz lleva activo al menos dos años y opera un sitio de filtración de datos, según el modelo típico de los grupos de extorsión. Sin embargo, las tácticas del grupo son mucho más nefastas. HC3 advierte que «al verse frustrados por la falta de voluntad de pago de la víctima, primero ponen los datos robados a disposición de otros actores de amenazas o competidores».

Si no se consigue el pago, Lorenz «publica archivos RAR protegidos con contraseña» de los datos de la víctima. Si esos esfuerzos no se traducen en ganancias monetarias, el grupo libera entonces «la contraseña de los archivos completos, por lo que estarán disponibles públicamente para que cualquiera pueda acceder a ellos».

El modelo podría tener graves consecuencias en una situación como la del reciente ataque, intento de extorsión y posterior filtración de datos vinculados a MediBank, la mayor aseguradora sanitaria de Australia.

Además, Lorenz se dirige a las víctimas utilizando un código ejecutable personalizado, adaptado expresamente a la organización objetivo. HC3 señala que la táctica implica que los actores mantendrán un acceso persistente para el reconocimiento «durante un largo período de tiempo» antes de desplegar la carga útil del ransomware.

El patrón típico comienza con el acceso inicial, luego el reconocimiento y el movimiento lateral a los dispositivos conectados, con el objetivo principal de encontrar un controlador de dominio de Windows para obtener las credenciales de administrador. Su código también permite que varios hilos de programa compartan recursos, al tiempo que evita que se ejecuten varias instancias de Lorenz de forma simultánea.

Además, cada archivo cifrado con el ransomware utiliza una contraseña generada aleatoriamente y su clave de cifrado se genera con la función CryptDeriveKey.

La alerta también muestra que en un caso observado, Lorenz fue «identificado explotando una vulnerabilidad en el componente Mitel Service Appliance de MiVoice Connect (CVE-2022-29499)».

En comparación con otros grupos, se sabe relativamente poco sobre Lorenz. Pero HC3 explicó que los indicadores identificados anteriormente podrían utilizarse para la detección, mitigación y mecanismos de defensa.

Se insta a las organizaciones de distribución empresarial a reforzar las defensas en torno a los cuatro vectores de ataque clave que se sabe que utiliza Lorenz, incluidos los ataques de suplantación de identidad, la explotación de vulnerabilidades conocidas y las tecnologías de acceso remoto, «especialmente RDP», y los ciberataques distribuidos, «especialmente el compromiso de la cadena de suministro y de los proveedores de servicios gestionados.»

¿Como implementar estas soluciones? En Kepler estamos para ayudarte y te podemos recomendar la implementación de modelo de seguridad de red Zero Trust, que evita suplantación de identidad y fortalece las tecnologías de acceso remoto. Además, siempre es recomendable comenzar con un levantamiento de tu estado actual de la ciberseguridad, según framework NIST y basado en controles CIS tomando recomendaciones de las distintas ISO (27000s) para entender tu nivel actual de ciberseguridad y llevarla a un punto de riesgo conocido y acordado por la alta dirección.
Finalmente, el conocimiento y monitoreo del estado actual de ciberseguridad de tu cadena de suministro es mandatorio, donde a través de nuestra solución ONION3 podrías cerrar este débil flanco y transformarlo en una fortaleza.

La alerta de HC3 contiene una lista de COIs para que las organizaciones las revisen y respondan.