Español 
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Conozca a su adversario: HC3 comparte detalles de los grupos APT chinos dirigidos al sector de la salud
Publicado por Steve Alder el 24 de agosto de 2023
La industria de la salud es un objetivo activo de bandas de cibercriminales con motivación financiera; sin embargo, los grupos de piratería patrocinados por el estado también buscan acceso a las redes de atención médica y están apuntando activamente a proveedores de atención médica y otras entidades del sector de la atención médica y la salud pública.
En un aviso de seguridad publicado recientemente, el Centro de Coordinación de Ciberseguridad del Sector Salud (HC3) proporciona un perfil de amenazas de algunos de los grupos de hackers chinos más capaces que se sabe que atacan a organizaciones de atención médica estadounidenses. Si bien se sabe que al menos un grupo de hackers patrocinado por el Estado chino lleva a cabo ataques cibernéticos para obtener ganancias financieras, la mayoría de los grupos realizan ataques con fines de espionaje y para obtener propiedad intelectual (PI) de interés para el gobierno de la República Popular China, como la propiedad intelectual (PI) relacionada. a la tecnología médica y la medicina. Por ejemplo, los piratas informáticos chinos atacaron empresas farmacéuticas durante la pandemia en busca de datos de investigación de la vacuna COVID-19.
Uno de los grupos de amenazas más activos se conoce como APT41 (también BARIUM, Winnti, LEAD, WICKED SPIDER, WICKED PANDA, Blackfly, Suckfly, Winnti Umbrella y Double Dragon). El grupo ha estado activo desde al menos 2007 y se sabe que apunta a organizaciones de atención médica estadounidenses, generalmente con el objetivo de obtener propiedad intelectual para pasarla al gobierno chino, quien pone en funcionamiento la tecnología para llevarla al mercado. El grupo también se dedica al espionaje y la extorsión digital y es conocido por realizar ciberataques con motivación financiera, aunque esas operaciones pueden ser para beneficio personal y no a petición del gobierno chino. APT41 explota agresivamente vulnerabilidades conocidas, a menudo pocas horas después de su divulgación pública, como fue el caso de las vulnerabilidades ProxyLogon y Log4J. Una vez que se ha obtenido el acceso inicial, el grupo se mueve lateralmente dentro de las redes y establece un acceso persistente, a menudo permaneciendo en las redes sin ser detectado durante largos períodos mientras se filtran datos de interés. El grupo cuenta con un amplio arsenal de malware y utiliza conocidas herramientas de seguridad en sus ataques, como una versión personalizada de Cobalt Strike, Acunetix, Nmap, JexBoss y Sqlmap.
APT10 (también conocido como Menupass Team, Stone Panda, Red Apollo, Cicada, CVNX, HOGFISH y Cloud Hopper) se dedica a actividades de ciberespionaje y guerra cibernética y se centra en datos militares y de inteligencia. Se sabe que el grupo aprovecha las vulnerabilidades de día cero para obtener acceso a las redes de objetivos de interés y utiliza una variedad de herramientas públicas y personalizadas para lograr sus objetivos. APT10 lleva a cabo ataques altamente dirigidos, y el acceso inicial a menudo se logra mediante phishing. También se sabe que el grupo apunta a proveedores de servicios gestionados (MSP) para atacar a sus clientes intermedios. El grupo a menudo recurre a tácticas de vida de la tierra, utilizando herramientas ya instaladas en los entornos de las víctimas.
Por favor ingrese la dirección de correo electrónico correcta
Tu privacidad respetada
Política de privacidad de la revista HIPAA
APT18 (también conocido como Wekby, TA-428, TG-0416, Scandium y Dynamite Panda) es un grupo APT poco conocido que se cree que trabaja en estrecha colaboración con el ejército chino y que a menudo ataca a grupos de derechos humanos, gobiernos y una variedad de de sectores, incluidas empresas farmacéuticas y biotecnológicas. Se sabe que el grupo desarrolla sus propios exploits de día cero, así como también adapta los exploits de otros para satisfacer sus necesidades operativas, y utiliza malware sofisticado como Gh0st RAT, HTTPBrowser, pisloader y PoisonIvy. Se cree que APT18 está detrás de un ataque de 2014 a un proveedor de atención médica en el que se robaron los datos de 4,5 millones de pacientes. Se cree que el grupo aprovechó la vulnerabilidad OpenSSL Heartbleed para obtener acceso a la red.
APT22 (también conocido como Barista, Group 46 y Suckfly) parece centrarse en entidades políticas y el sector de la salud, especialmente empresas biomédicas y farmacéuticas. Se sabe que el grupo identifica servidores web públicos vulnerables en las redes de las víctimas y carga shells web, y utiliza malware complejo como PISCES, SOGU, FLATNOTE, ANGRYBELL, BASELESS, SEAWOLF y LOGJAM.
Además de describir algunas de las tácticas, técnicas y procedimientos utilizados por cada grupo, HC3 ha compartido mitigaciones para mejorar la seguridad contra los vectores de infección más utilizados.