Orangeworm: cuando la infección llega a la salud

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Un grupo de investigadores de seguridad han descubierto un nuevo grupo de piratería que se dirige agresivamente a las organizaciones de salud y sectores relacionados en todo el mundo para realizar espionaje corporativo.

Conocido como “Orangeworm“, se descubrió que el grupo de cibercriminales instaló un troyano que se puede usar en máquinas que alojan software utilizado para controlar dispositivos de imágenes de alta tecnología, como máquinas de rayos X y MRI, así como máquinas utilizadas para ayudar a los pacientes a completar formularios de consentimiento.

El grupo cibercriminal Orangeworm ha estado activo desde principios de 2015 y apunta a los sistemas de las principales corporaciones internacionales con sede en los Estados Unidos, Europa y Asia con un enfoque principal en el sector de la salud.

Luego de ingresar a la red de la víctima, los atacantes instalan un troyano, denominado Kwampirs, que abre una puerta trasera en las computadoras comprometidas, lo que permite a los atacantes acceder de forma remota al equipo y robar datos confidenciales.

Al descifrar, el malware Kwampirs inserta una cadena generada aleatoriamente en su carga útil DLL principal en un intento de evadir la detección basada en hash.

El malware también inicia un servicio en los sistemas comprometidos para persistir y reiniciarse luego de que el sistema se reinicia.

A continuación, Kwampirs recopila cierta información básica sobre las computadoras comprometidas y la envía a los atacantes a un servidor remoto de comando y control, con el cual el grupo determina si el sistema pirateado es utilizado por un investigador o un objetivo de alto valor.

Si la víctima es de su interés, el malware luego se propaga “agresivamente” a través de recursos compartidos de red abiertos para infectar a otras computadoras dentro de la misma organización.

Para recopilar información adicional sobre la red de la víctima y los sistemas comprometidos, el malware usa los comandos integrados del sistema, en lugar de utilizar herramientas de reconocimiento y enumeración de terceros.

 

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris