El pasado viernes 17 de marzo del presente año, los investigadores de seguridad de Microsoft, han lanzado una publicación en su blog oficial, en donde se comenta que han estado observado que el grupo de amenazas pro-Ruso conocido como, Killnet, estaría cada vez más, realizando ataques de denegación de servicios distribuidos (DDoS) dirigidos a organizaciones del sector de la salud desde noviembre de 2022.
🔎 Contexto: Killnet es un grupo de amenaza, creado tras la invasión rusa a Ucrania en febrero de 2022, y pasó la mayor parte del último año lanzando ataques DDoS contra gobiernos y empresas de todo el mundo. Siendo su canal de Telegram, su principal vía de comunicación de posibles objetivos y acreditación de ataques.
Si bien los ataques son en su mayoría son para molestar, ya que en la mayoría de los casos tiran los sitios web durante aproximadamente una hora, sus actividades han causado preocupación dentro del gobierno de los Estados Unidos, particularmente cuando se lanzan ataques DDoS en la infraestructura crítica como aeropuertos y hospitales, principalmente.
En los últimos meses, Killnet ha centrado su atención en dirigir ataques en los sitios web de las organizaciones del sector de la salud, lanzando una campaña desde el mes febrero, dirigida a hospitales en más de 25 estados.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dijo que menos de la mitad de estos ataques, que involucraron el enrutamiento de una avalancha de solicitudes de página en sitios web específicos, que lograron dejar los sitios fuera de línea.
El pasado viernes, los miembros del equipo de seguridad de red de Microsoft Azure, Amir Dahan y Syed Pasha, publicaron un análisis de los ataques DDoS en organizaciones de atención médica que utilizan sus herramientas de seguridad.
Rastrearon todos los ataques desde el 18 de noviembre de 2022 hasta el 17 de febrero de 2023, y observaron un aumento de 10 a 20 ataques diarios en noviembre, a 40 a 60 ataques diarios en febrero.
“Los tipos de organizaciones de atención médica atacadas incluyeron farmacéuticas y ciencias de la vida con el 31% de todos los ataques, hospitales con el 26%, seguros médicos con el 16% y servicios y atención médica también con el 16%”, dijeron.
Además, los países con la mayor taza de distribución de Botnets usados para realizar estos ataques, están centrados, principalmente, en Estados Unidos, Rusia, Ucrania y Francia.
Killnet probó dos métodos diferentes para llevar a cabo sus ataques: Una de ellas es crear muchas conexiones diferentes e intentar mantenerlas activas durante el mayor tiempo posible para inutilizar un sitio web, o establecer tantas conexiones nuevas como sea posible en un lapso corto de tiempo para agotar los recursos de la banda ancha de los servicios.
“KillNet y sus afiliados utilizan ataques DDoS como su táctica más común. Mediante el uso de scripts DDoS y factores de estrés, el reclutamiento de botnets y la utilización de fuentes de ataque falsificadas, KillNet podría interrumpir fácilmente la presencia en línea de sitios web y aplicaciones”, dijeron los investigadores.
Los servicios de protección DDoS como Cloudflare han informado tendencias similares en este último tiempo. Akamai, otra empresa que ofrece herramientas similares, publicó un informe el mes pasado que encontró que los incidentes DDoS en Europa aumentaron significativamente en 2022, con más campañas que ahora involucran tácticas de extorsión. La compañía también advirtió que los ataques DDoS ahora se utilizan cada vez más como una cobertura para realizar intrusiones reales que involucran el ransomware y robo de datos.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
