El ransomware Venus apunta a los centros de atención médica

El ransomware Venus ha estado apuntando a organizaciones de atención médica en Estados Unidos y expandiéndose, esto según una nota de analista emitida por el Centro de Coordinación de Ciberseguridad del Sector de la Salud (HC3) del Departamento de Salud y Servicios Humanos de dicho país (HHS). El informe dice que al menos una entidad […]

El ransomware Venus ha estado apuntando a organizaciones de atención médica en Estados Unidos y expandiéndose, esto según una nota de analista emitida por el Centro de Coordinación de Ciberseguridad del Sector de la Salud (HC3) del Departamento de Salud y Servicios Humanos de dicho país (HHS).

El informe dice que al menos una entidad de atención médica en los EE. UU. fue víctima del ransomware Venus recientemente.

Aunque no se cree que los operadores de ransomware operen como un modelo RaaS, utiliza una amplia variedad de direcciones de correo electrónico de contacto e ID TOX, lo que indica que posiblemente sea el trabajo de múltiples actores de amenazas.

El ransomware tiene una nueva variante, GoodGame, que usa la extensión .venus, pero es completamente diferente del malware VenusLocker que usa la extensión de archivo ‘.venusf’ durante el cifrado. Esta operación no tiene ningún sitio de fuga de datos asociado hasta el momento.

Se han observado sus muestras contactando direcciones IP en varios países, incluidos EE. UU., Países Bajos, Gran Bretaña, Dinamarca, Francia, Irlanda, Rusia y Japón. Los informes de código abierto indican que sus demandas de rescate iniciales comienzan alrededor de 1 BTC o menos de $ 20.000.

El ransomware Venus se detectó por primera vez a mediados de agosto y, desde entonces, ha estado relativamente activo y cifrando víctimas en todo el mundo.
Los actores de amenazas detrás de las operaciones de ransomware son conocidos por apuntar a los servicios de escritorio remoto expuestos públicamente para cifrar los dispositivos Windows de las víctimas.

Cuando se ejecuta, el ransomware Venus intenta finalizar los procesos asociados con los servicios de bases de datos y las aplicaciones de Microsoft Office. Además, elimina los registros de eventos, los volúmenes de instantáneas y desactiva la prevención de ejecución de datos.

Utiliza algoritmos AES y RSA para el cifrado de archivos y agrega la extensión .venus. La variante reciente de GOODGAME agrega un marcador de archivo goodgamer y otra información al final de cada archivo encriptado.

Dado que el ransomware se dirige a los servicios de Escritorio remoto expuestos públicamente, se recomienda seguir las mejores prácticas y tomar precauciones para proteger el acceso de Escritorio remoto tanto a los escritorios como a los servidores. Se sugiere a los administradores que utilicen contraseñas seguras, 2FA, firewalls (tanto de software como de hardware) y autenticación de nivel de red (NLA) para fortalecer la seguridad de la red.