El Departamento de Salud y Servicios Humanos de EE. UU. (HHS) advierte sobre el ataque de ransomware Trinity dirigido a organizaciones de atención médica y de salud pública.
Visto por primera vez en mayo de 2024, Trinity es una familia de ransomware bastante nueva que agrega una extensión “.trinitylock” a los archivos cifrados, y el HHS advierte que tiene similitudes con 2023Lock y Venus ransomware (PDF).
Al igual que otros grupos de ransomware, los operadores de Trinity enumeran a sus víctimas en un sitio de filtración y utilizan otro sitio para comunicarse con las víctimas que buscan ayuda con el proceso de descifrado.
La banda de ransomware Trinity se considera un actor de amenazas sofisticado y se cree que representa un riesgo significativo para los sectores médico y de salud pública. Se sabe que al menos una institución médica en Estados Unidos ha sido víctima de este grupo.
Para el acceso inicial, los atacantes dependen del phishing, software vulnerable y sitios web maliciosos. Luego, el grupo realiza reconocimiento, escaneo de red y movimiento lateral, intentando hacerse pasar por tokens de proceso legítimos y escalar privilegios dentro del entorno.
Antes de iniciar el proceso de cifrado, el grupo de ransomware Trinity roba datos del sistema de la víctima y los utiliza con fines de extorsión.
“Cifra los archivos de las víctimas utilizando algoritmos de cifrado robustos, haciéndolos inutilizables sin la clave de descifrado correcta. El ransomware normalmente agrega una extensión de archivo '.trinitylock' a los archivos afectados y aclara qué archivos fueron comprometidos”, señala el HHS.
Una vez que se completa el proceso de cifrado, el ransomware implementa la nota de rescate en formato de texto y .hta y cambia el fondo de pantalla del escritorio.
anuncio publicitario. Desplázate para seguir leyendo.
“La nota de rescate a menudo se coloca en el escritorio o dentro de un directorio que contiene archivos cifrados. La nota incluye instrucciones proporcionadas por el actor de la amenaza, la URL del sitio cebolla y una dirección de correo electrónico para la comunicación”, dijo el HHS.
La agencia también señala que Trinity tiene similitudes con las familias de ransomware 2023Lock y Venus, incluido el uso del algoritmo de cifrado ChaCha20, nombres mutex y valores de registro similares, y notas de rescate idénticas. Profundas similitudes sugieren que Trinity puede ser el sucesor de 2023Lock.
“Desafortunadamente, actualmente no existen herramientas de descifrado disponibles para el ransomware Trinity, lo que deja a las víctimas con pocas opciones. Sin embargo, algunas víctimas pueden optar por utilizar herramientas de recuperación de datos o consultar a un profesional de ciberseguridad y los intentos de recuperar archivos han tenido un éxito limitado. ”, dijo el HHS.
El sitio de filtración basado en Tor del grupo de ransomware Trinity actualmente enumera cinco víctimas, incluida Rocky Mountain Gastroenterology, de la que afirma que se robaron 330 gigabytes de datos. En total, se cree que la banda se ha infiltrado en 10 organizaciones.
RELACIONADO: UMC Health System desvía a los pacientes después del ataque de ransomware
Relacionado: El centro de datos del Reino Unido obtiene el estatus de infraestructura crítica, lo que genera un debate sobre el cinturón verde
Relacionado: 3 formas de derrotar al ransomware
Relacionado: Accenture confirma el robo de datos en un ataque de ransomware
https://packetstormsecurity.com/news/view/36441/Healthcare-Orgs-Warned-Of-Trinity-Ransomware-Attacks.html
