El malware PlugX es una conocida herramienta de acceso remoto (RAT, por sus siglas en inglés). Generalmente se propaga a través de spear phishing y se ha detectado previamente en ataques dirigidos contra organizaciones militares, gubernamentales y políticas. La RAT ha sido utilizada por una serie de agentes de amenazas cibernéticas de habla china, entre ellos Deep Panda, NetTraveler y Winnti. En 2013, se descubrió que este último, responsable del ataque a compañías de la industria del juego en línea, usaba PlugX desde mayo de 2012. Curiosamente, Winnti también ha estado presente en ataques contra compañías farmacéuticas, donde el objetivo ha sido robar certificados digitales de equipos médicos y de fabricantes de software.
PlugX permite a los atacantes realizar diversas operaciones maliciosas en un sistema sin el permiso o la autorización del usuario, que incluyen, entre otras, copiar y modificar archivos, detectar pulsaciones del teclado, robar contraseñas y capturar impresiones de pantalla de la actividad del usuario. PlugX, como ocurre con otras herramientas de acceso remoto, es utilizada por delincuentes cibernéticos para robar y recopilar discretamente información confidencial o rentable con fines maliciosos.
El uso de RAT en ataques contra organizaciones farmacéuticas indica que los agentes avanzados de APT muestran ahora un mayor interés por capitalizar en el sector de la salud.
Los productos de Kaspersky Lab detectan y bloquean con éxito el malware PlugX.
"Los datos de salud privados y confidenciales se han estado migrando de manera consistente del papel al formato digital. Dado a que en ocasiones se descuida la seguridad de la infraestructura de las redes en este sector, la búsqueda de información sobre los avances en la innovación de medicamentos y equipos por parte de las APT es realmente preocupante. Las detecciones del malware PlugX en organizaciones farmacéuticas demuestran que es una batalla más que tenemos que enfrentar, y ganar, contra los ciberdelincuentes", dijo Yury Namestnikov, investigador de seguridad de Kaspersky Lab.
Otros hallazgos importantes de la investigación del 2017 incluyen:
- Más del 60% de las organizaciones médicas tenían malware en sus servidores o computadoras;
- Las Filipinas, Venezuela y Tailandia encabezan la lista de países con más dispositivos atacados en organizaciones médicas.
- Para mantenerse protegidos, los expertos de Kaspersky Lab aconsejan a las empresas que tomen las siguientes medidas:
- Eliminar todos los nodos que procesan datos médicos de portales públicos en la web;
- Actualizar automáticamente el software instalado usando sistemas de administración de parches en todos los nodos, incluidos los servidores.
- Realizar la segmentación de la red: evitar conectar equipos costosos a la LAN principal de la organización.
- Usar una solución de seguridad probada de grado corporativo en combinación con tecnologías contra ataques dirigidos e inteligencia contra amenazas, como la solución Kaspersky Threat Management and Defense. Con ellas es posible localizar y detectar ataques dirigidos avanzados analizando anomalías de la red y proporcionando a los equipos de ciberseguridad una visibilidad total de la red y automatización de la respuesta a los ataques.