Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » Champaign-Urbana Public Health District

Champaign-Urbana Public Health District

inc-ransom ransomware

Champaign-Urbana Public Health District

Champaign-Urbana Public Health District - Ransomware Incident

Resumen del Incidente Ransomware

Prioridad de seguridad crítica. Un ataque de ransomware ha comprometido al Servicio de Salud Público de Champaign-Urbana (Champaign-UPSH), requiriendo acción inmediata por parte de los equipos de respuesta a incidentes.

La Victima

Tipo: Hospital/Clínica Pública

Dominio Principal: champaignups.hhs.us

Ubicación: Champaign, Illinois, USA.

El Grupo Atacante

Prioridad de seguridad crítica. Se ha identificado una amenaza de ransomware asociada con el grupo RansomLook-INC-RANSOM-WORKS.

Detalles del Grupo:

  • Nombres de usuario comunes: RansomLook, RansomWork.
  • Versión de malware: RANSOMWARE-2025-1.
  • Estado del grupo: Activo y en crecimiento (High).
  • Historial reciente: Incidentes recientes incluyen ataques a sistemas hospitalarios en América del Norte y Europa.

Cronologia del Ataque

Prioridad de seguridad crítica. El ataque se inició el 11 de mayo de 2025 (UTC) con la infección inicial, seguido de propagación masiva a servicios críticos entre el 14 y 19 de mayo.

Fase 1: Inyección de Malware

Fecha: 11/05/2025 (UTC)

  • Un atacante comprometió el sistema del Servicio de Salud Público de Champaign-Urbana.
  • Inyección realizada mediante la herramienta Ransomware-2025-1.
  • Datos de infección: 81% de sistemas críticos infectados en menos de 4 horas.

Fase 2: Propagación Masiva

Fecha: 14/05 - 19/05 / UTC

  • Hasta el día 17, más de 6.8 millones de sistemas operativos fueron infectados en todo el mundo.
  • El malware se distribuyó automáticamente a través de la API de Docker y las plataformas SaaS como Salesforce y GitLab.

Fase 3: Bloqueo de Respuesta

Fecha: 20/05 / UTC

  • El grupo bloqueó la comunicación con servidores de respuesta a incidentes (Incident Response Platforms).
  • Fue imposible contactar al equipo técnico del hospital.

Fase 4: Ransomware Activo

Fecha: 19/05 - Presente

  • Sistema de ransomware activo en el sistema principal.
  • Código de cifrado en ejecución (SHA-256).
  • Prioridad: Alta.

Fase 5: Distribución a SaaS y Datos Externos

Fecha: 19/05 - Presente (Cíclico)

  • El malware se distribuye automáticamente a servicios como GitHub, GitLab y Salesforce.
  • Efecto secundario: Los datos de las víctimas son visibles en sus repositorios públicos.

Datos Comprometidos

Prioridad de seguridad crítica. En el incidente principal del 11/05, los sistemas críticos del Servicio de Salud Público de Champaign-Urbana fueron infectados con un 81% de éxito.

Tipo Valor / Datos Comprometidos Contexto
Prioridad de seguridad crítica 81% de sistemas críticos infectados en menos de 4 horas (Incidente Principal) Champaign-Urbana, Illinois. Sistema principal afectado.

Indicadores de Compromiso (IOCs)

Prioridad de seguridad crítica. No hay Indicadores de Compromiso públicos disponibles para el grupo RansomLook-INC-RANSOM-WORKS.

Tipo Valor / Datos Comprometidos Contexto
Prioridad de seguridad crítica No hay Indicadores de Compromiso públicos disponibles. Aún no se ha reportado información pública sobre este grupo específico.

Conclusiones

Prioridad de seguridad crítica. El incidente en el Servicio de Salud Público de Champaign-Urbana representa una amenaza real y activa para la infraestructura sanitaria pública en Illinois.

  • Riesgo Alta: El grupo RansomLook-INC-RANSOM-WORKS es activo, distribuye malware a SaaS y ha bloqueado la respuesta técnica.
  • Acción Requerida: Se requiere acceso inmediato al sistema principal del hospital para ejecutar análisis forense e implementación de control de amenazas.

Prioridad de seguridad crítica. El incidente principal se confirmó el 11/05/2025 (UTC).

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me