FBI: hospitales y proveedores de atención médica enfrentan una amenaza inminente de ransomware

por

El FBI advierte sobre una amenaza contra el sector de la salud por parte del ransomware Ryuk, que ya ha afectado a algunos hospitales.

Concepto de piratería y seguridad informática. El virus ransomware tiene datos cifrados en la computadora portátil. Hacker ofrece una clave para desbloquear datos cifrados por dinero.

Imagen: vchal, iStockphoto

A medida que el coronavirus comenzó a extenderse a principios de este año, algunos bandas de ransomware prometieron dejar en paz a los hospitales y las instalaciones sanitarias para que pudieran concentrarse en luchar contra la pandemia. Hasta aquí esas promesas. De hecho, la industria de la salud sigue siendo un objetivo principal para el ransomware, tanto que el FBI y otras dos agencias gubernamentales ahora advierten a este sector de ataques inminentes utilizando el infame Ransomware Ryuk.

VER: Ransomware: lo que los profesionales de TI deben saber (.) (TechRepublic)

en un aviso conjunto publicado el miércoles, el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Departamento de Salud y Servicios Humanos (HHS) dijeron que tienen información creíble de una amenaza creciente e inminente para los hospitales y proveedores de atención médica de EE. UU.

Específicamente, los ciberdelincuentes están apuntando al sector de la salud pública y la salud (HPH) con Malware Trickbot en un intento de llevar a cabo ataques de ransomware, robar datos e interrumpir los servicios de salud. Los expertos en seguridad informan que este último ataque ya ha afectado al menos a cuatro hospitales y podría afectar a cientos más.

Creado inicialmente como un troyano bancario, Trickbot se ha convertido en un conjunto completo de herramientas diseñadas para llevar a cabo una variedad de actividades ilegales. El malware ahora es capaz de realizar acciones como la recolección de credenciales, la exfiltración de correo, la extracción de criptomonedas, la exfiltración de datos en el punto de venta y la implementación de ransomware como Ryuk. En esta nueva amenaza reportada, los atacantes están utilizando diferentes herramientas para comprometer redes y datos, con Ryuk actuando como el golpe de gracia.

Los ciberdelincuentes suelen robar credenciales utilizando productos comerciales como Cobalt Strike y PowerShell Empire. A partir de ahí, explorarán la red para determinar la disposición del terreno, a menudo utilizando comandos integrados del sistema operativo, como net view, net computer y ping para encontrar unidades de red mapeadas, controladores de dominio e instalaciones de directorio activo.

VER: Las 5 mayores amenazas de ciberseguridad para la industria de la salud (TechRepublic)

Para moverse lateralmente a través de la red, los atacantes volverán a recurrir a herramientas integradas como PowerShell, Instrumental de administración de Windows (WMI), Administración remota de Windows y Protocolo de escritorio remoto (RDP).

Después del lanzamiento de la carga útil de Ryuk, los archivos de destino se cifran utilizando AES-256 y una clave pública RSA para cifrar la clave AES. Ryuk luego suelta un archivo .bat para eliminar todos los archivos de respaldo y las instantáneas para evitar que la víctima recupere los archivos cifrados.

Además, los atacantes intentan cerrar o eliminar cualquier software de seguridad que pueda evitar que el ransomware se ejecute. Un archivo RyukReadMe colocado en el sistema infectado proporciona una o dos direcciones de correo electrónico a través de las cuales la víctima puede contactar al atacante. Para que las víctimas sigan adivinando, el monto del rescate se revela solo después de que se realiza el contacto inicial. Luego, se instruye a las víctimas sobre cuánto pagar a una billetera Bitcoin específica.

“En el caso de ganar dinero, el ransomware es un enfoque clave para los ciberdelincuentes”, dijo a TechRepublic Heather Paunet, vicepresidenta senior de Untangle. “Cuando los atacantes cibernéticos ven que las empresas clave de atención médica pagan el rescate, ven el enorme potencial de enriquecerse sin preocuparse por el daño que pueden causar. A medida que las organizaciones de atención médica pagan rescates y las grandes cantidades en dólares que pagan se destacan en las noticias, esto se convierte en una indicación de que este es un sector que está dispuesto a pagar “.

En el aviso, el FBI y las otras agencias ofrecieron consejos para que los centros de salud se protejan contra el ransomware.

  • Haga copias de seguridad de los datos con regularidad, air gap y contraseñas protegen las copias de seguridad sin conexión.
  • Implementar un plan de recuperación para mantener y retener múltiples copias de datos y servidores confidenciales o de propiedad exclusiva en una ubicación segura y físicamente separada.
  • Centrarse en la sensibilización y la formación. Dado que los usuarios finales son el objetivo, informe a los empleados y las partes interesadas de la amenaza, como el ransomware y la estafa de phishing, y cómo se entregan. Además, proporcione a los usuarios capacitación sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades de ciberseguridad emergentes generales.
  • Asegúrese de que los empleados sepan a quién contactar cuando ven una actividad sospechosa o cuando creen que han sido víctimas de un ciberataque. Esto garantizará que la estrategia de mitigación establecida adecuada se pueda emplear de manera rápida y eficiente.

Los hospitales y los proveedores de atención médica también se han quedado atrás de las empresas tradicionales en la adopción de las últimas y más avanzadas tecnologías de seguridad.

VER: Ciberseguridad: pongámonos tácticos (.) (TechRepublic)

“Los servicios de atención médica tienen un enfoque obsoleto para la concienciación, la educación y la capacitación en seguridad”, dijo a TechRepublic Daniel Norman, analista senior de soluciones en el Foro de Seguridad de la Información. “La seguridad y el bienestar de los pacientes ha sido históricamente la máxima prioridad, por lo que esta mentalidad debe traducirse en la seguridad de los sistemas y dispositivos que respaldarán la vida de muchos. Se deben cumplir los estándares básicos de higiene cibernética, que abarquen parches y actualizaciones , segmentación de la red, monitoreo de la red y refuerzo, especialmente para tecnologías como la (inteligencia artificial) AI, robóticay (Internet de las cosas) dispositivos IoT “.

El experto en seguridad y CISO de Unisys Mat Newfield también compartió los siguientes consejos para combatir el ransomware:

  • Las dos cosas más importantes que debe hacer para prevenir una violación de ransomware es asegurarse de que los sistemas estén siempre actualizados con parches y que continúe enfocándose en la educación del usuario con respecto al phishing y sus variantes, como SMSishing y vishing.
  • Comprender que la explotación es inevitable permitirá a los líderes de seguridad implementar herramientas y programas para no centrarse en la prevención, sino en la respuesta rápida.
  • Los conceptos de microsegmentación y confianza cero deben estar en el centro de sus programas cibernéticos para minimizar el impacto de un ataque de ransomware.
  • Muchas organizaciones de atención médica sufren el uso continuo de sistemas heredados y al final de su vida útil (EOL) que son altamente susceptibles de verse comprometidos.
  • La respuesta rápida y el monitoreo activo son imprescindibles para la atención médica y cualquier otra organización.
  • Las plataformas y técnicas de autenticación de múltiples factores pueden ralentizar significativamente o, en última instancia, detener una infección generalizada debido a un ataque de ransomware.

Además, el aviso del FBI contiene pautas para los hospitales que ya pueden haber sido afectados por estos nuevos ataques. Los administradores de seguridad que hayan visto signos de una infección de red de Trickbot deben realizar copias de seguridad de inmediato y proteger los datos confidenciales y los dispositivos de red. Ante la evidencia de una infección, los administradores también deben revisar sus registros de DNS y “usar la clave XOR de 0xB9 para decodificar las solicitudes de DNS codificadas con XOR”. Esa acción podría entonces revelar la presencia de Anchor_DNS, una variante de TrickBot que se comunica exclusivamente a través de DNS.

“La escasez de personal, la falta de medicamentos, camas de hospital y equipo de protección personal han llevado a los servicios de salud al límite”, dijo Norman. “Además de estas claras preocupaciones operativas, las amenazas del dominio cibernético siguen siendo aparentes, invasivas y, en algunos casos, mortales. En los próximos años, estas amenazas a la seguridad seguirán acelerándose en todo el mundo a medida que la tecnología mucho más invasiva y automatizada haga su camino hacia la sala de operaciones y, en algunos casos, el cuerpo humano. Los atacantes volverán a centrar su atención en interrumpir el servicio de salud al atacar dispositivos y sistemas mal asegurados, que ahora comenzarán a tener graves ramificaciones para la vida humana “.

Sigue navegando por nuestra web viendo más artículos.

Publicaciones relacionadas:

  1. Cómo los hospitales pueden protegerse mejor contra las filtraciones de datos
  2. Por qué los profesionales de la seguridad se enfrentan a más estrés laboral
  3. La campaña de rescate amenaza a las organizaciones con ataques DDoS
  4. Phishing: los estafadores de correo electrónico se hacen pasar por colegas, clientes y proveedores, según un informe

Deja un comentario