TI

FBI: los hospitales y los proveedores de atención médica enfrentan una amenaza inminente de ransomware

FBI los hospitales y los proveedores de atencion medica enfrentan
Imagen: vchal, iStockphoto

Cuando el coronavirus comenzó a propagarse a principios de este año, algunas pandillas de ransomware se comprometieron a dejar en paz los hospitales y los centros de atención médica para poder concentrarse en combatir la pandemia. Tanta promesa. De hecho, la industria de la salud sigue siendo un importante objetivo de ransomware, tanto que el FBI y otras dos agencias gubernamentales ahora advierten a la industria de un ataque inminente utilizando el notorio ransomware Ryuk.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (República tecnológica)

Informes de seguridad de lectura obligada

El FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Departamento de Salud y Servicios Humanos (HHS) dijeron en un aviso conjunto publicado el miércoles que tienen información creíble de que los hospitales y proveedores de atención médica de EE. UU. Las amenazas son crecientes e inminentes.

Específicamente, los ciberdelincuentes utilizaron el malware Trickbot para apuntar a los sectores de salud y salud pública (HPH) en un intento de llevar a cabo ataques de ransomware, robar datos e interrumpir los servicios de atención médica. Los expertos en seguridad informan que este último ataque ha afectado al menos a cuatro hospitales y podría afectar a cientos más.

Originalmente creado como un troyano bancario, Trickbot se ha convertido en un conjunto de herramientas diseñadas para llevar a cabo una variedad de actividades ilegales. El malware ahora es capaz de realizar acciones como recolección de credenciales, exfiltración de correo electrónico, criptominería, exfiltración de datos en el punto de venta e implementación de ransomware como Ryuk. En esta amenaza recientemente reportada, los atacantes usan diferentes herramientas para comprometer redes y datos, y Ryuk es el golpe de gracia.

Los ciberdelincuentes suelen utilizar productos comerciales como Cobalt Strike y PowerShell Empire para robar credenciales. A partir de ahí, analizarán la red para determinar el diseño del terreno, a menudo utilizando comandos integrados del sistema operativo, como vista de red, computadoras de red y ping para encontrar unidades de red mapeadas, controladores de dominio e instalaciones de Active Directory.

LEER  Informe de Frontiers in Home Training

mirar: Las 5 principales amenazas de ciberseguridad que enfrenta la industria de la salud (República tecnológica)

Para moverse lateralmente a través de la red, los atacantes volverán a recurrir a herramientas integradas como PowerShell, Instrumental de administración de Windows (WMI), Administración remota de Windows y Protocolo de escritorio remoto (RDP).

Una vez que comienza la carga útil de Ryuk, el archivo de destino se cifra con AES-256 y la clave pública RSA para cifrar la clave AES. Ryuk luego coloca un archivo .bat para eliminar todos los archivos de copia de seguridad y las instantáneas para evitar que las víctimas recuperen los archivos cifrados.

Además, los atacantes también intentan desactivar o eliminar cualquier software de seguridad que pueda evitar que se ejecute el ransomware. El archivo RyukReadMe en el sistema infectado proporciona una o dos direcciones de correo electrónico a través de las cuales las víctimas pueden comunicarse con los atacantes. Para que las víctimas sigan adivinando, el monto del rescate solo se revela después del contacto inicial. Luego, se le indica a la víctima cuánto pagar en una billetera Bitcoin específica.

«En términos de ganar dinero, el ransomware es un gran foco para los ciberdelincuentes”, dijo a Tecnopedia Heather Paunet, vicepresidenta sénior de Untangle. «Cuando los ciberatacantes ven que las principales compañías de atención médica pagan rescates, ven una gran oportunidad de enriquecerse sin preocuparse. sobre el daño que podrían hacer. Con las organizaciones de atención médica pagando rescates, y el gran tamaño de los rescates que pagan que se destaca en las noticias, muestra que esta es una industria dispuesta a pagar rescates».

En la consulta, el FBI y otros asesoran a las organizaciones de atención médica sobre cómo protegerse contra el ransomware.

  • Copia de seguridad de los datos con regularidadCopias de seguridad fuera de línea protegidas con contraseña y protegidas con air-gapped.
  • implementar un plan de recuperación Mantenga y conserve múltiples copias de datos confidenciales o de propiedad y servidores en ubicaciones seguras y separadas físicamente.
  • Centrarse en la concienciación y la formaciónDebido a que los usuarios finales son el objetivo, mantenga a los empleados y partes interesadas informados sobre amenazas, como ransomware y estafas de phishing, y cómo se entregan. Además, brinde capacitación a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
  • Asegúrese de que los empleados sepan a quién contactar Cuando ven actividad sospechosa o cuando creen que son víctimas de un ciberataque. Esto asegurará que las estrategias de mitigación apropiadas y establecidas puedan implementarse de manera rápida y eficiente.

Los hospitales y los proveedores de atención médica también están rezagados en las empresas heredadas en la adopción de las últimas y mejores tecnologías de seguridad.

mirar: Seguridad Cibernética: Tomemos Tácticas (PDF Gratis) (República tecnológica)

«Los servicios de atención médica tienen un enfoque obsoleto para la concienciación, la educación y la capacitación en seguridad», dijo a Tecnopedia Daniel Norman, analista senior de soluciones en el Foro de Seguridad de la Información. «La seguridad y el bienestar del paciente históricamente han sido una prioridad principal, por lo que esta mentalidad debe traducirse en la seguridad de los sistemas y dispositivos que sustentan la vida de tantas personas. Se deben cumplir los estándares básicos de higiene cibernética, incluidos parches y actualizaciones, red segmentación, monitoreo y fortalecimiento de redes, especialmente para tecnologías como (inteligencia artificial) IA, robótica y dispositivos IoT (internet de las cosas).

El experto en seguridad y CISO de Unisys Mat Newfield también compartió estos consejos para combatir el ransomware:

  • Las dos cosas más importantes para evitar una filtración de ransomware son asegurarse de que los sistemas siempre usen los parches más recientes y que continúe enfocándose en la educación del usuario sobre el phishing y sus variantes, como SMSishing y vishing.
  • Saber que la explotación es inevitable permitirá a los líderes de seguridad implementar herramientas y procedimientos para enfocarse, no en la prevención, sino en la respuesta rápida.
  • Los conceptos de microsegmentación y confianza cero deben estar en el centro de sus programas de red para minimizar el impacto de los ataques de ransomware.
  • Muchas organizaciones de atención médica continúan utilizando sistemas heredados y al final de su vida útil (EOL) que son altamente vulnerables.
  • La respuesta rápida y el monitoreo proactivo son imprescindibles para la atención médica y cualquier otra organización.
  • Las plataformas y tecnologías de autenticación de múltiples factores pueden ralentizar significativamente o eventualmente prevenir infecciones generalizadas debido a ataques de ransomware.

Además, el aviso del FBI incluye pautas para los hospitales que pueden haber sido afectados por estos nuevos ataques. Los administradores de seguridad que vean signos de una infección cibernética de Trickbot deben realizar una copia de seguridad y proteger los datos confidenciales y los dispositivos de red de inmediato. Según la evidencia de la infección, los administradores también deben revisar sus registros de DNS y «usar la clave XOR de 0xB9 para decodificar las solicitudes de DNS codificadas con XOR».

“La escasez de personal, la falta de medicamentos, camas de hospital y equipos de protección personal han llevado a los servicios de salud al límite”, dijo Norman. «Además de estos problemas operativos obvios, las amenazas del dominio cibernético siguen siendo evidentes, intrusivas y, en algunos casos, mortales. En los próximos años, a medida que aumenten las amenazas intrusivas y de seguridad, seguirán acelerándose en todo el mundo a medida que la automatización ingrese a los quirófanos y , en algunos casos, el cuerpo humano. Los atacantes volverán a centrar su atención en la interrupción de los servicios de atención médica al apuntar a dispositivos y sistemas mal protegidos, cuyos dispositivos y sistemas ahora comenzarán a tener un impacto grave en la vida humana».

LEER  Neuralink de Elon Musk quiere fusionar tu cerebro con una computadora

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba