• Los ataques de ransomware contra la atención medica aumentan drasticamente en el mundo
  • El incremento de los dispositivos IoT, como un ultrasonido o bombillas inteligentes pueden ser la puerta de entrada a un ciberataque
  • La mayoria de los ataques de ransomware tienen lugar los fines de semana y dias festivos

Se supone que las fiestas decembrinas y de comienzo de año, son una epoca de paz y tranquilidad. Sin embargo, los hospitales no las estan disfrutando, porque ademas del aumento de pacientes enfermos o lesionados, los ciberdelincuentes estan tratando de aprovechar la situacion, sabiendo muy bien que los hospitales sobrecargados no pueden permitirse una interrupcion del servicio.

Esta situacion, aumenta el precio del rescate de un ataque de ransomware exitoso. Ademas, durante las vacaciones, los hospitales suelen tener poco personal, incluidos los especialistas en TI, lo que hace mas probable que las ciberamenazas pasen desapercibidas y aumenta el tiempo de respuesta potencial. Muchos empleados trabajan de forma remota durante las vacaciones, lo que aumenta aun mas el riesgo de un ataque de phishing exitoso, que puede ser la etapa inicial de un ataque de ransomware.

Los datos de la empresa de seguridad cibernética Check Point Software Technologies muestran que el año pasado, una organización de atencion médica promedio enfrento 1462 ataques cibernéticos por semana, un aumento del 74 % con respecto a 2021 y el aumento mas alto de cualquier industria. El hecho de que el cuidado de la salud sea el tercer sector atacado con mas frecuencia dice mucho de lo atractivo que es como objetivo.

Ademas, a medida que finalizo el año 2022, tambien se vio un aumento alarmante en los ataques de ransomware a la atencion medica. Mientras que, durante la temporada navideña y decembrina, aproximadamente una de cada 50 organizaciones de atencion medica se vio afectada por ransomware y a partir de octubre, vimos un aumento gradual de los ataques, con un importante punto de inflexion a principios de diciembre, cuando la cantidad de ataques de ransomware se disparo y uno de cada 13 empresas de salud fueron atacadas en la segunda quincena de diciembre.

La cantidad de vulnerabilidades potenciales tambien esta aumentando con el incremento de los dispositivos IoT en el cuidado de la salud. Check Point ha demostrado anteriormente que un ultrasonido, por ejemplo, podria ser atacado y bloqueado, o que una organizacion podria ser atacada usando bombillas inteligentes.

Algunas amenazas pueden acechar en los sistemas comprometidos durante semanas o incluso meses, robando datos sin ser detectadas y esperando el momento adecuado para atacar. Por lo tanto, no nos enteramos de muchos ataques hasta mucho después de que este ha comenzado. El hecho de que su pantalla no se ilumine con demandas de rescate y sus computadoras no estén bloqueadas no significa que no haya enfrentado un ataque durante mucho tiempo. Por eso aumenta la urgencia de esta advertencia.

La naturaleza temeraria y sistematica del delito cibernetico quedo demostrada en la pandemia del coronavirus, donde los atacantes aprovecharon la situacion caotica para atacar repetidamente las redes de los hospitales en un momento en que los centros de salud tenian menos capacidad de respuesta.

“Los ataques ciberneticos a hospitales, redes electricas, tuberias, plantas de tratamiento de agua, sistemas de transporte y otras instalaciones de infraestructura critica pueden amenazar directamente la vida humana y deben tratarse en consecuencia. Si estamos claros que los ataques terroristas a la infraestructura critica nos producen temor, debemos darnos cuenta de que los ciberataques pueden tener un impacto incluso mas devastador que las bombas, dice Miloslav Lujka, Country Manager Republica Checa, Eslovaquia y Hungria de Check Point Software Technologies.

Aunque es dificil determinar exactamente que impacto tienen los ataques cibernéticos en la salud de los pacientes, ya que muchos factores influyen en esto y las complicaciones o incluso la muerte pueden seguir semanas o meses después de un ataque, queda claro a partir de los ejemplos a continuación que tenemos un gran problema por delante de nosotros, que necesita ser abordado.

Desafortunadamente, los ataques de ransomware también tocan a los hospitales checos, como lo demostraron, por ejemplo, los ataques a hospitales en Benesov y Brno.

En noviembre, el FBI advirtió sobre el ransomware Hive, que ataca activamente los sistemas de salud. Descubierto por primera vez en junio de 2021, Hive encripta archivos e interrumpe los procesos de copia de seguridad en los ataques. Ademas, este grupo amenaza con publicar información robada en el sitio web HiveLeaks a menos que se pague un rescate. Los atacantes también han llamado por teléfono a algunas de las víctimas para intensificar la amenaza. Desafortunadamente, esta es una tactica cada vez mas común en la que, ademas de cifrar datos, se roba información confidencial que puede publicarse o usarse para ataques posteriores.

El ransomware Hive se utilizó, por ejemplo, en el ataque al Hospital Lake Charles Memorial en Louisiana en octubre. Si bien se impidió que los sistemas se encriptaran, los piratas informaticos pudieron acceder a la información personal de casi 270,000 pacientes. El FBI y otras agencias federales señalan que los ciberdelincuentes que utilizan el “Hive” han extorsionado con mas de 100 millones de dólares a mas de 1.300 empresas en todo el mundo en tan solo un año y medio, y en muchos casos se trataba de organizaciones sanitarias. El Departamento de Salud y Servicios Humanos de EE. UU. también advirtió sobre los ataques del ransomware Royal, que dejó fuera de servicio el circuito de carreras mas popular de Inglaterra, Silverstone en noviembre, y es una amenaza directa para las organizaciones de atención médica.

Recientemente, un hospital francés en el suburbio de Versalles tuvo que cancelar cirugías y transferir pacientes después de un ataque de ransomware. El Hospital André-Mignot en Chesnay-Rocquencourt fue objetivo de un ciberataque que deshabilitó las computadoras y, como resultado, seis pacientes tuvieron que ser trasladados de la unidad de cuidados intensivos y la sala neonatal a hospitales cercanos. También requirió el refuerzo del personal, ya que las funciones de varias maquinas críticas no pudieron restaurarse por completo.

En septiembre, el “Centre Hospitalier Sud Francilien” de Francia, enfrentó una fuerte escalada de ataques de  LockBit 3.0. Los hackers pedían un rescate de $10 millones. Unos meses antes el grupo de hospitales “GHT Cœur Grand Est” dijo que se vio forzado a cortar las conexiones de Internet de los centros asistenciales Vitry-le-François y Saint-Dizier, después de recibir una demanda de rescate $1.3 millones de dólares. En ambos casos, los piratas informaticos cumplieron sus amenazas y publicaron información confidencial de pacientes en línea.

La industria de la salud también esta siendo atacada por Daixin Team, un grupo de hackers que utiliza ransomware creado con el código fuente de Babuk Locker para lanzar ataques. Daixin Team cifra los registros médicos, los datos de diagnósticos y el acceso a los servicios de la Intranet, al tiempo que roba datos personales e información de salud de los pacientes. Cuando exige rescate amenaza con divulgar esta información.

SickKids, uno de los hospitales pediatricos mas grandes de Canada, dijo que llevara varias semanas restaurar completamente sus sistemas informaticos después de los ataques de ransomware, lo que afectara el tratamiento de algunos pacientes.

A finales de octubre, un ataque de ransomware detuvo las operaciones en un hospital en Osaka, que tuvo que suspender los servicios médicos normales ya que su sistema para manejar registros médicos electrónicos estaba desactivado.

El gigante estadounidense de la salud CommonSpirit Health, que administra 700 sitios y 142 hospitales en 21 estados, informó a principios de diciembre que se filtraron datos de mas de 620,000 pacientes, incluidos registros médicos electrónicos, entre septiembre y octubre. A su vez, un ataque en noviembre contra otros tres hospitales de Nueva York, obligó a los médicos a cambiar las historias clínicas a papel, lo que retrasó la atención.

El notorio grupo ruso de ciberdelincuencia Conti también es responsable de una serie de ataques exorbitantes a hospitales.

Y hay muchos mas ataques que aún no conocemos. Por lo tanto, estos no son solo algunos ataques aleatorios, sino un esfuerzo organizado de varias bandas profesionales para atacar directamente al sector de la salud, y el desarrollo de nuevas amenazas corresponde a esto.

Ademas, pagar el rescate puede alentar a los ciberdelincuentes a lanzar mas ataques. Pagar el rescate tampoco garantiza que los archivos se restauraran y puede llevar semanas o incluso meses volver a la normalidad.

Algunos gobiernos también estan tratando de responder a la crítica situación. Por ejemplo, el gobierno australiano esta considerando una nueva legislación que imposibilitaría el pago de rescates, lo que podría cambiar la estrategia cibernética de muchas organizaciones. Entonces, qué pueden hacer las organizaciones de atención médica para protegerse de las ciberamenazas? Es importante tener en cuenta que un ataque de ransomware generalmente comienza con otra amenaza, y el cifrado de archivos y la solicitud de rescate es solo una de las siguientes etapas. Por ello, es fundamental protegerse de todo tipo de amenazas y saber responder.

Consejos de seguridad para organizaciones sanitarias:

1.Cuidado con los troyanos: los ataques de ransomware generalmente no comienzan con ransomware. Ryuk y otros tipos de ransomware usan troyanos en la fase inicial. La infección troyana ocurre días o semanas antes de un ataque de ransomware, por lo que los equipos de seguridad deben buscar infecciones Trickbot, Emotet, Dridex o Cobalt Strike en sus redes y eliminarlas antes de que puedan preparar el escenario para el ransomware.

  1. Manténgase alerta los fines de semana y días festivos: la mayoría de los ataques de ransomware tienen lugar los fines de semana y días festivos. Los piratas informaticos intentan apuntar a momentos en los que es mas probable que los equipos de TI y seguridad estén fuera de horario y la respuesta a la amenaza sea mas lenta.
  2. Use anti-ransomware: los ataques de ransomware son sofisticados, pero una solución anti-ransomware reparara cualquier daño y devolvera todo a la normalidad en minutos. La protección antiransomware vigila cualquier actividad inusual, como abrir y cifrar grandes cantidades de archivos. Si el anti-ransomware detecta algún comportamiento sospechoso, puede reaccionar de inmediato y evitar daños masivos.
  3. La copia de seguridad y el archivo de datos son esenciales: el objetivo del ransomware es obligar a la víctima a pagar un rescate para recuperar el acceso a los datos cifrados. Sin embargo, esto solo es efectivo si el objetivo realmente pierde el acceso a sus datos. Si algo sale mal, sus datos deberían poder recuperarse facil y rapidamente. Por lo tanto, es imperativo realizar copias de seguridad de manera constante, incluso automaticamente en los dispositivos de los empleados, y no depender de que ellos mismos recuerden activar la copia de seguridad.
  4. Limite el acceso solo a la información y el segmento necesarios: si desea minimizar el impacto de un ataque exitoso, es importante asegurarse de que los usuarios solo tengan acceso a la información y los recursos que necesitan absolutamente para hacer su trabajo. La segmentación de su red minimiza el riesgo de que el ransomware se propague sin control por toda su organización. Lidiar con las consecuencias de un ataque de ransomware en un solo sistema puede ser difícil, pero reparar el daño después de un ataque en toda la red es mucho mas desafiante.
  5. La educación es una parte esencial de la protección: los empleados deben poder reconocer amenazas potenciales. De hecho, muchos ataques cibernéticos comienzan con phishing dirigido, que, si bien no contiene malware, utiliza la ingeniería social para atraer a los usuarios a hacer clic en un enlace malicioso o proporcionar información confidencial. Por lo tanto, la educación del usuario es una de las partes mas importantes de la protección.
  6. Instale regularmente actualizaciones y parches: WannaCry afectó duramente a organizaciones de todo el mundo en mayo de 2017, infectando mas de 200 000 computadoras en tres días. Sin embargo, un mes antes del ataque había disponible un parche para la vulnerabilidad EternalBlue explotada. Las actualizaciones y los parches se instalan de forma inmediata y automatica. Parchear y actualizar versiones antiguas de software y sistemas. Sin embargo, en muchos casos esto no es posible en los hospitales por diversas razones. Por lo tanto, recomendamos usar un Sistema de prevención de intrusiones (IPS) con capacidades de parcheo virtual para evitar intentos de explotar las debilidades en sistemas o aplicaciones vulnerables. Un IPS actualizado ayuda a las organizaciones a mantenerse seguras.
  7. Asegure todo y confórmese con lo mejor: no subestime nada, las computadoras, servidores, dispositivos móviles, así como bombillas inteligentes o cualquier otro dispositivo IoT pueden ser un punto de entrada y una puerta de entrada a su organización para los piratas informaticos. Por lo tanto, utilice siempre las mejores soluciones de seguridad y, si es necesario, utilice los servicios de equipos externos especializados en la captura de amenazas.

FUENTE: Checkpoint

INFORMÁTICA FORENSE
error: Content is protected !!