Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

‘Vidas en juego’: cómo el ransomware afecta a los hospitales

A medida que COVID-19 se extendió por todo el mundo en marzo, varios operadores de ransomware declararon que no apuntarían a instalaciones de atención médica como hospitales durante la pandemia.

Una de esas bandas de ransomware fue Maze, que declaró en un comunicado de prensa fechado el 18 de marzo que «También detenemos toda actividad contra todo tipo de organizaciones médicas hasta que se estabilice la situación con el virus». Poco después de que la organización hiciera sus declaraciones iniciales prometiendo no atacar a las organizaciones médicas, los operadores de Maze filtraron datos de una empresa con sede en Londres, Hammersmith Medicines Research, que habían atacado a la empresa días antes. Y en mayo, los operadores publicaron datos de dos cirujanos plásticos separados.

El vicepresidente senior y CTO de servicios estratégicos de Mandiant, Charles Carmakal, dijo que la mayoría de las organizaciones de atención médica objetivo del ransomware durante la pandemia de coronavirus no incluyen hospitales, pero algunas aún están siendo afectadas.

«En lo que respecta a atacar activamente a los hospitales, esa es una línea que la mayoría de los actores de amenazas eligen no cruzar. La mayoría de las personas, la mayoría de los delincuentes, no quieren dañar a las personas, no quieren matarlas en el proceso. Varias de los actores y grupos de amenazas han declarado explícitamente que no van a apuntar a los hospitales, especialmente en los primeros días de COVID «, dijo. «Dicho esto, definitivamente conocemos a algunos actores de amenazas que han estado apuntando activamente a las organizaciones hospitalarias con sede en los EE. UU. Para intentar ganar millones de dólares en demandas de extorsión para el pago de rescates».

Carmakal enfatizó que cuando la gente habla de organizaciones de «salud» que están siendo atacadas por ransomware, eso no se refiere solo a los hospitales. Las organizaciones de atención médica pueden incluir compañías de biotecnología, compañías farmacéuticas, compañías de tecnología médica y compañías que brindan procesamiento comercial.

Una captura de pantalla del anuncio de la banda de ransomware Maze de que no atacará a las organizaciones de atención médica durante la pandemia de coronavirus.
Una captura de pantalla del anuncio de la banda de ransomware Maze de que no atacará a las organizaciones de atención médica durante la pandemia de coronavirus.

La investigación de Check Point mostró que los ataques de ransomware a las organizaciones de atención médica a nivel mundial casi se han duplicado, del 2,3% de las organizaciones en el segundo trimestre de 2020 al 4% en el tercer trimestre. Además, en los Estados Unidos, el cuidado de la salud es el principal objetivo de la industria.

Los peligros de apuntar a los hospitales

Si bien los hospitales representan una fracción de estos ataques, el asesor de seguridad senior de Sophos, John Shier, señaló que los hospitales se ven «especialmente afectados porque no solo se están perdiendo dólares como ocurre con la fabricación o la empresa. Hay vidas potencialmente en juego».

Este riesgo se demostró en el incidente que involucró a una mujer de 78 años en Alemania el mes pasado que tuvo que ser desviada del Hospital Universitario de Düsseldorf, que había sufrido un ataque de ransomware que cerró los sistemas de TI. La mujer tuvo que ser trasladada a un hospital diferente en una ciudad vecina, donde luego fue declarada muerta, y las autoridades alemanas iniciaron una investigación por homicidio negligente como resultado.

CONTENIDO RELACIONADO  Cuestionario sobre el sistema de respuesta de voz interactiva (IVR) del centro de llamadas

El Hospital Universitario de Düsseldorf anunció que había «dado de baja de la atención de emergencia» debido al devastador ataque de ransomware. «Esto tiene consecuencias de gran alcance para las operaciones del hospital, ya que las actividades en el sistema informático son necesarias para muchos procesos», dijo el hospital en un comunicado.

Shier explicó cómo los ataques de ransomware hacen que los hospitales funcionen de manera diferente.

«Obliga a los hospitales, o al menos a ciertos hospitales, a operar de una manera muy diferente a la que están acostumbrados a operar, y los obliga a hacerlo muy rápido hasta el punto en que resulta en algo de caos y desorden en ciertos casos. . Ciertos hospitales dependen de sistemas electrónicos para realizar la admisión básica de pacientes en la sala de emergencias, por ejemplo. O simplemente, para buscar registros médicos de pacientes. Y si no tiene acceso a ellos, definitivamente puede ralentizar o redirigir algunos de estos recursos, y eso a menudo es a expensas de la atención del paciente «, dijo Shier.

Los hospitales también enfrentan mayores riesgos de ciberseguridad debido en parte a la amplia gama de tecnología, tanto hardware y software antiguos como nuevos, que se pueden encontrar dentro de ellos.

Los ciberataques han provocado que los hospitales, al menos en parte, cambien a medios de mantenimiento de registros más basados ​​en papel, y Carmakal explicó que cuando los sistemas informáticos fallan y los hospitales tienen que cambiar al papel, la información como alergias conocidas y listas de medicamentos puede estar mucho menos disponible de inmediato. .

Cómo el ransomware afecta a los hospitales

Carmakal explicó que el proceso típico para los hospitales afectados por ransomware sigue varios pasos.

Inicialmente, el actor de amenazas encuentra un camino hacia la organización, comúnmente a través de phishing basado en correo electrónico o mediante vulnerabilidades en la infraestructura orientada a Internet, y al hacerlo, crea una puerta trasera e instala malware en la computadora de un usuario. Debido a que COVID-19 puede hacer que el uso de la computadora personal y del trabajo se mezcle más en una oficina en casa (los empleados están revisando sus correos electrónicos personales en las computadoras del trabajo), algunos esfuerzos de phishing se dirigirán a los correos electrónicos personales sin protecciones a nivel empresarial.

En segundo lugar, el actor de amenazas intenta escalar los privilegios y moverse lateralmente hasta que tenga un acceso lo suficientemente amplio y alto al entorno, de modo que pueda acceder a los sistemas de respaldo, sistemas críticos como controladores de dominio y entornos de Windows, así como a otros sistemas y servidores en el entorno donde, si se desconectaran, causaría un gran impacto en la organización.

Finalmente, el actor de amenazas encripta todos los sistemas a los que tiene acceso, generalmente en los días previos a un fin de semana, cuando el personal de TI suele ser más liviano.

CONTENIDO RELACIONADO  Estrategias clave de implementación de HRIS para pequeñas empresas

Durante los ciberataques de NotPetya de junio de 2017, los hospitales de Heritage Valley Health System en Pensilvania fueron afectados por ransomware como resultado de que una computadora dentro de la red fue infectada por una entidad conectada desde fuera de la red del sistema de atención médica. Como decía la acusación de Sandworm: «Al robar y usar las credenciales de usuario de Heritage Valley para autopropagarse, el malware se propaga desde la computadora de Heritage Valley infectada inicialmente a otras computadoras en la red de computadoras de Heritage Valley».

Además de bloquear los discos duros y las estaciones de trabajo, los proveedores de atención médica perdieron el acceso a las listas de pacientes, los registros médicos de los pacientes, los registros de laboratorio anteriores y una serie de sistemas informáticos de misión crítica (incluidas las notas de acusación, los relacionados con «cardiología, medicina nuclear, radiología y cirugía «). Las interrupciones oscilaron entre aproximadamente una semana y un mes.

Cybereason CISO Israel Barak dijo que el objetivo del ransomware se ha movido mucho más allá del cifrado de archivos y ha entrado en el territorio de hacer imposible la operación a plena capacidad.

«Ataques de ransomware modernos, donde [many organizations] se han visto afectados por el mismo método de funcionamiento este año, ya no se trata simplemente de cifrado de archivos. Básicamente, cuando piensa en estos ataques de ransomware, qué son estos ataques de ransomware modernos: son operaciones de piratería y están diseñados para incapacitar y abrumar a sus víctimas y obtener el máximo apalancamiento al cerrar gran parte de la capacidad fundamental de sus víctimas para operar «, dijo.» Cuando le haces eso a una gran empresa, puedes exigir sumas de rescate de seis y siete cifras a cambio, ante todo, no de los datos, sino de la capacidad de la víctima para recuperar la capacidad operativa. Y también a cambio de desbloquear los datos y garantizar no revelar ese tesoro de datos que el atacante había robado «.

Si bien el cese de las operaciones puede haber sido el modus operandi de las operaciones de ransomware últimamente, los hospitales también se han enfrentado a este tipo de ataques desde al menos 2017 con los ataques de WannaCry, como explica un artículo sobre ransomware publicado por la Asociación Estadounidense de Hospitales (AHA).

«El ataque de ransomware WannaCry de 2017 infectó 1.200 dispositivos de diagnóstico, provocó que muchos otros quedaran fuera de servicio temporalmente para evitar la propagación del malware y obligó a cinco departamentos de urgencias de hospitales del Reino Unido a cerrar y desviar a los pacientes, según un informe de investigación del Reino Unido. Oficina Nacional de Auditoría (NAO). La investigación también encontró que el ataque (que se lanzó contra objetivos en todo el mundo) infectó al menos 81 de los 236 hospitales del Sistema Nacional de Salud (NHS) en Inglaterra, además de 603 de atención primaria y 595 consultorios médicos, lo que provocó se cancelarán más de 19.000 citas «, escribió el autor John Riggi, asesor principal de ciberseguridad y riesgo de la AHA.

CONTENIDO RELACIONADO  WUMT realiza actualizaciones cuando WU no puede o no quiere

Viendo hacia adelante

Más allá de los efectos inmediatos de limitar o interrumpir totalmente la atención de emergencia, los ataques de ransomware en hospitales pueden tener consecuencias persistentes. En un comunicado fechado el 12 de octubre, el Hospital Universitario de Düsseldorf dijo que finalmente volvió a la cantidad normal de pacientes luego del ataque de ransomware que sufrió más de un mes antes el 10 de septiembre. El hospital dijo que la atención de emergencia no estaba disponible y que las ambulancias no podían ser aceptado – hasta el 23 de septiembre.

En una actualización anterior, el Hospital Universitario de Düsseldorf dijo que la restauración de las operaciones de los servicios de emergencia se realizó en etapas debido a los diferentes requisitos de TI. «Un ejemplo de esto es la sala de partos, que tiene diferentes requisitos de red de TI que algunas operaciones especializadas», dijo el hospital, y agregó que un prerrequisito crítico era restaurar los sistemas de imágenes médicas para tomografías computarizadas o imágenes de rayos X, que fueron impactados por el ataque.

Mike McLellan, director de inteligencia de Secureworks Counter Threat Unit, dijo a SearchSecurity que las organizaciones de atención médica, incluidos los hospitales, pueden enfrentar problemas con las inversiones en ciberseguridad.

«El enfoque principal de las organizaciones de atención médica es, con razón, el cuidado de las personas. Sin embargo, pueden sufrir una falta de inversión en controles de seguridad adecuados. En un clima de recursos limitados y prioridades desafiantes, la seguridad de los sistemas y los datos confidenciales, mientras indudablemente visto como importante, puede que no reciba la atención que necesita, hasta que sea demasiado tarde. Esto puede dejar a las organizaciones vulnerables y un objetivo atractivo para los delincuentes sin escrúpulos que tienen poca consideración por el impacto de sus acciones en el mundo real «, dijo McLellan. .

Para ayudar a prevenir el ransomware en el futuro, McLellan dijo que las organizaciones deben priorizar la higiene de la red.

«Tratar de detener estos ataques en el punto donde los datos se cifran es inútil. La mayoría de las veces, los perpetradores habrán tenido acceso al medio ambiente durante días, posiblemente incluso semanas, antes de implementar su ransomware», dijo. «Los hospitales y otras organizaciones, dado que el ransomware sigue siendo una amenaza indiscriminada y oportunista, deben centrarse en la prevención mediante una buena higiene de la red y en los servicios de protección y detección que puedan identificar la amenaza antes de que sea demasiado tarde».

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

Una breve reseña del Samsung Galaxy S10 Plus

He estado probando el nuevo Samsung Galaxy S10 Plus desde que se anunció en Samsung UNPACKED 2019 en febrero. Dado que no revisamos los dispositivos con mucha frecuencia (pero hacemos excepciones), seré breve y ofreceré

¿Qué es Microsoft Windows 8 Modern?

Microsoft Windows 8 Modern (anteriormente llamado Metro) es la interfaz de usuario (UI) lanzada inicialmente con el sistema operativo (SO) Windows 8. Modern utiliza esquemas de colores brillantes y de alto contraste y arreglos de

NFS vs. CIFS / SMB: ¿Cuáles son las diferencias?

¿Cuál es la diferencia entre NFS y CIFS? ¿Puede explicar cuándo debería usar NFS o CIFS? NFS (Network File System) y CIFS (Common Internet File System) son protocolos diseñados para permitir que un sistema cliente

Navegue por el mercado hiperconvergente actual

La infraestructura hiperconvergente ha irrumpido en escena en los últimos años. Ahora está llegando al punto en que la lista de proveedores que no tienen ofertas de HCI es más corta que la lista de

¿Qué es VMware View?

La virtualización de servidores en el centro de datos ha sido una tendencia durante años, pero los escritorios virtuales han tardado en ponerse de moda. Vista de VMware es la entrada de VMware en el

¿Qué es el sistema operativo RIOT?

El sistema operativo RIOT es un sistema operativo de código abierto especializado para dispositivos IoT (Internet de las cosas). RIOT fue desarrollado por una comunidad mundial de empresas, académicos y aficionados. RIOT permite a los

¿Qué es Windows 8? – Definición de Krypton Solid

Windows 8 es un sistema operativo de computadora personal que forma parte de la familia Windows NT. Windows 8 introdujo cambios significativos en el sistema operativo Windows y su interfaz de usuario (UI), dirigidos tanto

Amenazas móviles e IoT durante la temporada navideña

A medida que se acerca la temporada navideña y más y más consumidores comienzan a comprar, comparar precios e investigar obsequios en línea, se espera que los esfuerzos de los ciberdelincuentes se aceleren. Los minoristas

¿Qué es la arquitectura de componentes de servicio (SCA)?

La arquitectura de componentes de servicio (SCA) es un grupo de especificaciones destinadas al desarrollo de aplicaciones basadas en la arquitectura orientada a servicios (SOA), que define cómo las entidades informáticas interactúan para realizar el

Cómo mantenerlo simple

Las evaluaciones de riesgos identifican aquellas situaciones que presentan la mayor amenaza potencial para una organización, sus… probabilidad de que ocurran y el daño potencial que podrían causar. Los datos de una evaluación de riesgos

¿Qué es la informática de usuario final (EUC)?

La informática de usuario final (EUC) es un término que se refiere a las tecnologías que los profesionales de TI utilizan para implementar, administrar y proteger los dispositivos, las aplicaciones y los datos que los

Crónica de las noticias sobre la fusión Dell-EMC

Nota del editor Desde que se anunció la fusión Dell-EMC en octubre de 2015, ha surgido un flujo constante de noticias. Esa noticia ha alternado entre informes que arrojan dudas sobre si las empresas pueden

10 herramientas para considerar la voz del cliente

Las herramientas de voz del cliente ayudan a proporcionar una visión completa de la experiencia del cliente al recopilar comentarios a través de múltiples canales. La recopilación de datos de los clientes puede ser una

La guía definitiva de ahorro de costes de VDI

Artículo No todas las organizaciones pueden reducir los costos de VDI con HCI Algunas organizaciones tienen más que ganar que otras si adoptan HCI para VDI. Las empresas más pequeñas, por ejemplo, pueden no tener

¿Qué es TCPView? – Definición de Krypton Solid

TCPView es una utilidad de monitoreo de red de Windows que muestra una representación gráfica de todos los puntos finales TCP y UDP actualmente activos en un sistema. TCPView permite ordenar por nombre de proceso,

Una descripción básica de los micro frontales

Las interfaces de las aplicaciones deben ser flexibles y fáciles de actualizar, lo que permite que la interfaz de usuario se adapte perfectamente al cliente objetivo. El último lugar para el trabajo de desarrollo difícil

Noticias, ayuda e investigación sobre software CPM

Software de CPM Noticias 02 de noviembre de 2020 02 Nov.20 Coupa adquiere Llamasoft para agilidad en la cadena de suministro La adquisición de Coupa Software de Llamasoft por $ 1.5 mil millones traerá capacidades

Southwest, otros hacen volar el CRM móvil y social

Para las empresas que dependen de la repetición de negocios de clientes leales, mantener una reputación de calidad en el servicio al cliente es fundamental. Para Southwest Airlines, eso significa brindar un servicio al cliente

Los sistemas WCM eficaces funcionan entre bastidores

La computación cognitiva está cambiando fundamentalmente la forma en que interactuamos con la información; solo considere Watson de IBM. En parte debido a la PeligroConcursante ganador, la computación cognitiva se ha convertido en un tema

Info Tech Health Check revitaliza VMware ITBM

Fuente: Dzmitry Sukhavarau/Fotolia VMware IT Benchmark Basic y VMware IT Benchmark Tower fueron el resultado de la adquisición de ciertos activos iTHC (Info Tech Health Check), específicamente BM Lite, QuickStart y Comprehensive Benchmark en abril

¿Cuál es el estado del mercado?

El almacenamiento en caché de unidades de estado sólido ha existido lo suficiente como para que se lo considere más un elemento de la lista de verificación que una característica excelente. Como tal, gran parte

Permita solo el tráfico de AWS que desee

Fuente: Imágenes de Akindo / Getty Editor visual: Sarah Evans Cuando incorpora un nuevo servicio o carga de trabajo a una implementación de AWS, es importante controlar y restringir el tráfico a esos nuevos recursos.

¿Qué es construir su propia banda ancha (BYOB)?

Build your own broadband (BYOB) es una iniciativa impulsada por la comunidad o el individuo para sentar las bases de la Internet de alta velocidad, en lugar del trabajo que realiza un proveedor de servicios

Deja un comentario