Treo Blog

  • Jonathan Rodriguez Paipa

La industria de la salud bajo la amenaza de ataques de troyanos y ransomware

Por Austin McBride



Crédito: Pexels

El 28 de octubre de 2020, se emitió un aviso conjunto de la Oficina Federal de Investigaciones (FBI) de los Estados Unidos, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Departamento de Salud y Servicios Humanos (HHS) sobre una amenaza inminente de ciberataque en hospitales y proveedores de atención médica de EE. UU.


Las agencias afirmaron tener "información creíble de una amenaza creciente e inminente de ciberdelito para los hospitales y proveedores de atención médica de EE. UU."










En las últimas semanas, los investigadores de amenazas de Cisco Talos han observado una serie de ataques de ransomware recientes en redes hospitalarias que utilizan el troyano bancario Trickbot como cuentagotas para implementar Ryuk ransomware como carga útil. Una vez implementado, Ryuk cifra los datos en los sistemas infectados y los retiene para pedir un rescate a cambio de un pago a una billetera de criptomonedas. El 30 de octubre, Cisco Talos confirmó que tienen varios compromisos de respuesta a incidentes activos que involucran organizaciones de atención médica, y que el 20% de los compromisos de respuesta a incidentes en los últimos 90 días involucran al sector de la salud. Talos ha observado la actividad de los atacantes utilizando Trickbot y Ryuk para apuntar a hospitales y proveedores de atención médica de EE. UU., Así como a otros que son atacados con la herramienta de equipo rojo Cobalt Strike. El 28 y 29 de octubre, las preocupaciones planteadas en el aviso conjunto fueron respaldadas por informes de seis hospitales en los EE. UU. Comprometidos con Ryuk en el lapso de 24 horas.



El tráfico general de ransomware aumentó 7.8 veces en el sector de la salud durante la semana pasada (fuente: Cisco Umbrella Global Network)

Una infección de ransomware típica de este tipo utiliza correos electrónicos de phishing u otros métodos para infectar a sus víctimas. Los correos electrónicos generalmente contienen un enlace malicioso que lanza un descargador de malware, a menudo Trickbot, en la máquina del usuario infectado, lo que le permite al atacante establecer un punto de apoyo en la red e implementar el ransomware Ryuk. Aunque Trickbot y Ryuk no son recién llegados al panorama de amenazas, el mayor enfoque de los atacantes en el sector de la salud durante una crisis de salud global ya estresante es alarmante. Ha habido un aumento del 71% en los ataques de ransomware en el sector de la salud durante octubre de 2020, y Ryuk estuvo detrás del 75% de estos incidentes. Desafortunadamente, los ataques de ransomware en hospitales no están exentos de consecuencias en el mundo real: un ataque reciente de ransomware en un hospital en Alemania provocó la muerte de un paciente que tuvo que ser trasladado a otro hospital como resultado del ataque. A medida que la atención médica se vuelve más dependiente de la tecnología, es más importante que nunca prevenir ataques de ransomware y otros tipos de infecciones de software malicioso.



La actividad del ransomware Ryuk aumentó significativamente durante la semana pasada (fuente: Cisco Umbrella Global Network)

Sabemos desde hace algún tiempo que la industria de la salud es particularmente vulnerable a los ciberataques. Con los dispositivos médicos conectados a Internet y la información confidencial del paciente almacenada en sistemas de registros de salud electrónicos (EHR), las organizaciones de atención médica como hospitales, clínicas, fabricantes de dispositivos médicos e instituciones de investigación son objetivos candentes de los ataques de ransomware. Las investigaciones indican que los registros de pacientes son el tipo de información personal más valiosa y costosa que se comercializa en la web oscura, lo que los convierte en un objetivo principal para los atacantes. Desde 2016, los incidentes de ransomware le han costado a la industria de la salud de EE. UU. Más de 157 millones de dólares, y esa cifra sigue creciendo.


Una vez que un ataque de ransomware se infiltra en la red, se convierte en una carrera contra el tiempo. La estrategia de prevención de ransomware más eficaz detectará y detendrá las amenazas antes de que traspasen el perímetro de la red. Y dado que el 90% del malware utiliza DNS para obtener comando y control, exfiltrar datos o redirigir el tráfico web, la seguridad de la capa DNS es la primera línea de defensa más eficaz contra el ransomware.


Cisco Umbrella es un servicio de seguridad entregado en la nube que bloquea las solicitudes a destinos maliciosos incluso antes de que se establezca una conexión. Umbrella también brinda protección para todos los usuarios en su red, en cualquier dispositivo, en cualquier lugar que elijan trabajar. Es fácil de implementar y administrar, y brinda a las organizaciones de atención médica visibilidad de toda la actividad de Internet en todas las ubicaciones y dispositivos.


Con Cisco Umbrella, los equipos de TI pueden identificar cualquier dispositivo que haya sido infectado por ransomware o usuarios que hayan sido blanco de ataques de ransomware, reduciendo el tiempo de reparación. Umbrella puede identificar el acceso potencialmente no autorizado o las amenazas a los datos de PHI, incluso los que están almacenados en aplicaciones en la nube. Y con Cisco Umbrella Investigate, los investigadores de seguridad obtienen inteligencia actualizada al minuto sobre amenazas emergentes de ransomware, así como contenido histórico sobre cada dominio en Internet, que le permite ver las relaciones entre malware, dominios, IP y redes para responder rápidamente a incidentes críticos.


La seguridad de la capa de DNS proporciona la primera línea de defensa contra el ransomware, pero las organizaciones sanitarias pueden verse comprometidas de otras formas además de los vectores basados ​​en Internet. Los equipos de seguridad deben estar atentos al movimiento lateral del ransomware dentro de la red y estar preparados para eliminar su propagación y reducir la cantidad de tiempo que un atacante pasa dentro de su red. Como práctica recomendada, todas las organizaciones de atención médica deben implementar medidas de seguridad adicionales contra ataques de ransomware, como protección de terminales, firewall en la nube (CDFW), puerta de enlace web segura (SWG) y agente de seguridad de acceso a la nube (CASB). Cisco Umbrella proporciona muchas de estas funciones como parte del paquete Secure Internet Gateway (SIG) Essentials , y Umbrella se integra con Cisco Secure Endpoint (AMP para terminales) para la seguridad del endpoint. Para simplificar la administración y acelerar la respuesta a incidentes, las organizaciones deben considerar el uso de una plataforma de orquestación, automatización y respuesta de seguridad (SOAR) donde los manuales de respuesta a incidentes de ransomware se pueden personalizar y automatizar. Todos los paquetes de Cisco Umbrella incluyen Cisco SecureX , una experiencia de plataforma integrada y nativa de la nube que conecta el portafolio de Cisco Secure con su infraestructura. SecureX está integrado y abierto para simplificar, unificado en una ubicación para brindar visibilidad y maximiza la eficiencia operativa con flujos de trabajo automatizados.


Fuente: https://umbrella.cisco.com/blog/healthcare-industry-under-threat-of-trojan-and-ransomware-attacks


D&S colores.png

Un Servidor en Quien Confiar

Servicio al cliente:

contactodirecto@datayservice.com

PBX + 57 6 8812277

Calle 54 # 26-60

ZIP 170004

Manizales, Colombia

Peticiones quejas y reclamos:

pqr.datayservice@datayservice.com

 

 © Data&Service, todos los derechos reservados.