110 hogares de ancianos aislados de registros de salud en ataque de ransomware – Krebs on Protection


Un brote de ransomware ha asediado una empresa de TI con sede en Wisconsin que proporciona alojamiento de datos en la nube, seguridad y gestión de acceso a más de 100 hogares de ancianos en todo Estados Unidos. El ataque en curso impide que estos centros de atención accedan a los registros médicos cruciales de los pacientes, y el propietario de la compañía de TI dice que teme que este incidente pronto pueda llevar no solo al cierre de su negocio, sino también a la desaparición prematura de algunos pacientes.

Milwaukee, Wisc. basado Digital Care Supplier Inc. (VCPI) brinda servicios de consultoría de TI, acceso a Internet, almacenamiento de datos y seguridad a unos 110 hogares de ancianos y centros de cuidados intensivos en 45 estados. En whole, VCPI es responsable de mantener aproximadamente 80,000 computadoras y servidores que ayudan a esas instalaciones.

Alrededor de la 1:30 a.m. CT del 17 de noviembre, atacantes desconocidos lanzaron una cepa de ransomware conocida como Ryuk dentro de las redes de VCPI, encriptando todos los datos que la compañía aloja para sus clientes y exigiendo un enorme rescate de $ 14 millones a cambio de una clave electronic necesaria para desbloquear el acceso a los archivos. Ryuk se ha hecho un nombre a sí mismo dirigido a empresas que prestan servicios a otras empresas, en specific a empresas de datos en la nube, con las demandas de rescate establecidas de acuerdo con la capacidad percibida de pago de la víctima.

En una entrevista con KrebsOnSecurity hoy, director ejecutivo y propietario de VCPI Karen Christianson dijo que el ataque había afectado prácticamente todas sus ofertas principales, incluido el servicio de Internet y el correo electrónico, el acceso a registros de pacientes, facturación de clientes y sistemas telefónicos, e incluso las propias operaciones de nómina de VCPI que atienden a casi 150 empleados de la compañía.

Los centros de atención a los que sirve VCPI acceden a sus registros y otros sistemas subcontratados a VCPI mediante el uso de un Basado en Citrix redes privadas virtuales (VPN), y Christianson dijo que restaurar el acceso de los clientes a esta funcionalidad es la principal prioridad de la compañía en este momento.

«Tenemos empleados que preguntan cuándo vamos a hacer la nómina», dijo Christianson. «Pero en este momento, todo lo que estamos tratando es hacer una copia de seguridad de los registros médicos electrónicos y manejar primero las situaciones que amenazan la vida».

Christianson dijo que su empresa no puede pagar la cantidad de rescate exigida, aproximadamente $ 14 millones en Bitcoin, y dijo que algunos clientes pronto estarán en peligro de tener que cerrar sus puertas si VCPI no puede recuperarse del ataque.

«Tenemos algunas instalaciones donde las enfermeras no pueden actualizar los medicamentos y poner la orden para que los medicamentos lleguen a tiempo», dijo. “En otro caso, tenemos este pequeño lugar de vivienda asistida que es solo una unidad que se conecta a la facturación. Y si no reciben su facturación en Medicaid antes del 5 de diciembre, cierran sus puertas. Las personas de la tercera edad que no tienen familia a la que acudir están listas. En este momento tenemos muchos (clientes) que dicen: «Solo dame mis datos», pero no podemos «.

El incidente en curso en VCPI es solo el último de una serie de ataques de ransomware contra organizaciones de atención médica, que generalmente operan con márgenes de ganancia muy reducidos y tienen relativamente pocos fondos para invertir en el mantenimiento y la seguridad de sus sistemas de TI.

A principios de esta semana, un El hospital de 1.300 camas en Francia fue atacado por ransomware que desconectó sus sistemas informáticos, causando «demoras muy largas en la atención» y obligando al individual a recurrir a la pluma y el papel.

El 20 de noviembre, con sede en Cape Girardeau, Missouri. Sistema de salud de San Francisco comenzó a notificar a los pacientes sobre un ataque de ransomware que dejó a los médicos incapaces de acceder a los registros médicos antes del 1 de enero.

Trágicamente, hay evidencia que sugiere que los resultados del paciente pueden sufrir incluso después de que el polvo se asiente de una infestación de ransomware en un proveedor de atención médica. Una nueva investigación indica que los hospitales y otros centros de atención que han sido afectados por una violación de datos o un ataque de ransomware pueden esperar un aumento en la tasa de mortalidad entre ciertos pacientes en los siguientes meses o años debido a los esfuerzos de remediación de seguridad cibernética.

Investigadores de Owen Graduate Faculty of Administration de la Universidad de Vanderbilt tomaron la lista de violaciones de datos de atención médica del Departamento de Salud y Servicios Humanos (HHS) y la usaron para profundizar en datos sobre tasas de mortalidad de pacientes en más de 3,000 hospitales certificados por Medicare, alrededor de 10 por ciento de los cuales había experimentado una violación de datos.

Sus hallazgos sugieren que después de la violación de datos, se produjeron anualmente hasta 36 muertes adicionales por cada 10,000 ataques cardíacos en los cientos de hospitales examinados. Los investigadores concluyeron que para los centros de atención que experimentaron una brecha, a los pacientes sospechosos de ataque cardíaco les tomó 2.7 minutos adicionales recibir un electrocardiograma.

Con demasiada frecuencia, las empresas afectadas por el ransomware Ryuk se ven comprometidas durante meses o incluso años antes de que los intrusos puedan mapear las redes internas del objetivo y comprometer los recursos clave y los sistemas de respaldo de datos. Por lo normal, la infección inicial se debe a un archivo adjunto de correo electrónico atrapado con explosivos que se utiliza para descargar malware adicional, como Trickbot y Emotet.

Este gráfico de US-CERT muestra cómo el malware Emotet se united states típicamente para sentar las bases para una infestación de ransomware completa.

En este caso, hay evidencia que sugiere que VCPI se vio comprometido por una (o ambas) de estas cepas de malware en múltiples ocasiones durante el año pasado. Alex Holden, fundador de la firma de inteligencia cibernética con sede en Milwaukee Mantener la seguridad, mostró la información de KrebsOnSecurity obtenida del monitoreo de comunicaciones website oscuras que sugería que la intrusión inicial podría haber comenzado ya en septiembre de 2018.

Holden dijo tEl ataque fue evitable hasta el ultimate cuando se implementó el ransomware, y que este ataque muestra una vez más que incluso después de la infección inicial de Trickbot o Emotet, las compañías aún pueden prevenir un ataque de ransomware. Eso es, por supuesto, suponiendo que tienen la costumbre de buscar regularmente signos de una intrusión.

«Si bien está claro que la violación inicial ocurrió hace 14 meses, la escalada del compromiso no comenzó hasta alrededor del 15 de noviembre de este año», dijo Holden. “Cuando miramos esto en retrospectiva, durante estos tres días, los ciberdelincuentes comprometieron lentamente toda la purple, deshabilitaron el antivirus, ejecutaron scripts personalizados e implementaron ransomware. Al principio ni siquiera tuvieron éxito, pero siguieron intentándolo «.

El CEO de VCPI dijo que su organización planea documentar públicamente todo lo que ha sucedido hasta ahora cuando (y si) este ataque está bajo handle, pero por ahora la compañía está completamente enfocada en la reconstrucción de sistemas y la restauración de operaciones, y en mantener informados a los clientes en cada paso del camino.

«Vamos a hacer que sea parte de nuestra estrategia compartir todo lo que estamos pasando», dijo Christianson, y agregó que cuando la compañía intentó inicialmente varios esfuerzos para evadir a los intrusos, sus sistemas telefónicos sufrieron un ataque concertado. «Pero todavía estamos bajo ataque, y tan pronto como podamos abrir, vamos a documentar todo».


Etiquetas: alex holden, Hold Security, Karen Christianson, VCPI

Esta entrada fue publicada el sábado 23 de noviembre de 2019 a las 12:02 a.m. y está archivada en Ransomware, The Coming Storm.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el remaining y dejar un comentario. Pinging no está permitido actualmente.



Source hyperlink

Be the first to comment

Leave a Reply

Tu dirección de correo no será publicada.


*