Ransomware muerde 400 hospitales veterinarios


Asociados Veterinarios Nacionales (NVA), una compañía de California que posee más de 700 instalaciones de cuidado de animales en todo el mundo, todavía está trabajando para recuperarse de un ataque de ransomware a fines del mes pasado que afectó a más de la mitad de esas propiedades, separando muchas prácticas veterinarias de sus registros de pacientes, pago sistemas y software de gestión de prácticas. NVA dice que espera que todas las instalaciones vuelvan a funcionar y funcionen normalmente dentro de la próxima semana.

NVA, con sede en Agoura Hills, California, se autodenomina como el propietario privado más grande de hospitales veterinarios independientes en los Estados Unidos. De la empresa Sitio internet dice que actualmente posee aproximadamente 700 hospitales veterinarios e instalaciones de alojamiento de animales en los Estados Unidos, Canadá, Australia y Nueva Zelanda.

NVA dijo que descubrió el brote de ransomware en la mañana del domingo 27 de octubre, y poco después contrató a dos firmas de seguridad externas para investigar y remediar el ataque. Una fuente cercana a la investigación le dijo a KrebsOnSecurity que NVA fue golpeado con Ryuk, una cepa de ransomware detectada por primera vez en agosto de 2018 que se dirige principalmente a organizaciones grandes para obtener un retorno de rescate elevado.

NVA se negó a responder preguntas sobre el malware, o si el NVA pagó la demanda de rescate.

«Era ransomware, pero nos hemos referido a él como un incidente de malware», dijo Laura Koester, Director de marketing and advertising de NVA.

Koester dijo que debido a que cada clinic de NVA ejecuta sus operaciones de TI como mejor les parezca, no todos fueron afectados. Lo más importante, dijo, todos los hospitales de la NVA han permanecido abiertos y pueden ver a los clientes (animales que necesitan atención), y el acceso a los registros de pacientes se ha restaurado por completo en todos los hospitales afectados.

«Durante unos días, algunos (dueños de mascotas) no pudieron hacer reservas en línea, y algunos hospitales tuvieron que buscar diferentes registros de sus pacientes», dijo Koester. “Pero durante todo este asunto, si había un animal enfermo, los vimos. Nadie cerró sus puertas.

La fuente cercana a la investigación pintó una imagen ligeramente menos optimista de la situación en NVA, y dijo que la respuesta de la compañía se ha complicado por los efectos de los incendios forestales que rodean su sede en el condado de Los Ángeles: hace un año, un incendio forestal destructivo en los condados de Los Ángeles y Ventura Quemó casi 100,00 acres, destruyó más de 1,600 estructuras, mató a tres personas y provocó la evacuación de casi 300,000 personas, incluidos todos los residentes de Agoura Hills.

«El centro de soporte estaba programado para cerrarse el viernes 25 de octubre de 2019 debido a la mala calidad del aire causada por los incendios forestales en el norte», dijo la fuente, que pidió permanecer en el anonimato. «Alrededor de las 2 am PT (27 de octubre), el virus Ryuk se desató a NVA. Aproximadamente 400 lugares fueron infectados. (Microsoft) Active Directory y los servidores de Trade estaban infectados. Muchas de las ubicaciones infectadas perdieron de inmediato el acceso a sus sistemas de gestión de información del paciente (PIM). Estas ubicaciones no pudieron brindar atención de inmediato ”.

La fuente compartió comunicaciones internas de diferentes ejecutivos de NVA a sus hospitales sobre el alcance de los esfuerzos de remediación y la posible fuente del compromiso, lo que parece sugerir que al menos algunas propiedades de NVA han estado luchando para acomodar a los pacientes.

Una misiva de NVA Director de Operaciones Robert Hill el 30 de octubre reconoció que «seguimos enfrentándonos a un esfuerzo monumental para restaurar el servicio de TI (a) casi 400 de nuestros hospitales».

«Esto realmente me impactó el sábado», escribió Hill. “Uno de mis mejores amigos tuvo que llevar su Laboratorio Amarillo a Conejo Valley para recibir atención urgente. Afortunadamente, CV pudo brindar atención ya que sus (sistemas) estaban en funcionamiento, pero muchos de nuestros hospitales no están en tan buena forma ”.

En una actualización enviada a los hospitales NVA el 6 de noviembre, el nuevo jefe de tecnología de la compañía Greg Hartmann dijo que su sistema de seguridad bloqueó con éxito el ransomware para que no se infiltre en sus sistemas, al menos al principio.

«Debido a la magnitud del ataque, el virus finalmente encontró tres puntos de entrada más pequeños a través de cuentas que no estaban afiliadas con NVA, pero desafortunadamente se abrieron dentro de nuestra pink», dijo Hartmann. “Al descubrir el incidente, nuestro equipo de tecnología implementó inmediatamente procedimientos para evitar la propagación del malware sin embargo, muchos sistemas locales fueron afectados. Aún así, tenemos muchos hospitales cuyos sistemas no se recuperan. El equipo de tecnología continúa instalando estaciones de trabajo provisionales en cada healthcare facility afectado mientras se preparan para reconstruir los servidores «.

La fuente le dijo a KrebsOnSecurity que NVA sufrió una infestación de ransomware por separado a principios de este verano que también involucró a Ryuk, y expresaron su preocupación de que el primer incidente no haya sido remediado completamente, lo que podría permitir a los atacantes mantener un punto de apoyo dentro de la organización.

«Esta es la segunda vez este año que Ryuk golpeó NVA», dijo la fuente. “La primera vez, NVA estuvo bastante abierto a todas las instalaciones sobre lo que sucedió. Esta vez, sin embargo, simplemente se refieren a él como una «interrupción del sistema».

Un conjunto de puntos de discusión que NVA distribuyó al personalized el 27 de octubre, el día en que unos 400 hospitales veterinarios fueron atacados con el ransomware Ryuk.

Koester dijo que algunas instalaciones de NVA se vieron afectadas por un incidente de malware a principios de este año, pero que no creía que el ransomware estuviera involucrado en esa intrusión.

El ransomware Ryuk se ha hecho un nombre por sí mismo al perseguir a las empresas que suministran servicios a otras empresas, en individual las empresas de datos en la nube, con las demandas de rescate establecidas de acuerdo con la capacidad percibida de pago de la víctima. En febrero, proveedor de computer software de nómina Apex Gestión de Funds Humano decidió pagar la demanda de rescate después de que una infección de Ryuk interrumpió los servicios de gestión de nómina para cientos de clientes de la compañía. Y en la víspera de Navidad de 2018, el proveedor de alojamiento en la nube Dataresolution.web sufrió una interrupción de varias semanas después de un ataque de Ryuk.

Según un boletín publicado por el FBI en mayo, los ciberdelincuentes se habían dirigido a más de 100 empresas estadounidenses e internacionales con Ryuk desde agosto de 2018. La firma de seguridad CrowdStrike estimó que los atacantes desplegaron Ryuk había obtenido más de $ 3.7 millones en pagos de rescate de bitcoin entre agosto de 2018 y enero de 2019.

Muchas personas y organizaciones pueden tener la impresión de que los ataques de ransomware como Ryuk pueden aparecer en cualquier momento simplemente por alguien que hace clic en un enlace malicioso o abre un archivo adjunto de correo electrónico atrapado. Si bien este último parece ser el vector más común para las infestaciones de ransomware, un aviso lanzado en septiembre por el Reino Unido Centro Nacional de Seguridad Cibernética sugiere que la mayoría de las víctimas de Ryuk están comprometidas semanas o meses antes de que el ransomware se implemente realmente dentro de la red de la víctima.

«El ransomware Ryuk a menudo no se observa hasta un período de tiempo después de la infección inicial, que varía de días a meses, lo que le da al actor tiempo para llevar a cabo
reconocimiento dentro de una pink infectada, identificando y apuntando a sistemas de red críticos y, por lo tanto, maximizando el impacto del ataque ”, dice el aviso de NCSC, que incluye consejos para detectar signos de una infección de Ryuk. «Pero también puede ofrecer el potencial de mitigar un ataque de ransomware antes de que ocurra, si la infección inicial se detecta y se soluciona».

En cuanto a los cambios que NVA realizará para evitar otro brote de ransomware, una actualización interna el 7 de noviembre del director de información de NVA Joe Leggio dijo que NVA estaba invirtiendo en program de Negro carbón, una solución de seguridad basada en la nube que se instalará en todas las computadoras de propiedad de NVA.

«A lo largo de mi carrera, he sido testigo de increíbles avances en la tecnología que mejora nuestras vidas», escribió Leggio. “Casi al mismo ritmo, los malos han estado aumentando la agresividad y la sofisticación de sus ataques. A medida que reconstruimos, también estamos pensando en el futuro. Es por eso que estamos invirtiendo en talento de seguridad cibernética, nueva infraestructura y mejor software package «.



Resource backlink

Be the first to comment

Leave a Reply

Tu dirección de correo no será publicada.


*