Microsoft a los hospitales: 11 consejos sobre cómo combatir el ransomware


Los hospitales están bajo ataque cibernético incluso cuando luchan para combatir el coronavirus. Microsoft está ofreciendo consejos de seguridad a los hospitales para tratar de ayudar.

El ransomware puede afectar a todo tipo de organizaciones, desde pequeñas empresas hasta grandes corporaciones y agencias gubernamentales. Incluso los hospitales no son inmunes a tales ataques. Pero ahora con tantos en la industria de la salud enfocados en el tratamiento de casos de coronavirus, lo último de lo que deben preocuparse son los ataques de ransomware.

Aunque algunos grupos de ransomware se han comprometido a dejar los hospitales solos durante el COVID-19 brote, otros grupos están explotando claramente la situación. Una publicación de weblog publicada el miércoles por Microsoft revela cómo el el gigante del computer software está tratando de ayudar a algunos hospitales a defenderse contra el ransomware y qué consejo tiene para tales organizaciones.

VER: Coronavirus: políticas y herramientas críticas de TI que toda empresa necesita (TechRepublic)

El ransomware puede ser perjudicial para cualquier negocio, ya que mantiene a los datos críticos como rehenes Con la mayoría de las empresas, la pérdida se puede medir financieramente. Pero cuando un healthcare facility es atacado con ransomware, el costo se puede medir en la vida humana, ya sea a través de la atención directa al paciente o mediante la investigación sobre vacunas y medicamentos. Además, los hospitales ahora están tan centrados en el coronavirus que el personal médico y los empleados pueden olvidar los protocolos de seguridad habituales cuando se trata de correo electrónico y otro contenido. Todo esto los convierte en presas potencialmente fáciles de ransomware.

Aunque se sabe que una variedad de grupos criminales y campañas emplean ransomware, Microsoft en su publicación de blog se centró en Malvado, también conocido como Sodinokibi. Esta campaña explota los defectos de la puerta de enlace y la VPN para ingresar a las organizaciones. Este tipo de estrategia es especialmente desenfrenada ahora, ya que muchas más personas trabajan desde casa o de forma remota. Si tienen éxito, estos atacantes pueden robar credenciales de usuario, elevar sus privilegios y luego moverse a través de redes comprometidas para instalar ransomware y otro malware.

A las pandillas les gusta usar el mal métodos operados por humanos para apuntar a las organizaciones más vulnerables a los ataques. Estos incluyen hospitales que no han tenido el tiempo o los recursos últimamente para instalar los últimos parches, actualizar sus firewalls, verificar los privilegios de la cuenta del usuario o garantizar las prácticas de seguridad adecuadas. En muchos casos, los atacantes comienzan revisando una pink comprometida en modo sigiloso y luego implementan su ransomware meses después.

Con su crimson de fuentes de inteligencia de amenazas, Microsoft dijo que encontró varias docenas de hospitales con puerta de enlace vulnerable y dispositivos VPN. Para ayudarlos, la compañía envió notificaciones específicas con información very important sobre esas vulnerabilidades y cómo los atacantes pueden explotarlas. Microsoft también instó a estos hospitales a aplicar las actualizaciones de seguridad necesarias para mantenerse mejor protegidos.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (TechRepublic)

Todos los hospitales y organizaciones de atención médica deben defenderse contra el ransomware, especialmente durante este momento difícil. Como tal, Microsoft ofrece los siguientes consejos para ayudarlos:

  • Aplicar todas las actualizaciones de seguridad disponibles para configuraciones de VPN y firewall.
  • Monitoree y preste especial atención a su infraestructura de acceso remoto. Cualquier detección de productos de seguridad o anomalías encontradas en los registros de eventos debe investigarse de inmediato. En caso de compromiso, asegúrese de que cualquier cuenta utilizada en estos dispositivos tenga un restablecimiento de contraseña, ya que las credenciales podrían haberse filtrado.
  • Activa las reglas de reducción de superficie de ataque, incluidas las reglas que bloquean el robo de credenciales y la actividad de ransomware. Para abordar la actividad maliciosa iniciada a través de documentos de Business office armados, use reglas que bloqueen la actividad de macro avanzada, el contenido ejecutable, la creación de procesos y la inyección de procesos iniciados por las aplicaciones de Workplace. Para evaluar el impacto de estas reglas, impleméntelas en modo auditoría.
  • Encender AMSI para Workplace VBA si tienes Office environment 365.
  • Endurecer los activos orientados a internet y asegúrese de que tengan las últimas actualizaciones de seguridad. Utilizar gestión de amenazas y vulnerabilidades auditar estos activos regularmente para detectar vulnerabilidades, configuraciones incorrectas y actividades sospechosas.
  • Asegure su Puerta de enlace de escritorio remoto utilizando soluciones como Autenticación Azure Multi-Factor (MFA) Si no tiene una puerta de enlace MFA, habilite autenticación a nivel de red (NLA)
  • Practica el principio del privilegio mínimo y mantener credenciales de higiene. Evite el uso de cuentas de servicio de nivel de administrador en todo el dominio. Hacer cumplir fuerte contraseñas de administrador neighborhood aleatorias, justo a tiempo. Usa herramientas como Solución de contraseña de administrador community (Vueltas).
  • Monitoree los intentos de fuerza bruta. Verificar intentos de autenticación fallidos excesivos (Id. De evento de seguridad de Windows 4625)
  • Supervisar la eliminación de registros de eventos, especialmente el registro de eventos de seguridad y los registros operativos de PowerShell. Microsoft Defender ATP genera la alerta «Se borró el registro de eventos» y Home windows genera un Id. De evento 1102 cuando esto ocurre
  • Identify dónde se conectan las cuentas altamente privilegiadas y exponiendo credenciales. Supervisar e investigar eventos de inicio de sesión (Id. de evento 4624) para los atributos de tipo de inicio de sesión. Las cuentas de administrador de dominio y otras cuentas con alto privilegio no deben estar presentes en las estaciones de trabajo.
  • Utilizar el Firewall de Windows Defender y tu firewall de purple para prevenir Llamada a procedimiento remoto (RPC) y Bloque de mensajes del servidor (SMB) comunicación entre puntos finales siempre que sea posible. Esto limita el movimiento lateral, así como otras actividades de ataque.

Ver también

ransomware2018.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2017/12/15/dd3812e1-5d86-4785-bba5-fab4d2152196/resize/770x/a717eb298d063b03ea78d19a18e2bbd9/ransomware2018.19

Imagen: nicescene, Getty Images / iStockphoto



Enlace a la noticia primary