El ataque de ransomware en el hospital de Colorado resalta los temores de más situaciones de rehenes de atención médica


Los ciberdelincuentes están haciendo millones manteniendo a los datos de las instituciones de salud como rehenes hasta que se les pague.

Los ataques de ransomware contra hospitales están causando una mayor preocupación en la industria de la ciberseguridad a medida que los piratas informáticos y los grupos persiguen a las organizaciones de atención médica con mayor frecuencia. El 21 de abril, Parkview Medical Center en Pueblo, CO, fue golpeado con un asalto devastador de ransomware que según se informa "inoperable" El sistema del hospital para almacenar la información del paciente.

El hospital se vio obligado a volver a usar formularios en papel, lo que ralentizó el servicio en un momento en que las empresas de atención médica ya están luchando para manejar la gran afluencia de pacientes debido a la pandemia de coronavirus.

Nnenna Nwakanma, principal defensora de la Web de la World Wide Web Foundation, dijo en una conferencia telefónica organizada por las Naciones Unidas en abril que muchos en todo el mundo también estaban preocupados por el aumento de los ataques cibernéticos ahora que más personas usaban Internet en general.

En marzo, los cibercriminales. atacó el Hospital de la Universidad de Brno, uno de los laboratorios de pruebas COVID-19 más grandes de la República Checa. Además del ataque al hospital en la República Checa, citó una serie de incidentes cibernéticos de atención médica en Francia, España y Tailandia, y agregó que debe haber una mayor colaboración en todo el mundo para proteger la infraestructura crítica de salud en tiempos de crisis.

VER: Coronavirus: políticas y herramientas críticas de TI que toda empresa necesita (TechRepublic Premium)

Ataques de ransomware contra proveedores de atención médica subió 350% en el cuarto trimestre de 2019, y la investigación de Emsisoft muestra que Más de 759 proveedores de atención médica fueron atacados con ransomware el año pasado.

Interpol emitió un Aviso Púrpura en abril alertando a la policía en todos sus 194 países miembros sobre la creciente amenaza de ransomware, escribiendo que su equipo de respuesta a amenazas de cibercrimen ha detectado un aumento significativo en el número de intentos de ataques de ransomware contra organizaciones clave e infraestructura involucradas en la respuesta de virus. Los ciberdelincuentes, escribieron, están usando ransomware para mantener a los hospitales y servicios médicos como rehenes digitales, evitando que accedan a archivos y sistemas vitales hasta que se pague un rescate.

El secretario general de Interpol, Jürgen Stock, dijo que las organizaciones médicas de todo el mundo "se han convertido en objetivos para los cibercriminales despiadados que buscan obtener ganancias a expensas de los pacientes enfermos".

"El bloqueo de los hospitales de sus sistemas críticos no solo retrasará la rápida respuesta médica requerida durante estos tiempos sin precedentes, sino que podría conducir directamente a la muerte. Interpol continúa respaldando a sus países miembros y brindando la asistencia necesaria para garantizar que nuestros sistemas de salud vitales permanezcan intactos y los delincuentes que los atacan son responsables ", dijo.

Stateside, un grupo bipartidista de senadores estadounidenses, incluidos Mark Warner, Richard Blumenthal, Tom Cotton, David Perdue y Edward Markey, escribió una carta al Director de CISA Christopher Krebs y al Comandante del Comando Cibernético Paul Nakasone sobre la necesidad de reforzar las defensas contra "el aumento del ciberespionaje extranjero y el cibercrimen contra las instituciones de salud estadounidenses en medio de la pandemia COVID-19".

"No se debe ignorar la amenaza de ciberseguridad a nuestros sistemas médicos y de salud pública estresados ​​y estresados. Antes de la pandemia, los hospitales ya habían luchado para defenderse de una avalancha de ransomware y violaciones de datos. Nuestros hospitales dependen de registros de salud electrónicos, correo electrónico y redes internas que a menudo dependen en gran medida de equipos heredados ", escribieron los senadores.

"Incluso un problema técnico menor con los servicios de correo electrónico del Departamento de Salud y Servicios Humanos frustraron significativamente los esfuerzos para coordinar el servicio del gobierno federal. La desinformación, las computadoras deshabilitadas y las comunicaciones interrumpidas debido a ransomware, ataques de denegación de servicio e intrusiones significan una pérdida crítica. tiempo y recursos desviados ", escribieron.

Si bien las compañías de seguridad cibernética han sido cautelosas de atribuir ataques a un grupo o país específico, los senadores dijeron que "Rusia, China, Irán, Corea del Norte y grupos criminales han lanzado campañas de piratería dirigidas a los sectores de investigación médica y de atención médica de los Estados Unidos en las últimas semanas. "

TechRepublic habló con expertos en ciberseguridad de la salud sobre el incidente en Parkview y los ataques de ransomware más generalizados en los hospitales.

Ramificaciones de un ataque.

Los ataques de ransomware son particularmente efectivos, especialmente ahora, porque los ciberdelincuentes saben que muchos hospitales están sujetos a sistemas digitales que contienen toda la información de sus pacientes. Justin Fier, director de Cyber ​​Intelligence & Analytics de la compañía de ciberseguridad Darktrace, calificó los ataques de ransomware en hospitales como "un acto de terrorismo" y dijo que los sistemas de registros médicos electrónicos son "el cerebro de un hospital".

"Sin eso, los profesionales de la atención médica no tienen la información vital que necesitan para realizar la parte más básica de su trabajo. Cuando estos sistemas fallan, tienen que volver a la pluma y el papel, y eso agrega tiempo que nosotros no tengo que tratar de salvar vidas ", dijo Fier.

"La otra cosa que mucha gente no se da cuenta, que mi esposa acaba de señalarme hoy, es que gran parte de esta generación de profesionales de la salud están capacitados en sistemas electrónicos. No están acostumbrados a los viejos tiempos de bolígrafo y papel, así que simplemente trabajar eso en su flujo de trabajo es muy difícil y problemático ".

Caleb Barlow, CEO de CynergisTek, dijo que cualquier hospital moderno que intente operar sin su sistema electrónico de registro de atención médica se queda sin información sobre quién se presenta para qué tratamientos, qué cirugías están programadas para el día y toda la información del paciente, desde alergias hasta información de dosificación.

CynergisTek trabaja con más de 1,000 hospitales en seguridad y cumplimiento de datos, y Barlow dijo que algunos hospitales afectados por ransomware tienen que desviar pacientes a otros hospitales, cerrar salas de emergencia y reprogramar cirugías electivas.

Pagar o no pagar

La mayor pregunta que enfrentan la mayoría de los hospitales cuando se encuentran en una situación de ransomware es si pagar o no a los secuestradores. Esto depende de una amplia variedad de factores, incluso si una institución de salud tiene buenas copias de seguridad o si sus datos pueden recuperarse de alguna otra manera.

Barlow dijo que desafortunadamente, la mayoría de las veces, los hospitales terminan pagando al adversario porque no pueden funcionar por mucho tiempo sin sistemas electrónicos y el costo de una violación puede ser extremadamente dañino.

Según Comparitech, los ataques de ransomware le ha costado al sector de la salud al menos $ 160 millones desde 2016. IBM informó que el costo de una violación en la atención médica es significativamente más costoso en comparación con otros, con el registro de salud electrónico violado de un paciente cuesta a los hospitales alrededor de $ 429. En promedio, a algunos hospitales les cuesta alrededor de $ 6.5 millones recuperarse de un ataque, dijo Barlow.

"La cantidad que realmente pagan a los malos puede variar. He visto cosas tan bajas como unos pocos miles de dólares hasta medio millón o más. Con un incidente de ransomware, esa institución está cayendo y bajando, incapaz de ver pacientes ", dijo Barlow.

"No solo tiene los mismos problemas de reputación de tener a alguien en su sistema, sino que ahora tiene una crisis técnica y financiera. Si no puede ver pacientes, no puede ganar dinero".

Dustin Hutchison, director de operaciones y presidente de la compañía de seguridad Pondurance, dijo que los líderes a menudo trabajan en este tema con el FBI y que su respuesta siempre es no pagar el rescate porque incentiva más ataques y no hay garantía de que después de pagar, sus datos realmente sean restaurado o utilizable.

Pero Hutchinson dijo que han trabajado con hospitales que no tuvieron más remedio que pagar el rescate porque sus copias de seguridad no eran viables y no podían tratar a los pacientes sin tener registros electrónicos o horarios.

El problema se ve exacerbado por la aparición del seguro de ciberseguridad, que puede ayudar a cubrir el costo de pagar un rescate. Descifrar datos después de un ataque de ransomware tampoco es fácil, lo que dificulta ambas opciones para las organizaciones de atención médica.

"No se trata simplemente de" encender un interruptor de luz "y volver a la actividad comercial. Todavía existe un ciclo de recuperación y, desde ese punto de vista de gestión de riesgos o decisión comercial, ¿tiene más sentido desde una perspectiva de pérdida de ingresos para ¿seguir ese camino de restauración desde la copia de seguridad o comprender el tiempo real empleado para descifrar? " Dijo Hutchinson.

"Muchas veces eso no será algo viable para que una entidad de salud más pequeña lo haga sola, por lo que incluso entonces, necesitarán un tercero que los ayude a superar eso".

Fier, quien pasó años trabajando junto a otras personas involucradas en los esfuerzos de lucha contra el terrorismo dentro del gobierno de los EE. UU., Dijo que la decisión de pagar o no es difícil porque cualquier tiempo dedicado a la recuperación literalmente puede costar vidas.

Pero ahora hay tanto riesgo que incluso cuando paga un rescate, es posible que no recupere sus datos. Si bien puede ser difícil de tragar, Fier dijo que la atención médica debería invertir en esfuerzos para detener estos ataques antes de que sucedan.

"Cada vez que pagamos estos rescates, les damos derecho y les damos incentivos para continuar con estos ataques y seguir haciéndolo", dijo. "Asegurarse de que puede recuperarse en cuestión de minutos u horas cuando esto sucede en lugar de tomar ese dinero y simplemente dárselo a los malos actores es mejor".

Mejores prácticas

Lo principal que cada experto reiteró fue la necesidad de que los hospitales inviertan mucho en copias de seguridad de su sistema, así como los esfuerzos para educar a los empleados sobre el compromiso del correo electrónico comercial o los ataques de phishing, que a menudo evitan los incidentes de ransomware.

Microsoft lanzó un análisis detallado de las campañas de ransomware y algunas mejores prácticas sobre cómo las organizaciones pueden manejar un ataque.

"Varios grupos de ransomware que han estado acumulando acceso y manteniendo la persistencia en las redes objetivo durante varios meses activaron docenas de implementaciones de ransomware en las primeras dos semanas de abril de 2020. Hasta ahora, los ataques han afectado a organizaciones de ayuda, compañías de facturación médica, fabricación, transporte, gobierno instituciones y proveedores de software educativo, lo que demuestra que estos grupos de ransomware dan poca importancia a los servicios críticos que impactan, a pesar de la crisis global " Microsoft escribió.

"Muchos de estos ataques comenzaron con la explotación de dispositivos de red vulnerables que se enfrentan a Internet; otros usaron la fuerza bruta para comprometer los servidores RDP. Los ataques entregaron una amplia gama de cargas útiles, pero todos usaron las mismas técnicas observadas en campañas de ransomware operadas por humanos: robo de credenciales y movimiento lateral, que culminó con el despliegue de una carga útil de ransomware a elección del atacante. Debido a que las infecciones de ransomware son el final de los ataques prolongados, los defensores deben centrarse en buscar señales de adversarios que realizan actividades de robo de credenciales y movimiento lateral para prevenir el despliegue de ransomware ".

Barlow dijo que la segmentación de la red también es clave para frustrar los esfuerzos cibercriminales para moverse lateralmente dentro de un sistema. La mayoría de los piratas informáticos necesitan acceso a cuentas administrativas, pero saben que primero pueden acceder más fácilmente a través de otros puntos finales.

Dijo que intentan primero obtener "una cabeza de playa" en el sistema antes de elevar lentamente su acceso a las credenciales en cuestión de semanas o incluso meses. Para que un ataque de ransomware sea efectivo, los delincuentes deben tener acceso a potencialmente todas las máquinas para bloquear completamente los sistemas. Es relativamente fácil para los atacantes obtener acceso a una máquina o una cuenta, pero al limitar las redes, los hospitales pueden hacer que sea más difícil expandirse más allá de eso.

Fier, Barlow y Hutchison sugirieron que cada hospital necesita tener una autenticación de dos factores sobre todo. Esto todavía no está muy extendido en la industria de la salud porque los presupuestos generalmente se estiran demasiado para permitir inversiones en ciberseguridad.

Pero los ciberdelincuentes han ido mucho más allá de la simple exfiltración y extorsión de datos, lo que fue costoso pero no impidió que un hospital siguiera funcionando.

Con los ataques de ransomware cada vez más comunes, todas las instituciones de atención médica deben recopilar información sobre dónde están sus debilidades y vulnerabilidades para poder evaluarlas y abordarlas.

Desde el brote de COVID-19, ha habido un aumento masivo en los intentos de phishing que aprovechan el virus como una forma de hacer que las personas abran correos electrónicos o descarguen archivos adjuntos. Barlow dijo que su compañía ha visto un aumento del 167% en los ataques de phishing y que la industria más atacada es la atención médica.

Si no se ha preparado para un ataque de ransomware pero descubre que ha sido golpeado, es importante traer expertos técnicos, equipos legales y agentes de la ley. Es bueno saber quién está detrás del ataque y cuál es su propensión a desbloquear datos después de recibir el pago ".

"La realidad es que te enfrentas a un adversario humano que puede ver lo que estás haciendo. Si les pagas, todo lo que estás haciendo es alimentar sus arcas para atacar a más personas. Por otro lado, si no lo haces". No les pague, incluso si puede restaurar desde una copia de seguridad, es probable que tengan acceso a los datos en su sistema ", dijo Barlow.

"Ahora pueden extorsionarlo de otras maneras. Para las empresas que deciden no pagar, los malos comienzan a publicar los datos".

Fier agregó que las organizaciones de atención médica deben tener visibilidad en toda su red de computadoras, computadoras portátiles y dispositivos IoT. Los hospitales están llenos de dispositivos no tradicionales que están en la red, desde bombas de infusión hasta escáneres CT y otros dispositivos.

"Si no saben contra cuál de los 20,000 dispositivos no tradicionales no pueden usar las herramientas de seguridad tradicionales, entonces solo son patos sentados", dijo Fier.

"Si lideraba una de estas instituciones que fue golpeada, una de las primeras y más importantes cosas es ser honesto y transparente con la comunidad al tiempo que contaba con copias de seguridad. Muchos de nuestros clientes pasan tiempo trabajando en planes de recuperación ante desastres, juegos de guerra y ejecutar escenarios para asegurarse de que estas cosas no sucedan y que estén preparados para manejarlo ".

Ver también

Concepto de seguridad informática y piratería. El virus Ransomware tiene datos cifrados en la computadora portátil. Hacker está ofreciendo clave para desbloquear datos cifrados por dinero.

Imagen: iStockphoto / vchal



Enlace a la noticia original