La tasa de ataques de ransomware en la atención médica se ralentiza en …


Pero es improbable que la calma continúe por mucho tiempo, dicen algunos expertos en seguridad.

El número relativamente bajo de ataques de ransomware divulgados públicamente contra entidades sanitarias hasta mediados de mayo de 2020 sugiere que muchos grupos de amenazas están cumpliendo su palabra para evitar atacarlos durante la pandemia precise, según muestra un nuevo estudio.

Sin embargo, cuánto tiempo durará esa tregua parece ser una pregunta abierta.

Corvus Insurance plan analizó recientemente datos de amenazas relacionadas con hospitales, sistemas de salud, consultorios médicos, consultores y otras entidades del sector de la salud durante los primeros meses de este año. Los datos muestran un full de 18 ataques de ransomware informados públicamente contra organizaciones de atención médica hasta mediados de mayo, en comparación con 20 ataques en overall durante todo el primer semestre de 2019.

Corvus estima que la cantidad whole de ataques de ransomware en hospitales y otras entidades de atención médica para fines de junio probablemente superará la marca del año pasado, pero no por el margen que muchos esperaban en función de las tendencias de ataque antes de la pandemia.

«El Informe de seguridad sobre las entidades de salud de Corvus muestra que, a pesar del aumento significativo y constante de los ataques de ransomware en los últimos años, los ataques a las entidades de atención médica se han estancado en 2020 en medio de la pandemia de COVID-19», dice Lauren Winchester, vicepresidenta de respuesta de incumplimiento inteligente en Corvus Coverage. «(Los datos son a) posible reflejo de las afirmaciones de muchos grupos de ransomware de que evitarían ataques a entidades de salud durante COVID-19».

Chris Morales, jefe de análisis de seguridad de Vectra, dice que Corvus encontró pistas con lo que su propia compañía ha observado en los últimos meses.

«No hemos visto un aumento en los ataques externos contra la atención médica este año», dice Morales, aunque ha habido un aumento en los ataques dirigidos a los datos de atención médica en la nube. «Ese cambio está directamente relacionado con la actual pandemia de COVID-19 y el aflojamiento de las políticas de seguridad en los hospitales para garantizar que los médicos puedan seguir funcionando en la prestación de atención».

Según Morales, los ataques directos de ransomware en la atención médica han estado disminuyendo incluso antes de la pandemia, al menos en parte porque los atacantes no han podido obtener grandes rescates de las víctimas en este sector.

El análisis de Corvus muestra que, si bien las organizaciones de atención médica suelen ser más atacadas en ataques de ransomware que muchos otros sectores, sus defensas continúan rezagadas. Por ejemplo, solo el 14% de las organizaciones de atención médica del sector actualmente utilizan herramientas de escaneo y filtrado de correo electrónico, que son tecnologías que los analistas de seguridad consideran fundamentales para defenderse de las amenazas de phishing. La investigación de Corvus, de hecho, ha demostrado que estos servicios podrían reducir la probabilidad de un ataque de ransomware en un 33%.

Los puertos abiertos, como los asociados con el Protocolo de escritorio remoto (RDP), son otra preocupación. Según Corvus, si bien las organizaciones de atención médica en basic tienden a tener una superficie de ataque más pequeña que otras, los hospitales presentan un gran objetivo debido a los puertos abiertos. En promedio, los hospitales tienen más de ocho puertos en sus redes con acceso a Internet y que los atacantes podrían encontrar y explotar.

Es probable que los ataques aumenten en H2
Winchester dice que la tasa de ataques de ransomware en entidades de salud probablemente comenzará a aumentar nuevamente en la segunda mitad de este año. De hecho, en 2019, antes de la noticia de la pandemia, los ataques de ransomware en la atención médica aumentaron un 75% entre la primera y la segunda mitad del año.

«Los grupos de ataque de ransomware han apuntado históricamente a las entidades de atención médica porque la naturaleza crítica de sus operaciones y el rico conjunto de datos generan un gran retorno de la inversión», señala. «Esos impulsores subyacentes no han cambiado y, a medida que Estados Unidos avanza hacia una reapertura cautelosa, esperamos que los atacantes vuelvan a involucrarse con las entidades de atención médica».

Las familias de ransomware como Maze, Sodinokibi y Dopplepaymer, en certain, probablemente continuarán presentando grandes amenazas para las organizaciones de atención médica cuando se reanuden los ataques. Los operadores de estas familias de ransomware han mostrado una tendencia a robar datos críticos para el negocio de una organización víctima antes de cifrar los datos y luego usar la amenaza de exposición de datos como un apalancamiento adicional para forzar los pagos de rescate.

«La gran mayoría de los ataques de ransomware en los últimos años no han resultado en violaciones de datos de notificación obligatoria, pero grupos como Maze están buscando activamente información confidencial mientras están en un sistema», dice Winchester. «Esto crea una pesadilla de relaciones públicas para la entidad de salud y tiene implicaciones muy reales para los pacientes cuya información de salud protegida puede ser publicada por los atacantes».

Heather Paunet, vicepresidenta de gestión de productos en Untangle, dice que las entidades de atención médica tienen otra razón para preocuparse: la mayor cantidad de datos sobre las personas que se recopilan como parte de las actividades de prueba relacionadas con COVID-19 probablemente será un gran objetivo.

«Los departamentos de TI deben ser más conscientes que antes sobre cómo proteger sus redes, sus empleados y sus pacientes», dice.

La relativa calma en los ataques de ransomware en organizaciones de atención médica se develop incluso cuando los ataques a organizaciones en otros sectores no muestran signos de disminuir. Varios proveedores de seguridad incluso han observado un aumento en los ataques de ransomware y otros tipos de ataques en los últimos meses por parte de actores de amenazas que utilizan sitios internet y señuelos de phishing relacionados con COVID-19. Solo esta semana, por ejemplo, el fabricante de automóviles japonés Honda se vio obligado a detener la producción en algunas de sus plantas en todo el mundo después de que el ransomware, que se cree que SERPIENTE, paralizó varios sistemas críticos de la compañía.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más strategies





Enlace a la noticia initial