Al parecer los atacantes se están concentrando en las instituciones médicas – aprovechándose de la naturaleza crítica de los datos que podría dejar indefensas las infraestructuras cuando se niega el acceso a ellas. Los reportes recientes señalan que están siendo afectadas una red de salud tras otra por los ataques de crypto-ransmoware.
El lunes 28 de marzo, los diez hospitales y los más de 250 centros de medicina ambulatoria que MedStar Health opera, el gigante de la salud de Maryland, cerraron sus computadoras y servidores de correo electrónico después de que el malware paralizara sus sistemas en línea. Un vocero de MedStar emitió una declaración a través de Facebook en la que señalaba que “El sistema de TI de MedStar Health fue afectado por un virus que impide que ciertos usuarios inicien sesión en nuestro sistema. MedStar actúo rápidamente y decidió cerrar todas las interfaces de los sistemas para evitar que el virus se propague por toda la organización. Estamos trabajando con nuestros socios de TI y de seguridad electrónica para evaluar la situación y resolverla totalmente”.
En un principio, los ejecutivos de este proveedor de salud con un valor de $5,000 millones de dólares no se refirieron al incidente como una infección de ransomware, pero un empleado del Centro Hospitalario MedStar Southern Maryland divulgó la imagen de una nota de rescate que exigía 45 bitcoins (cerca de $19,000 dólares) por una clave de desencripción para los archivos cifrados. Además, la nota advertía, “Usted sólo tiene 10 días para enviar el Bitcoin, después de este plazo eliminaremos su clave privada y será imposible recuperar sus archivos”.
El martes por la tarde se reportó que ya se podía tener acceso a los registros encontrados en la base de datos central de MedStar, y leerlse, pero no se podían actualizarse ni modificarse. Una actualización reciente sobre la intrusión confirmó que el ataque involucra a SAMSAM – una familia de ransomware que no depende del malvertising o de la ingeniería social para llegar al sistema del objetivo.
Los ejecutivos destacaron que dados los retrasos en los tratamientos y otras dificultades operativas provocadas por el ataque, habían “actuado rápidamente” para resolver la situación, y no se encontró evidencia que indicara que la información fuera robada o comprometida. El director médico de MedStar, Stephoen R.T. Evans lo ratifica al decir que “La calidad y la seguridad de nuestros pacientes sigue siendo nuestra mayor prioridad, y esto no cambió cuando pasamos por esta experiencia”.
Las operaciones en California de dos hospitales manejados por Prime Healthcare, Inc. fueron interrumpidas por un ataque de ransomware similar que provocó que cerraran los sistemas compartidos. Prime Healthcare opera 42 centros de cuidados intensivos distribuidos en 14 estados, y a mediados de marzo, el hospital comunitario Chino Valley Medical Center con 126 camas de Chino, y el Desert Valley Hospital con 148 camas de Victorville, fueron objeto de un ataque que ahora es parte de una investigación realizada por el FBI.
La infección se descubrió el 18 de marzo pasado, e involucró a malware que pertenecía a la familia de crypto-ransmoware Locky, el cual se piensa se propagó a través de un correo electrónico malicioso. Este es similar a la familia de ransomware que afectó a la red del Methodist Hospital con sede en Kentucky, que provocó que el hospital operara en un “estado interno de emergencia”. A finales de febrero, se descubrió que Locky se estaba entregando a través de macros maliciosos en un documento de Word enviado por correo electrónico.
Fred Ortega, vocero de Prime Healthcare, confirmó el ataque pero sostuvo que no se había pagado ningún rescate y que la información de los empleados o de los pacientes no se había robado ni comprometido. En una declaración por separado, señaló, “Nuestro equipo de TI interno pudo implementar de inmediato protocolos y procedimientos para contener y mitigar las interrupciones. Los hospitales siguieron funcionando sin afectar la seguridad de los pacientes, y no se comprometieron los datos de los pacientes o de los empleados en ningún momento. Para el jueves 24 de marzo, la mayoría de los sistemas ya estaban nuevamente en línea”.
Diferentes métodos, un impacto similar
El aumento en el número de incidentes relacionados con el malware que afectan a los datos médicos ha sido una causa de preocupación para las autoridades, dado el tipo de información que los hospitales y los proveedores de servicios de salud almacenan. Las brechas de datos y los ataques de phishing figuraron como las tácticas de ataque comunes en los años recientes utilizadas para acceder y robar datos de los expedientes médicos. Cuando son robados, éstos son los tipos de datos que no pueden remplazarse fácilmente (o que nunca pueden recuperarse), a diferencia de las credenciales bancarias y de tarjetas de crédito, lo que hace a estas bases de datos una mina de oro para los criminales cibernéticos.
De acuerdo con el resumen de seguridad 2015 de Trend Micro, la salud fue la industria más afectada según los incidentes de brechas de datos registrados en el año. A principios de 2016, el centro de tratamiento contra el cáncer 21st Century Oncology Holdings fue víctima de una brecha que expuso más de 2 millones de expedientes de los pacientes. El centro de investigación y tratamientos City of Hope también fue víctima de un ataque de phishing que divulgó información de salud protegida a partes no autorizadas. El número de incidentes que involucran el robo de datos médicos muestra que estos tipos de datos no son tan seguros, lo que los hace un objetivo más idóneo.
Si bien el ransomware no está diseñado para robar datos, los atacantes podrían haber descubierto que las instituciones médicas son objetivos fáciles y lucrativos. Las redes de estas instituciones podrían no estar bien protegidas, el personal probablemente no conoce las tácticas de ingeniería social populares, y los datos y los sistemas son lo suficientemente críticos para las operaciones que se bloquean con ransmoware, lo que hace más propensas a las víctimas a pagar el rescate.
Leave a Reply