Un boletín conjunto distribuido la víspera por varios organismos del gobierno estadounidense, entre ellos el FBI, indica que los hospitales y los proveedores de servicios de salud están siendo blanco activo de ataques de ransomware, y que existe una amenaza inminente de nuevos ataques.
Aunque en el boletín se mencionan varias formas de ransomware, destacan Ryuk y Conti, junto con TrickBot y BazarLoader, éstas dos últimas utilizadas para obtener acceso a los sistemas elegidos para instalar el ransomware.
Ryuk es bien conocido y estuvo vinculado a organizaciones criminales rusas en 2019, después de haberse supuesto que era obra del gobierno norcoreano. Ryuk ha sido utilizado en ataques anteriores, incluyendo la Guardia Costera de EE.UU. en enero y el ayuntamiento de Durham, Carolina del Norte, a principios de marzo. Un informe publicado el 29 de marzo daba cuenta de una campaña en que Ryuk tenía como objetivo los hospitales y otros proveedores de servicios médicos mientras la pandemia de coronavirus continuaba propagándose. Ahora, los ataques de Ryuk han seguido aumentando. Esta semana, Sopra Steria confirmó haber sido víctima de Ryuk.
El boletín, que aparte del FBI está firmado por el Departamento de Salud y Servicios Humanos, el Departamento de Seguridad Nacional, la Agencia de Seguridad Cibernética e Infraestructural, detalla las tácticas, técnicas y procedimientos utilizados por los delincuentes cibernéticos en el sector de la salud para infectar los sistemas con ransomware.
Llama por cierto la atención que TrickBot sea mencionado en el boletín de seguridad, habida cuenta que el 13 de octubre Microsoft, ESET, Lumen y NTT aseguraron haber “desbaratado” a TrickBot. Cabe señalar, en todo caso, que ESET precisó que TrickBot cuenta con mecanismos de recuperación, y que sus conexiones con el mundo criminal convierte las operaciones de neutralización en algo extremadamente complejo. Microsoft, en tanto, precisó que había contribuido a “entorpecer” al bot, en lugar de derribarlo totalmente.
Lavi Lazarovitz, Head of Security Research de CyberArk Labs, comentó a Diario TI que “La campaña de ransomware contra el sistema de salud de EEUU es preocupante. Entre otras razones, porque EEUU aún está luchando por controlar la pandemia y tratar de frenar el aumento de hospitalizaciones que se están produciendo en muchos Estados. Las consecuencias de ataques de este tipo, que podrían incluir la pérdida de vidas humanas, hace que se trate de amenazas y ataques particularmente sensibles y devastadores. Cabe señalar que cualquier tipo de caída de sistemas o aplicaciones como consecuencia de estos ataques puede afectar a la salud y el bienestar del paciente. De hecho, la naturaleza interconectada de la atención médica moderna hace que, incluso los ataques localizados, puedan afectar al flujo de información entre los departamentos y el personal, con el consiguiente riesgo para los pacientes”.
El experto agregó que “El ransomware, generalmente, comienza en el puesto de trabajo, pero cifrar un dispositivo no provocará la interrupción ni generará el rescate que buscan los atacantes. En su lugar, utilizarán este único dispositivo como puerta de enlace para moverse por la red y lograr cifrar los archivos, las aplicaciones y los sistemas más relevantes para la organización. Este movimiento desde el punto final a la red es parte integral de la estrategia de un atacante, y también es el punto donde los proveedores de atención sanitaria pueden romper esa cadena y evitar que estos ataques se propaguen”.
A juicio de Lavi Lazarovitz, “Adoptar un enfoque proactivo de la seguridad es clave, incluidos la protección del acceso privilegiado a los archivos y los sistemas que más importan. Esto ayudará a detener a los atacantes al mantener sus acciones inmovilizadas en el punto de infección inicial, provocando que los ataques sean mucho menos efectivos y minimizando el daño potencial”.
Ilustración: Ryuk, personaje de Death Note (fotograma, YouTube)
