Por: Edgar Vásquez Cruz
Field Account Manager specialized on government sector at Intel Security
Lima – Perú, Noviembre de 2016.- La mayoría de los delincuentes dirige sus ataques contra aquellos objetivos que son más débiles y redituables, es decir contra las víctimas que no pueden defenderse y de las que pueden obtener más dinero que de cualquier otra persona común; en el caso de los ciberdelincuentes esta premisa también se cumple, sobre todo en el caso específico de quienes utilizan el ransomware contra hospitales para cometer delitos.
Como tal vez ustedes sepan ya, con el nombre de ransomware se designa a un tipo de código malicioso que tiene varias “cepas” y que es utilizado por los delincuentes informáticos para realizar ciberataques con los que consiguen dinero rápido al paralizar la actividad regular de las compañías, tal y como lo explico en mi artículo anteriormente publicado, Ransomware, una amenaza renacida y negocio lucrativo.
Al principio los ataques de ransomware estaban dirigidos contra personas, sin embargo los atacantes decidieron cambiar sus blancos hacia empresas pues descubrieron que de ellas podían conseguir más dinero.
Las compañías atacadas eran de un tamaño pequeño y mediano que tenían infraestructuras de TI con poca seguridad y que, en consecuencia tenían muy escasa capacidad para recuperarse luego de ser golpeadas, por lo que muy probablemente pagarían el rescate que les exigirían.
Posteriormente los ciberdelincuentes han segmentado aún más sus blancos y decidieron centrarse en los hospitales. Estos objetivos no son nuevos pues anteriormente los maleantes digitales fueron responsables de grandes fugas de datos. Lo novedoso en este caso es que para cometer sus ciberdelitos, estos atacantes decidieron usar herramientas de ransomware fáciles de compilar.
Ahora los ataques no buscan robar los datos de los hospitales, sino encriptarlos mediante ransomware para que sus víctimas paguen un rescate para poder recuperar su información. Este nuevo ransomware fue creado utilizando conjuntos de herramientas que los delincuentes contratan en la Internet negra o black web.
Hospitales, blanco de ataques con ransomware
Muchos hospitales en Estados Unidos han sido afectados por ransomware, ya que de acuerdo con un informe reciente de la Health Alliance (HITRUST), cerca de 18% de los hospitales de tamaño medio de ese país fueron infectados con cripto-ransomware, y más de la mitad de ellos parecen estar infectados.
Un hospital en California, después de ser infectado con ransomware en febrero del 2016, entró en un estado de emergencia pues la información de sus pacientes sólo pudo estar disponible luego de que la institución pagó 40 bitcoins (cerca de17 mil dólares estadunidenses)
Los hospitales son un blanco fácil para los ataques con ransomware porque sus administradores de redes y los sistemas de TI deben resolver varios retos que comienzan por administrar infraestructuras antiguas que a pesar de esto deben funcionar continuamente, además algunas de sus computadoras son veteranas y utilizan sistemas operativos antiguos (como Windows XP) para los que ya no existe soporte ni parches de seguridad.
Uno de los principales problemas que enfrentan los hospitales es la fuga de datos y la causa más común de que esto ocurra es un ataque delictivo, como lo muestra un estudio del Ponemon Institute citado en el Informe de Amenazas de McAfee Labs: Septiembre 2016.
Los ataques con ransomware comienzan,por lo regular, con mensajes de correo electrónico de phishing, y de cada diez mensajes de correo electrónico enviados por los atacantes, por menos uno logrará desatar una infección, por esa razón es importante que los empleados estén informados del riesgo al que están sujetos y de que no deben abrir mensajes de correo electrónico ni archivos adjuntos que proceden de remitentes desconocidos o no verificados.
De hecho, la vulnerabilidad de los hospitales en Estados Unidos (y de la que no estamos exentos en Latinoamérica) tiene varios elementos como la combinación del uso de sistemas anticuados con una seguridad insuficiente; el desconocimiento de los empleados sobre los temas de seguridad; una plantilla de empleados fragmentada, así como la necesidad de tener acceso inmediato a la información.
Ransomware contra hospitales, un negocio ilegal pero redituable
Durante los primero seis meses de 2016 se realizaron 23 ataques contra hospitales situados en Estados Unidos, Alemania Australia, Reino Unido, Corea y Canadá; en la mayor parte de esos ataques se utilizó ransomware.
Intel security investigó los ataques selectivos a hospitales durante el primer trimestre en el que se usó una cepa de malware llamada samsam y se encontraron muchos monederos de Bitcoin (BTC) que fueron utilizados para pagar los rescates de esa información encriptada.
La cantidad que se pagó en esos rescates (en esos primeros tres meses), de acuerdo con la investigación de las transacciones, llegó a ser de unos 100 mil dólares.
Al mismo tiempo, la investigación hecha por Intel Security reveló que el autor y el distribuidor del ransomware obtuvieron 189 mil 813 Bitcoins durante las campañas, es decir casi 121 millones de dólares.
Sin embargo, como toda empresa (en este caso ilegal) realizar estos delitos requiere realizar pagos como el alquiler de la red de bots y la compra de los kits de exploits, a pesar de esos el balance actual es de alrededor de 94 millones de dólares, cantidad que tanto el autor como el distribuidor del ransomware, consiguieron en solo seis meses.
Cómo prevenir los daños a hospitales por ransomware
A pesar de que la mayor parte de los hospitales que sufrieron ataques de ransomware no pagaron el rescate, algunos hospitales que fueron atacados utilizando samsam si cubrieron el pago del chantaje.
Además de ese costo, los hospitales tuvieron que afrontar pérdidas causadas por el tiempo de inactividad (de cinco a diez días); la respuesta a los incidentes; el recuperar los sistemas; los servicios de auditoría, además de otros gastos relacionados con la limpieza.
Para enfrentar esta amenaza, Intel security cuenta con dos documentos llamado Cómo evitar las fugas de datos en su empresa que junto con Cómo derrotar al ransomware: evite el secuestro de sus datos pueden brindarle a los hospitales una serie de directivas y procedimientos que pueden llevar a cabo para reducir el éxito de los ataques de ransomware.
Link al blog https://blogs.mcafee.com/languages/espanol/ransomware-en-hospitales-una-infeccion-dificil-de-curar/
(Nota de Prensa)