Continuarán ataques de ransomware en el sector hospitalario

21/10/2019

Continuarán ataques de ransomware en el sector hospitalario

Varios hospitales en el estado de Alabama en los Estados Unidos se están recuperando una semana después de sufrir un ciberataque de tipo ransomware. Expertos señalan que continuarán ataques similares.

El pasado 1 de Octubre del presente año, tres instalaciones que forman parte del Sistema de Salud DCH fueron blanco de ataques de ransomware. A pesar de haber pagado el rescate, el «proceso metódico de restauración del sistema» de los miles de servicios afectados continuó durante varios días posteriores. «Hemos estado utilizando nuestros propios archivos de copia de seguridad de DCH para reconstruir ciertos componentes del sistema, y ​​hemos obtenido una clave de descifrado del atacante para restaurar el acceso a los sistemas bloqueados«, escribió DCH en una actualización el sábado. «Hemos completado con éxito un descifrado de prueba de varios servidores, y ahora estamos ejecutando un plan secuencial para descifrar, probar y poner los sistemas en línea uno por uno. Esta será una progresión deliberada que priorizará los sistemas operativos primarios y las funciones esenciales para cuidados de emergencia

El portavoz de DCH, Brad Fisher, dijo a los medios de comunicación el sábado por la mañana que el rescate fue pagado, pero no reveló el monto ni cuándo se pagó. DCH tampoco estableció un cronograma sobre cuánto tiempo tomaría la restauración. A partir de otra actualización el lunes, los ataques ransomware del hospital seguían causando que las instalaciones afectadas rechazaran a los pacientes no críticos.

Los expertos dijeron que los hospitales continuarán siendo el foco del ransomware porque tienden a ser más propensos a pagar rescates para restablecer las operaciones lo más rápido posible.

Shawn Kanady, director de análisis forense digital y respuesta a incidentes en Trustwave SpiderLabs, dijo que cree que «los hospitales seguirán siendo un objetivo principal para el Ransomware en el futuro previsible«. «No todos pagan, por lo que los cibercriminales quieren atacar a las instituciones o empresas que serán las más perjudicadas porque se les colocará en una posición donde tendrán que pagar, como hospitales o municipios de la ciudad», dijo Kanady. «Bloquear sistemas vitales en un hospital podría significar literalmente vida o muerte. Imagine que un hospital no pueda realizar operaciones de emergencia porque los registros de pacientes y las bases de datos que los albergan están completamente encriptados».

Felix Rosbach, gerente de producto de la compañía de seguridad de datos Comforte AG, con sede en Weisbaden, Alemania, agregó que incluso si los hospitales tienen una estrategia de respaldo, «los recursos necesarios para hacer una reversión completa después de que los actores de la amenaza hayan realizado un ataque de Ransomware exitoso pueden ser más alto que pagar un rescate«. «Si bien nunca es una buena idea pagar un rescate, los hospitales dependen de su infraestructura y a veces necesitan acceso urgente a algunos de sus sistemas. Esto hace que los hospitales sean objetivos buscados para ataques de Ransomware, incluso si esos ataques son uno de los más reprensibles», dijo Rosbach. «Teniendo esto en cuenta, las organizaciones de atención médica deben implementar una seguridad cibernética y protección de datos sólidas. No solo los registros de atención médica y los datos de Información de Identificación Personal, (PII por sus siglas en inglés), la continuidad del negocio se convierte en un factor importante cuando se trata de tratamiento médico».

Para Grupo Siayec es importante señalar que las unidades médicas contaban con un plan de respaldo en caso de que los sistemas informáticos colapsaran o fueran blanco de un ataque, copias de seguridad, respaldos de información vital y una infraestructura adecuada fueron de mucha ayuda al momento de pretender reparar los estragos ocasionados. Si eres el responsable del área de informática o TI de una organización, acércate a nosotros. Podemos ofrecerte toda clase de soluciones a tu medida.

«El crimen motivado económicamente continuará aumentando, y los hospitales y las organizaciones de atención médica siguen siendo objetivos principales«, dijo Lansing. «Muchos hospitales y organizaciones de atención médica carecen de los recursos, es decir, la financiación y el personal, para abordar estas vulnerabilidades con la misma fuerza que las grandes empresas, razón por la cual siguen siendo objetivos preferidos«.

NOTICIAS RELACIONADAS

NOTICIAS RELACIONADAS
17/10/2019

Microsoft aconseja «eliminar Internet Explorer » ante una vulnerabilidad crítica de seguridad

Usar Internet explorer es algo que pocos internautas hacen actualmente. Este navegador [leer más]

15/10/2019

Malware afecta comunicaciones web encriptadas

La compañía de ciberseguridad Kaspersky detectó un nuevo ‘malware’, o programa informático [leer más]

8/10/2019

Qué es el Dark Social y porqué debe preocuparnos

Todo mundo hemos oído hablar de la «Dark Web«, ese nivel profundo [leer más]

Ransomware Sodinokibi aumenta sus ataques después del retiro de su competencia Gandcrab

22/07/2019

Ransomware Sodinokibi aumenta sus ataques después del retiro de su competencia Gandcrab

Durante los días 17 y 19 de junio, Infoblox observó una campaña de spam malicioso que usaba documentos de Microsoft Word con macros (acción o conjunto de acciones ejecutadas automáticamente) maliciosos para entregar el ransomware Sodinokibi. Un ransomware o «secuestro de datos» en español, es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado, y pide un rescate a cambio de quitar esta restricción.

Sodinokibi es un malware relativamente nuevo que parece estar ganando popularidad tras los recientes cambios en el panorama de amenazas debido a la salida de su competencia directa Gandcrab. El 1 de junio, los actores de la amenaza detrás del popular ransomware Gandcrab anunciaron que cerrarían sus operaciones dentro de 20 días. Este evento creó un vacío considerable en el espacio del mercado de ransomware, lo que llevó a una mayor competencia entre las variantes de ransomware restantes mientras intentan asegurar la cuota de mercado anterior de Gandcrab para ellos mismos.
Sodinokibi es una de las tantas variantes de ransomware que intentan capitalizar la partida de Gandcrab. Se identificó por primera vez en el ecosistema digital el 17 de abril de 2019, cuando los involucrados en las amenazas explotaron una vulnerabilidad en Oracle WebLogic permitiéndoles instalar Sodinokibi en servidores web vulnerables. Al igual que Gandcrab, Sodinokibi usa un sistema de ingresos de afiliados donde los atacantes o mejor conocidos como “threat actors” pueden registrarse como afiliados y así comenzar a usar el ransomware sin costo inicial, pero a cambio deben darle al autor un porcentaje de sus ganancias.

El hecho de que Sodinokibi esté disponible de forma gratuita significa que sus métodos de distribución pueden variar significativamente según el atacante que lo distribuya. Solo la semana pasada, los afiliados de Sodinokibi han distribuido el ransomware comprometiendo a los proveedores de servicios administrados, distribuyendo correos electrónicos no deseados y pirateando sitios web que alojan archivos ejecutables descargables para reemplazar el software.
Como se puede ver el mercado de ransomware es bastante amplio y está dedicado a vulnerar la seguridad de tu red y tus dispositivos. Es por ello que Grupo-Siayec comparte estos 5 consejos prácticos para protegerte de amenazas cibernéticas, de acuerdo a lo publicado por Infoblox:

  • Implemente el filtrado de archivos adjuntos para reducir la probabilidad de que
    contenido malicioso llegue a la estación de trabajo de un usuario.
  • No abra archivos adjuntos inesperados o de remitentes desconocidos.
  • Desinfecte los archivos adjuntos para eliminar contenido potencialmente dañino o activo, como macros en archivos de Microsoft Office, JavaScript, enlaces con descargas ejecutables, etc.
    Monitoree rutinariamente las redes en busca de signos de compromiso.
    Verifique que los instaladores necesarios solo instalen el software deseado.

En caso de que tu equipo sea infectado con ransomware la recomendación de las principales autoridades y expertos de seguridad es no pagar el rescate. Si lo haces, no hay garantía de que recuperes el acceso a tus datos o tu dispositivo, ni de que restos de malware puedan permanecer en tu equipo y ser reactivados. Además, al pagar estás financiado a grupos delictivos y animando que continúen las actividades.

NOTICIAS RELACIONADAS

NOTICIAS RELACIONADAS
16/09/2019

El poder del Bi para mejorar la experiencia del huésped en el sector Turístico

La necesidad de la explotación de datos para la toma de decisiones acertadas es [leer más]

20/06/2019

Conoce los Beneficios de implementar un ECM en tu organización

Es importante conocer los beneficios de contar en una organización con un [leer más]

La Nube

20/06/2019

La Nube

LOS RETOS DE SEGURIDAD SURGEN EN DIFERENTES FRENTES

Desde problemas simples de mala configuración hasta vulnerabilidades en los chips de hardware, en 2018 vimos la amplia gama de desafíos de seguridad que presenta la nube.

Las bases de datos en la nube con poca seguridad continuaron siendo un punto débil para las organizaciones. En 2018, los buckets S3 surgieron como un talón de Aquiles para las   organizaciones, con más de 70 millones de registros robados o filtrados como resultado de una configuración deficiente. Esto se produjo inmediatamente después de una serie de ataques de ransomware contra bases de datos abiertas como MongoDB en 2017, los grupos de ataque borraron sus contenidos y exigieron el pago para restaurarlos. Los grupos de ataque no se detuvieron allí, también se dirigieron a sistemas de implementación de contenedores como Kubernetes, aplicaciones sin servidor y otros servicios de API expuestos públicamente. Hay un tema común en estos incidentes: una configuración deficiente.

Existen numerosas herramientas ampliamente disponibles que permiten a posibles grupos de  ataque identificar recursos de nube mal configurados en Internet. A menos de que las   organizaciones tomen medidas para proteger adecuadamente sus recursos en la nube, como seguir los consejos proporcionados por Amazon para asegurar los buckets de S3, se están dejando vulnerables a los ataques. Una amenaza más engañosa para la nube surgió en 2018 con la revelación de varias vulnerabilidades en los chips de hardware.

Meltdown y Specter explotan vulnerabilidades en un proceso conocido como ejecución especulativa. La explotación exitosa proporciona acceso a ubicaciones de memoria que normalmente están prohibidas. Esto es particularmente problemático para los servicios en la nube porque mientras que las instancias de la nube tienen su propio procesador virtual comparten conjuntos de memoria, lo que significa que un ataque exitoso en un solo sistema físico podría resultar en la filtración de datos de varias instancias de la nube.  Meltdown y Specter no fueron casos aislados: varias variantes de estos ataques  fueron posteriormente lanzadas al dominio público durante todo el año. También fueron seguidos por vulnerabilidades similares a nivel de chip, como Speculative Store Bypass y Foreshadow, o Falla de terminal L1. Es probable que esto sea solo el comienzo, ya que los investigadores y los  grupos de ataque detectan vulnerabilidades a nivel de chip e indican que los servicios en la nube enfrentarán muchos desafíos.

Fuente:
ISTR Informe sobre las Amenazas para la Seguridad en Internet Symantec
Volumen 24 | Febrero 2019

NOTICIAS RELACIONADAS

NOTICIAS RELACIONADAS
16/10/2019

Tecnología: la clave de la comodidad de los huéspedes

El huésped que percibe la tecnología como parte indispensable de su vida [leer más]

4/10/2019

Monetizar los datos: una oportunidad digital para las empresas

La monetización de datos es un proceso en el cual se descubre [leer más]

Últimas Noticias sobre Ransomware

20/06/2019

Últimas Noticias sobre Ransomware

LA ACTIVIDAD EMPIEZA A CAER, PERO PERMANECE UN DESAFÍO PARA LAS  ORGANIZACIONES.

Antes de entrar en materia con las últimas noticias acerca del Ransomware, nos gustaría retomar los principios y recapitular en que consiste este software malicioso que ha tenido tremendo impacto mundial:

Un ransomware (del inglés ransom, «rescate», y ware, acortamiento de software) o «secuestro de datos» en español, es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado, y pide un rescate a cambio de quitar esta restricción. ​ Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.

Normalmente un ransomware se transmite como un troyano o como un gusano, infectando el sistema operativo, por ejemplo, con un archivo descargado o explotando una vulnerabilidad de software. En este punto, el ransomware se iniciará, cifrará los archivos del usuario con una determinada clave, que solo el creador del ransomware conoce, e instará al usuario a que la reclame a cambio de un pago.

El atacante camufla el código malicioso dentro de otro archivo o programa apetecible para el usuario que invite a hacer clic. Algunos ejemplos de estos camuflajes serían:

  • Archivos adjuntos en correos electrónicos.
  • Vídeos de páginas de dudoso origen.
  • Actualizaciones de sistemas.
  • Programas, en principio, fiables como Windows o Adobe Flash.

Luego, una vez que ha penetrado en el ordenador, el ransomware se activa y provoca el bloqueo de todo el sistema operativo, lanza el mensaje de advertencia con la amenaza y el importe del rescate que se ha de pagar para recuperar toda la información. Además, en ocasiones incluyen en la amenaza la dirección IP, la compañía proveedora de Internet y hasta una fotografía captada desde la cámara web.

Por primera vez desde 2013, observamos una disminución en la actividad de ransomware durante 2018, con un número total de infecciones de ransomware en los puntos finales que disminuyeron en un 20%. WannaCry, versiones de copia, y Petya, continuaron inflando las cifras de infección. Cuando estos gusanos se eliminan de las estadísticas, la caída en los números de infección es más pronunciada: una caída del 52%.

Sin embargo, dentro de estas cifras generales hubo un cambio dramático. Hasta 2017, los consumidores fueron los más afectados por el ransomware, lo que represento la mayoría de las infecciones. En 2017, el saldo se inclinó hacia las organizaciones, con la mayoría de las infecciones que se producen en las empresas. En 2018, ese cambio se aceleró y las empresas representaron el 81% de todas las infecciones por ransomware. Si bien las infecciones por  Ransomware en general disminuyeron, las infecciones en empresas aumentaron un 12% en 2018.

Este cambio en el perfil de la víctima probablemente se debió a una disminución en la actividad del kit de explotación, que anteriormente era un canal importante para la entrega de ransomware. Durante 2018, el principal método de distribución de ransomware fue campañas de correo electrónico. Las empresas tienden a verse más afectadas por los ataques basados en correo electrónico, ya que el correo electrónico sigue siendo la principal herramienta de comunicación para las organizaciones. Además, un número creciente de consumidores utilizan dispositivos móviles exclusivamente, y sus datos esenciales a menudo se respaldan en la nube. Debido a que la mayoría de las familias de ransomware siguen dirigiéndose a computadoras basadas en Windows, las posibilidades de que los consumidores estén expuestos al ransomware están disminuyendo. Otro factor detrás de la caída en la actividad general del ransomware es la mayor eficiencia de Symantec para bloquear el ransomware en el inicio del proceso de infección, ya sea a través de la protección del correo electrónico o utilizando tecnologías como el análisis de comportamiento o el aprendizaje automático. Otro factor que contribuye a la disminución es el hecho de que algunas pandillas de cibercrimen están perdiendo interés en el ransomware. Symantec vio una serie de grupos previamente involucrados en la difusión del ransomware para entregar otro malware, como troyanos bancarios y herramientas de robo de información. Sin embargo, algunos grupos continúan representando una amenaza grave. Otra mala noticia para las organizaciones es que un número notable de ataques de  ransomware dirigidos altamente dañinos afectaron a las organizaciones en 2018, muchos de los cuales fueron realizados por el grupo SamSam. Durante 2018, Symantec encontró evidencia de 67 ataques de SamSam, principalmente contra organizaciones en los EE.UU.. En conjunto con SamSam, otros grupos de ransomware dirigidos se han vuelto más activos. También han surgido amenazas dirigidas adicionales. La actividad relacionada con Ryuk (Ransom.Hermes) aumentó significativamente a fines de 2018. Este ransomware fue responsable de un ataque en diciembre en el que se interrumpió la impresión y distribución de varios periódicos estadounidenses conocidos. Dharma / Crysis (Ransom.Crysis) también es utilizado frecuentemente en forma dirigida contra organizaciones.

La cantidad de intentos de infección por Dharma / Crysis observada por Symantec se triplicó con creces durante 2018, de un promedio de 1.473 por mes en 2017 a 4.900 por mes en 2018.  En noviembre, dos ciudadanos iraníes fueron acusados en los EE.UU. por su presunta participación en SamSam. Queda por ver si la acusación tendrá algún impacto en la actividad del grupo.

Fuente:
ISTR Informe sobre las Amenazas para la Seguridad en Internet Symantec
Volumen 24 | Febrero 2019
Wikipedia: La Enciclopedia Libre https://es.wikipedia.org/wiki/Ransomware

NOTICIAS RELACIONADAS

NOTICIAS RELACIONADAS
4/10/2019

Monetizar los datos: una oportunidad digital para las empresas

La monetización de datos es un proceso en el cual se descubre [leer más]

20/06/2019

Conoce los Beneficios de implementar un ECM en tu organización

Es importante conocer los beneficios de contar en una organización con un [leer más]

Todos los Derechos Reservados Siayec 2017 | Web by Dao Comunicación