La Oficina Federal de Investigaciones publicó un boletín la semana pasada que advirtió sobre los ataques de ransomware Conti dirigidos a las redes de atención médica y de primeros auxilios de EE. UU.
Durante el año pasado, el FBI identificó al menos 16 de este tipo de incidentes, según el informe.
“Como la mayoría de las variantes de ransomware, Conti generalmente roba los archivos de las víctimas y encripta los servidores y las estaciones de trabajo en un esfuerzo por forzar el pago de un rescate por parte de la víctima”, explica el aviso.
“La carta de rescate instruye a las víctimas a contactar a los actores a través de un portal en línea para completar la transacción. Si no se paga el rescate, los datos robados se venden o se publican en un sitio público controlado por los actores de Conti”, agregó.
POR QUÉ ES IMPORTANTE
Las redes de atención médica victimizadas por Conti incluyeron agencias policiales, servicios médicos de emergencia, centros de despacho del 911 y municipios.
Más de 400 organizaciones han sido atacadas en todo el mundo, dijo el FBI, incluidas más de 290 en los Estados Unidos.
La agencia describió el ataque típico de Conti, explicando que los delincuentes obtienen acceso a las redes a través de enlaces de correo electrónico maliciosos armados, archivos adjuntos o credenciales de protocolo de escritorio remoto robadas.
“Conti arma los documentos de Word con scripts de Powershell incrustados, inicialmente preparando Cobalt Strike a través de los documentos de Word y luego colocando Emotet en la red, dando al actor acceso para implementar ransomware”, se lee en la alerta.
El FBI también dijo que si la víctima no responde a las demandas de rescate dentro de los dos a ocho días posteriores al despliegue, los piratas informáticos a menudo los llaman utilizando números de protocolo de voz sobre Internet de un solo uso. Los actores también pueden comunicarse a través de ProtonMail.
Aunque los montos de los rescates varían ampliamente, las demandas han llegado hasta los 25 millones de dólares. El FBI no fomenta el pago de rescates, pero reconoce que las víctimas pueden decidir hacerlo.
“Independientemente de si usted o su organización han decidido pagar el rescate, el FBI le insta a que informe de inmediato los incidentes de ransomware a su oficina de campo local o al Cyber Watch 24/7 del FBI”, dijo la agencia.
“Hacerlo proporciona al FBI la información crítica necesaria para prevenir futuros ataques identificando y rastreando a los atacantes de ransomware y responsabilizándolos de acuerdo con la ley estadounidense”, agregó.
El FBI recomendó una serie de mitigaciones, incluidas copias de seguridad periódicas, segmentación de la red, autenticación multifactor, contraseñas seguras y capacitación en seguridad cibernética.
LA TENDENCIA MÁS GRANDE
Después de un comienzo de año relativamente tranquilo, la cantidad de ataques de ransomware contra las organizaciones de atención médica está aumentando.
Conti fue el grupo de ransomware responsable del ataque “significativo” contra el sistema de salud de Irlanda este mes, que aún afecta a los servicios. (De manera algo inesperada, el grupo ha ofrecido la herramienta de descifrado necesaria para que la red se recupere, aunque todavía amenaza con publicar los datos de los pacientes).
Y aunque Scripps Health no ha ofrecido detalles sobre la naturaleza del incidente que dejó sus sistemas fuera de línea durante semanas, fuentes independientes le han dicho a los medios locales que el ransomware estaba involucrado.
EN EL REGISTRO
“Los ataques cibernéticos dirigidos a las redes utilizadas por el personal de los servicios de emergencia pueden retrasar el acceso a información digital en tiempo real, aumentando los riesgos de seguridad para los socorristas y podrían poner en peligro al público que depende de las llamadas para que el servicio no se demore”, se lee en la alerta del FBI.
“Dirigirse a las redes de atención médica puede retrasar el acceso a información vital, lo que podría afectar la atención y el tratamiento de los pacientes, incluida la cancelación de procedimientos, el desvío a instalaciones no afectadas y el compromiso de la información médica protegida”, continuó.
Kat Jercich es editora senior de Healthcare IT News.
Gorjeo: @kjercich
Correo electrónico: [email protected]
Healthcare IT News es una publicación de HIMSS Media.