El ransomware puede afectar a todo tipo de organizaciones, desde pequeñas empresas hasta grandes corporaciones y agencias gubernamentales. Incluso los hospitales no son inmunes a tales ataques. Pero ahora, con tantas personas en el cuidado de la salud enfocadas en tratar los casos de coronavirus, lo último de lo que deben preocuparse son los ataques de ransomware.

Si bien algunos grupos de ransomware se han comprometido a dejar en paz a los hospitales durante el brote de COVID-19, otros grupos claramente están explotando la situación. Una publicación de blog publicada el miércoles por Microsoft revela cómo el gigante del software está tratando de ayudar a algunos hospitales a defenderse contra el ransomware y qué consejos tiene para esas organizaciones.

VER: Coronavirus: políticas y herramientas críticas de TI que toda empresa necesita (República Tecnológica)

El ransomware puede ser perjudicial para cualquier negocio porque retiene datos críticos como rehenes; con la mayoría de las empresas, la pérdida se puede medir financieramente. Pero cuando un hospital es atacado con ransomware, el costo se puede medir en vidas humanas, ya sea a través de la atención directa del paciente o de la investigación continua de vacunas y medicamentos. Además, los hospitales ahora están tan concentrados en el coronavirus que el personal médico y los empleados pueden olvidar los protocolos de seguridad habituales cuando se trata de correos electrónicos y otros contenidos. Todo esto los convierte en presas potencialmente fáciles para el ransomware.

Aunque se sabe que una variedad de grupos y campañas criminales usan ransomware, Microsoft en su publicación de blog se centró en REvil, también conocido como Sodinokibi. Esta campaña explota las vulnerabilidades de la puerta de enlace y VPN para penetrar en las organizaciones. Este tipo de estrategia es especialmente frecuente hoy en día, ya que cada vez más personas trabajan desde casa o de forma remota. Si tienen éxito, estos atacantes pueden robar las credenciales de los usuarios, elevar sus privilegios y luego pasar a redes comprometidas para instalar ransomware y otro malware.

Las bandas como REvil utilizan métodos humanos para atacar a las organizaciones más vulnerables. Estos incluyen hospitales que recientemente no han tenido el tiempo o los recursos para instalar los parches más recientes, actualizar sus firewalls, verificar los privilegios de las cuentas de usuario o garantizar prácticas de seguridad adecuadas. En muchos casos, los atacantes primero verifican una red comprometida en modo oculto y luego implementan su ransomware meses después.

Con su red de fuentes de inteligencia de amenazas, Microsoft dijo que encontró varias docenas de hospitales con puertas de enlace y dispositivos VPN vulnerables. Para ayudarlos, la empresa envió notificaciones dirigidas que contenían información vital sobre estas vulnerabilidades y cómo los atacantes pueden explotarlas. Microsoft también instó a estos hospitales a aplicar las actualizaciones de seguridad necesarias para mantenerse mejor protegidos.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (República Tecnológica)

Todos los hospitales y organizaciones de atención médica deben defenderse contra el ransomware, especialmente durante este momento difícil. Como tal, Microsoft ofrece los siguientes consejos para ayudarlos:

  • Aplicar todas las actualizaciones de seguridad disponibles para configuraciones de VPN y cortafuegos.
  • Supervise y preste mucha atención a su infraestructura de acceso remoto. Cualquier detección de productos de seguridad o cualquier anomalía detectada en los registros de eventos debe investigarse de inmediato. En caso de compromiso, asegúrese de que cualquier cuenta utilizada en estos dispositivos tenga una contraseña de restablecimiento, ya que las credenciales pueden haber sido filtradas.
  • Habilitar reglas de reducción de superficie de ataque, incluidas las reglas que bloquean el robo de credenciales y la actividad de ransomware. Para abordar la actividad maliciosa iniciada a través de documentos de Office militarizados, use reglas que bloqueen la actividad de macros avanzada, el contenido ejecutable, la creación de procesos y la inyección de procesos iniciada por las aplicaciones de Office. Para evaluar el impacto de estas reglas, impleméntelas en modo de auditoría.
  • Habilitar AMSI para Office VBA si tiene Office 365.
  • Reforzar los recursos accesibles en Internet y asegúrese de que tengan las últimas actualizaciones de seguridad. Utilice la gestión de amenazas y vulnerabilidades para auditar regularmente estos activos para detectar vulnerabilidades, configuraciones incorrectas y actividades sospechosas.
  • Proteja su puerta de enlace de escritorio remoto utilizando soluciones como Azure Multi-Factor Authentication (MFA). Si no tiene una puerta de enlace MFA, habilite la autenticación de nivel de red (NLA).
  • Practicar el principio de privilegio mínimo y mantener la higiene de las credenciales. Evite el uso de cuentas de servicio de nivel de administrador en todo el dominio. Aplique contraseñas de administrador local seguras, aleatorias y únicas. Utilice herramientas como Solución de contraseña de administrador local (LAPS).
  • Supervise los intentos de fuerza bruta. Compruebe si hay un número excesivo de intentos de autenticación fallidos (Identificador de evento de seguridad de Windows 4625).
  • Supervisión de borrado de registros de eventos, especialmente el registro de eventos de seguridad y los registros operativos de PowerShell. Microsoft Defender ATP genera la alerta "Se ha borrado el registro de eventos" y Windows genera el ID de evento 1102 cuando esto ocurre.
  • Determinar dónde inician sesión las cuentas con privilegios elevados y exponer las credenciales. Supervise e investigue los eventos de conexión (Id. de evento 4624) para los atributos de tipo de conexión. Las cuentas de administrador de dominio y otras cuentas con privilegios elevados no deben estar presentes en las estaciones de trabajo.
  • Use el Firewall de Windows Defender y el firewall de su red para evitar las llamadas a procedimientos remotos (RPC) y las comunicaciones del bloque de mensajes del servidor (SMB) entre puntos finales siempre que sea posible. Esto limita los movimientos laterales, así como otras actividades de ataque.

"La alerta de Microsoft sobre el mayor riesgo de ataques cibernéticos en hospitales a través de sus redes VPN muestra por qué las empresas deben estar preparadas para que los ciberdelincuentes se aprovechen de COVID-19 de múltiples maneras", dijo Ori Bach, CEO de TrapX Security. "Los ataques de ransomware estándar no se están desacelerando, pero las organizaciones también deben esperar que los piratas informáticos exploten las debilidades en las aplicaciones que anteriormente requerían acceso físico expuesto a Internet a través de VPN debido a la crisis. Los dispositivos médicos son particularmente vulnerables porque se basan en un sistema operativo heredado. y son susceptibles a malware como MedJack. Cualquier dispositivo conectado a través de VPN es una superficie de ataque potencial, ya sea una computadora portátil o un dispositivo médico, como sistemas de registros médicos electrónicos, resonancias magnéticas o analizadores de gases en sangre.

Imagen: hermosa escena, Getty Images/iStockphoto