El ransomware vuelve a fijar como objetivo el sector sanitario

Hace casi tres años, tanto en Canadá como en Estados Unidos y Europa se vivieron momentos de pánico por culpa de los ataques de ransomware a hospitales. Vuelve la tendencia.

Guardar

hospitales-hackeados
hospitales-hackeados

No hay nada más peligroso que un ciberataque hospitalario. En el 2019 y en el 2020 en algunos hospitales, tras los ciberataques se rescataron las máquinas de escribir, pero no había suficientes, y se escribían las recetas a mano. El virus Riuk hizo estragos antes de la pandemia, hasta el punto de provocar muertes. Se ha demostrado que los protocolos seguidos para evitar los ciberataques han ralentizado la atención hasta el punto de hacer aumentar el número de personas que mueren de infarto en los centros que fueron hackeados.

Y de nuevo tenemos motivos para preocuparnos. En el segundo trimestre de 2022, Kroll observó un aumento del 90% en el número de organizaciones sanitarias atacadas mediante ransomware, en comparación con el primer trimestre de 2022. Esto supone el fin de la "tregua" que algunos grupos criminales iniciaron en el inicio de la pandemia de la COVID-19.

La figura más usada es el ransomware, que ha permitido que los ataques aumentaran este trimestre hasta convertirse de nuevo en la principal amenaza, seguida de cerca por el “compromiso del correo electrónico”.

Por otro lado, el phishing ha seguido siendo el vector más utilizado para conseguir un acceso inicial, y ha experimentado un gran aumento en los servicios externos de control remoto (como las VPN y los entornos RDP) que se han visto comprometidos en este periodo en un 700% más. Esto indica una creciente vulnerabilidad en los entornos remotos en los que muchos de nosotros confiamos ahora.

Conti, presente en el 18% de los ciberataques

Entre las principales conclusiones del informe se destaca:

  • Se experimentó un aumento del 90% en el número de organizaciones sanitarias objetivo en comparación con el primer trimestre de 2022.
  • Lo más probable es que los incidentes de ransomware sucedidos en el Q2 hayan comenzado por un servicio remoto externo comprometido.
  • Los servicios remotos externos como método de acceso inicial para los atacantes aumentaron un 700%, y las vulnerabilidades públicas (CVE) fueron explotadas en un 70% más para lograr el acceso inicial durante este segundo trimestre.
  • Conti se asoció a solo el 18% de los ataques en el segundo trimestre, en comparación con el 20% en el primer trimestre y el 35% en el cuarto, mientras que Black Basta pasó de 0 a 13% de todos los incidentes solo en este trimestre.

De acuerdo a Laurie Iacono, Associate Managing Director para la división de Kroll Cyber Risk"es preocupante ver cómo la sanidad sube tan drásticamente en la lista de sectores más atacados, en un momento en el que los servicios están, sin duda, todavía bajo presión mientras se recuperan del tenso entorno causado por la Covid-19. El ransomware siempre es perturbador, pero su capacidad para paralizar las operaciones de las empresas adquiere mayor importancia en un entorno en el que la continuidad de la actividad significa salvar vidas. El legado de la pandemia puede verse también en la vulnerabilidad de los servicios remotos externos. En el segundo trimestre, vimos cómo muchos grupos de ransomware se aprovechaban de los entornos remotos usando las brechas de seguridad de esas herramientas para comprometer las redes. Todas las organizaciones -y especialmente las del sector sanitario- harían bien en comprobar la resistencia de sus servicios remotos externos y la preparación frente al ransomware a la luz de este último informe."

Según ha manifestado Carlos García, Senior Vice Presidente de Kroll Cyber Risk en España, “en general, los grupos de ransomware siguen utilizando técnicas probadas para comprometer los entornos de sus víctimas, aprovechando los puntos débiles de la seguridad para introducirse en los sistemas y lanzar ataques maliciosos. Esto hace que el mantenimiento y la construcción de un método de ciberresistencia sea una prioridad para evitar verse comprometido por uno de estos ataques. Las empresas deberían prestar mucha atención a la seguridad de los servicios remotos. Es aconsejable implementar la autenticación multifactor en estos sistemas y mantener los servicios remotos inaccesibles desde Internet. Además, hay que mantener un programa regular de parches, pruebas y escaneo de vulnerabilidades, en particular para las relacionadas con las VPN y los servicios RDP.”

Pincha aquí para aceder al informe completo