Los ataques de ransomware contra la industria de la salud están empeorando.

Los ataques de ransomware son uno de los ciberataques más frecuentes en la atención médica. Ha existido durante muchos años, sin embargo, se convirtió en una tendencia en 2016. Recientemente, ha habido un aumento significativo en la frecuencia y los tipos de ataques de ransomware que se perpetran.

Desde 2019, incluso antes de Covid-19, los proveedores de atención médica se convirtieron en el objetivo principal de los atacantes de ransomware.

Esto se debe a que es más probable que los proveedores de atención médica paguen el rescate para evitar que los atacantes roben o filtren información confidencial de los pacientes, como los nombres de los pacientes, números de seguro social, direcciones, números de teléfono, datos médicos, detalles del seguro y mucho más.

Covid-19 solo empeoró la vulnerabilidad del sector de la salud. Numerosos proveedores de atención médica tuvieron que despedir al personal, incluido el personal de TI y seguridad cibernética. Hay más vulnerabilidad y esto es lo que aprovechan estos delincuentes maliciosos. Las consecuencias de los ataques de ransomware son nefastas para la industria de la salud. Además de los problemas de seguridad que vienen con las violaciones de datos, también conduce a la interrupción de la atención médica. Para evitar la pérdida de vidas, los proveedores de atención médica, en un gran porcentaje, tienden a ceder ante las solicitudes de extorsión de los delincuentes de ransomware.

Por ejemplo, en junio de 2020, la Facultad de Medicina de la Universidad de California en San Francisco (UCSF) pagó a sus atacantes 1,14 millones de dólares. Los ataques de ransomware tienen tanto éxito a pesar de su tremendo peligro y costos financieros, en gran parte debido a las estrategias de seguridad cibernética inadecuadas por parte de los proveedores de atención médica. Se deben desarrollar y adoptar estrategias de seguridad cibernética para detectar y prevenir ataques de ransomware. Esta estrategia de seguridad cibernética comienza con la comprensión del ciclo de vida de los ataques de ransomware.

En su estudio de 2019 titulado: Una encuesta sobre el conocimiento de la situación de los ataques de ransomware: parámetros de detección y prevención; Juan y su equipo presentan el ciclo de vida de los ataques de ransomware de la siguiente manera:

Los ataques de ransomware comienzan con el diseño de ransomware. Aquí es donde el desarrollador de ransomware crea una variante de malware. Después de crear la variante de malware, el atacante distribuye el malware a las víctimas a través de correo electrónico no deseado, phishing y otros vectores de infección. A su llegada, el malware se activa. Descubre los detalles del host y obtiene una clave de cifrado única de un servidor de control remoto. A partir de entonces, comienza el proceso de búsqueda de ransomware y localiza los tipos de archivos específicos.

Después de obtener los archivos de destino, comienza el proceso de cifrado. Los archivos originales se eliminarán, mientras que los archivos recién cifrados cambiarán de nombre con una nueva extensión de archivo. Al final del proceso, el mensaje de rescate generalmente muestra las instrucciones del atacante sobre cómo pagar el monto del rescate.

Los vectores de infección son el aspecto más importante de un ataque de seguridad cibernética de ransomware. Si los vectores de infección están bloqueados, los ataques de ransomware estarán muertos. Se deben reparar todos los posibles vectores de infección, incluidos los kits de explotación, el descargador y las botnets troyanas, las tácticas de ingeniería social y los sistemas de distribución de tráfico.

Los investigadores recomiendan que los equipos de ciberseguridad de la atención médica corrijan todos los posibles vectores de infección aplicando todos los parches disponibles. Sin embargo, a pesar de la disponibilidad de parches, sorprendentemente, algunos proveedores de atención médica aún no han parcheado sus vectores de infección.

En situaciones en las que aún no se han publicado parches, el informe de OCR 2018 sugiere que los departamentos de TI deben implementar controles de compensación para reducir el riesgo de vulnerabilidades de seguridad identificadas a un nivel aceptable. Los controles de compensación incluyen restringir el acceso a la red y deshabilitar los servicios de red o los componentes de software para proteger las vulnerabilidades que podrían explotarse a través del acceso a la red (OCR, 2018).