Publican datos (presuntamente) robados de 5 compañías de Salud

Autor: Hugo Galilea

Los ataques de Ransomware 2.0, no sólo cifran la información para no permitir el acceso de sus dueños y pedir un pago para su liberación, además roban esta información para venderla en la dark web o chantajear a sus propietarios. Algunas veces borran respaldos locales, roban credenciales, exponen a sus víctimas públicamente e incluso amenazan a los clientes de las víctimas. Tal es el caso tras la publicación de supuestos datos robados de cinco compañías por parte de los grupos criminales detrás de los ataques conocidos como NetWalker, REvil, SunCrypt y Pysa o Mespinoza.

El FBI advirtió que NetWalker, entre otros, ha enfocado sus ataques a entidades de atención médica durante la pandemia de COVID-19. Esto por que las instituciones de salud tienen urgencia por tener acceso a sus datos. La inhabilidad de poder acceder a su información puede costar vidas, por lo que son más proclives a pagar rápido sin negociar.

En uno de los ataques recientes más prolíficos, la Universidad de California en San Francisco pagó a los piratas informáticos NetWalker 1,14 millones de dólares para descifrar los datos y restaurar el acceso a los servidores afectados, después de que infectaran la red de su Facultad de Medicina.

En las últimas semanas, han publicado «pruebas» de datos robados de Assured Imaging, University Hospital New Jersey, National Western Life, The College of Nurses of Ontario y Nonin Medical, un diseñador y fabricante de Oxímetros de pulso no invasivos, oxímetros regionales y capnógrafos para la monitorización del paciente.

Los piratas informáticos de Pysa afirman haber robado datos de Assured Imaging, que recientemente comenzó a notificar a 244,813 pacientes que sus datos fueron «potencialmente» filtrados después de un ataque de Ransomware. El aviso no mencionó los datos que se publicaron en el blog de Pysa, luego de que los piratas informáticos encriptaran su sistema médico electrónico en mayo.

La investigación de Assured Imaging determinó que los piratas informáticos tuvieron acceso al EMR del 15 al 17 de mayo, lo que el proveedor reconoció que resultó en el robo de algunos datos de los pacientes. Además, los piratas informáticos podrían haber accedido potencialmente a todos los datos de los pacientes almacenados en sus sistemas durante el ataque.

Según las pruebas compartidas con HealthITSecurity.com, los piratas informáticos publicaron una nota con la muestra de datos el 13 de septiembre, que decía «ya sabemos todo sobre [estos pacientes] y muchos otros que utilizaron los servicios de esta empresa».

Demandas colectivas

En respuesta a la notificación de incumplimiento de Assured Imaging, varios pacientes presentaron una demanda colectiva contra el proveedor ante el Tribunal de Distrito de los EE. UU. De Arizona. La demanda alega que los pacientes «sufrieron pérdidas determinables en forma de interrupción de los servicios médicos, gastos de bolsillo y el valor del tiempo razonablemente incurrido para remediar o mitigar los efectos del ataque».

Teniendo en cuenta que el ataque ocurre en suelo norteamericano, no debemos olvidar que ante un ataque informático, es necesario poner en conocimiento de nuestros clientes el incidente ocurrido. En este sentido, el nuevo Reglamento General de Protección de Datos (GDPR), norma que rige en la Unión Europea y fuera de ella para sus ciudadanos, establece en su artículo 34 que se deberá comunicar a los interesados sin dilación debida toda violación de la seguridad que afecte a sus datos personales, siempre que entrañe un alto riesgo para los derechos y libertades de las personas físicas titulares de los datos objeto de la vulneración. La norma no define qué debe entenderse por “alto riesgo”, por lo que ante la duda, lo aconsejable será informar a los interesados.

Los pacientes afirman que el proveedor mantuvo la información de los pacientes de manera imprudente y que los datos se mantuvieron en la red de Assured Imaging «en una condición vulnerable a los ciberataques … que causan una interrupción real en la atención y el tratamiento médicos de los pacientes».

Para Nonin Medical, los piratas informáticos de Pysa o Mespinoza afirman haber robado algunos de sus datos. Las capturas de pantalla compartidas muestran que los piratas informáticos supuestamente robaron archivos de impuestos, cálculos presupuestarios, formaciones, acuerdos actuales, órdenes de pago y otros datos del fabricante, que totalizaron alrededor de 1,55 GB de archivos «que no dejarán de ser relevantes en ningún momento».

Los piratas informáticos de SunCrypt afirman haber robado datos del University Hospital New Jersey y los han publicado en su blog. Aún cuando ya se eliminaron los datos, nuestros registros muestran que la información comprometida es de naturaleza muy sensible, incluido el estado de las enfermedades de transmisión sexual para algunos pacientes.

El blog muestra que los piratas informáticos afirman haber robado 240 GB de datos con carpetas etiquetadas como citas, archivos, notificación de reclamos, acuerdos, expedientes de litigios, empleo y trabajo, y acreditación y discipulado de médicos, entre otros. También hay imágenes de identificaciones y firmas de pacientes escaneadas.

A finales de agosto, los piratas informáticos de REvil se atribuyeron el mérito de un ataque de Ransomware y la filtración de datos de la aseguradora National Western Life. Los investigadores de seguridad de Cyble publicaron más capturas de pantalla de los datos, que muestran escaneos de pasaportes de pacientes.

La publicación en la web oscura contiene dos archivos zip masivos y un mensaje que afirma que los piratas informáticos fueron contactados por un representante de una empresa competidora para comprometer a Nat.

Otras Amenazas

Pero la industria de la salud no sólo debe preocuparse del Ransomware, aún siendo este el más utilizado por criminales, debe preocuparse de mantener seguro sus base de datos, pero también su propiedad intelectual como  la continuidad de la operación.

Son variadas las tecnologías que han permitido un desarrollo acelerado de la medicina y una atención mas eficaz. Dispositivos médicos portátiles, análisis de datos en tiempo real, inteligencia artificial con acceso a base de datos en línea, portales electrónicos, entre otros. Tomar todas estas ventajas es importante, pero necesario también el proteger estos dispositivos y educar a los usuarios a tener un comportamiento seguro.

Esta industria seguirá liderando, junto a bancos, gobierno y seguros, la lista de víctimas de ataques informáticos, ataques cada vez más sofisticados, dado que son un objetivo atractivo y lucrativo para los atacantes. Con una inversión en ciberseguridad por debajo, en promedio, del resto de los que destacan en esta lista, la industria de la salud será apuntada con mayor frecuencia.

Como Defendernos

Recomendamos siempre realizar un levantamiento de vulnerabilidades, para entender el estado actual de la seguridad de la empresa. Una asesoría continua con nuestro programa V-CISO puede ayudar a seguir Frameworks como NIST comparando el estado actual de ciberseguridad y vulnerabilidad y el deseado, identificar los activos a proteger, como protegerlos, como detectar una intrusión, minimizar sus daños a través de una respuesta adecuada y oportuna y finalmente como recuperarnos.

Dentro de la protección, la bala de plata para un defensa contra el Ransomware es el respaldo remoto de datos, con esto, un ataque sólo nos quitará tiempo y el pagar un rescate se hace innecesario.

Luego, realizar un programa de concientización en ciberseguridad, para transformar al eslabón más débil, las personas, en un firewall humano.

Recomendamos fuertemente instalar un EDR en las estaciones de trabajo y servidores, dado que el uso de antivirus en industrias como esta son insuficientes y el costo adicional es marginal.

Otras recomendaciones básicas son segmentación de redes, controles de acceso, instalación de un sistema de Detección de Fuga de Información para evitar el robo de propiedad intelectual y datos de terceros. Recomendaciones que un programa continuo de acompañamiento y asesoría en ciberseguridad les entregarán.