El brote de COVID-19 ha acelerado los ciberataques a los proveedores de atención médica. Los factores que contribuyen a tales ataques incluyen, pero no se limitan a:
- Operaciones comerciales descentralizadas
- Instalaciones de emergencia COVID-19 configuradas sin seguridad planificada de la infraestructura de TI
- Un aumento significativo en la cantidad de datos de salud de los pacientes almacenados por las organizaciones sanitarias.
- La telemedicina y los trabajadores remotos surgieron casi de la noche a la mañana, creando brechas de seguridad
El ransomware Ryuk, en particular, ha experimentado un resurgimiento recientemente. Sophos identificó recientemente una nueva campaña de spam vinculada a los actores de Ryuk, y nuestro equipo de Managed Threat Response ayudó a una organización a mitigar un ataque de Ryuk, brindando información sobre cómo han evolucionado las herramientas, técnicas y prácticas de los ciberdelincuentes detrás de Ryuk.
La investigación mostró una evolución de las herramientas utilizadas para comprometer redes específicas y desplegar el ransomware. Pero lo más notable fue la rapidez con que los ataques pueden pasar del compromiso inicial al despliegue de ransomware. Tres horas y media después de que un objetivo abriera un archivo adjunto de correo electrónico de phishing, los atacantes ya estaban realizando un reconocimiento de la red. En un día, obtuvieron acceso a un controlador de dominio y estaban en las primeras etapas de un intento de implementar ransomware.
Las técnicas de evasión del ransomware están cambiando rápidamente. En los últimos años, los ataques de ransomware se han alejado de los ataques de fuerza bruta a gran escala hacia ataques enfocados, planificados y ejecutados manualmente que son mucho más difíciles de detectar y bloquear. Los seres humanos están creando malware artesanal.
Los delincuentes han hibridado sus ataques, combinando la automatización para encontrar víctimas con lagunas en sus defensas. Los servidores expuestos con el Protocolo de escritorio remoto (RDP) habilitado, los administradores sin autenticación multifactor para el acceso remoto, los servidores web sin parches o incluso estos mismos problemas en un socio o proveedor de servicios de confianza son suficientes para poner una red, sistemas y recursos bajo rescate.
Estas son las cinco medidas que los proveedores de atención médica pueden tomar para protegerse contra los ataques de ransomware:
- Mantén la higiene de la TI. Asegúrate de practicar la higiene básica de TI, que incluye instalar todos los parches más recientes, desactivar RDP por completo (o ponerlo detrás de una VPN) y hacer copias de seguridad periódicas y mantenerlas offline donde los atacantes no puedan encontrarlas. También incluye la aplicación de la autenticación multifactor a los servicios que alojan los datos más confidenciales de tu organización. Estos son solo algunos de los pasos fundamentales que puedes tomar para protegerte hoy.
- Forma a los usuarios. Enséñeles la importancia de las contraseñas seguras e implementa la autenticación de dos factores siempre que puedas. Infórmales sobre el phishing, que es uno de los principales mecanismos de entrega de ransomware.
- Minimiza el riesgo de movimiento lateral dentro de tu red. Segmenta las LAN en zonas aisladas o VLAN más pequeñas que estén aseguradas y conectadas por el firewall. Asegúrate de aplicar políticas IPS adecuadas a las reglas que rigen el tráfico que atraviesa estos segmentos de LAN para evitar que los exploits, gusanos y bots se propaguen entre los segmentos de LAN. Y si aparece una infección, aísla automáticamente los sistemas infectados hasta que se puedan limpiar.
- Utiliza las herramientas de detección y respuesta de endpoints (EDR) conjuntamente con la protección de endpoints. En el ransomware dirigido hoy en día no se trata solo de detener una pieza de malware, se trata de detener a un adversario activo e interrumpir la cadena de ataque que lo coloca en posición de ejecutar el malware. Asegúrate de que cada endpoint esté protegido y actualizado. Es posible que un dispositivo que no funcione correctamente no esté protegido y sea vulnerable a un ataque de ransomware. Utiliza herramientas como EDR, que te permiten hacer preguntas detalladas para que puedas buscar adversarios activos e identificar amenazas avanzadas en tu red. Una vez que lo hace, EDR también te ayuda a tomar las acciones apropiadas rápidamente para detener tales amenazas.
- Cerrar la brecha con la intervención humana. Los ordenadores, la automatización y las herramientas son increíbles, pero el intelecto humano, el reconocimiento de patrones y nuestra capacidad para aplicar el contexto brindan una defensa aún más formidable. Los servicios de detección y respuesta gestionados (MDR) son fundamentales aquí. La combinación de los equipos internos de seguridad y TI con un equipo externo de cazadores de amenazas de élite y expertos en respuesta ayuda a brindar consejos prácticos para abordar las causas fundamentales de los incidentes recurrentes.
Sophos Intercept X Advanced con EDR
Sophos Intercept X Advanced con EDR incluye todas las funciones que necesitas para ayudar a proteger tu organización de ataques de ransomware como Ryuk, Sodinokibi, Maze y Ragnar Locker.
Intercept X incluye tecnología anti-ransomware que detecta procesos de cifrado malicioso y los desactiva antes de que puedan propagarse por tu red. La tecnología anti-exploit detiene la entrega e instalación de ransomware, el deep learning bloquea el ransomware antes de que pueda ejecutarse y CryptoGuard evita el cifrado malicioso de archivos.
Además, Sophos EDR ayuda a mantener la higiene de las operaciones de TI y la búsqueda de amenazas, funcionando sin problemas en toda tu red. Sophos EDR permite a tu equipo realizar preguntas detalladas para identificar amenazas avanzadas, adversarios activos y posibles vulnerabilidades de TI, y luego tomar las medidas adecuadas para detenerlos. Te permite detectar adversarios que pueden haber pasado desapercibidos que acechan en tu red y esperan implementar ransomware.
Respuesta gestionada a amenazas de Sophos (MTR)
El servicio Sophos MTR agrega experiencia humana a tu estrategia de seguridad por capas. Un equipo de élite de cazadores de amenazas busca y valida de manera proactiva las amenazas potenciales en tu nombre. Si están autorizados, toman medidas para interrumpir, contener y neutralizar las amenazas, y brindan consejos prácticos para abordar las causas fundamentales de los incidentes recurrentes.
Sophos Rapid Response
Si tu organización está siendo atacada y necesita asistencia inmediata en respuesta a incidentes, Sophos puede ayudarte.
A cargo de un equipo experto de personal de respuesta a incidentes, Sophos Rapid Response brinda asistencia a la velocidad del rayo con la identificación y neutralización de amenazas activas contra organizaciones. La incorporación comienza en unas horas y la mayoría de los clientes se evalúan en 48 horas. El servicio está disponible tanto para los clientes actuales de Sophos como para los que no son de Sophos.
El equipo de respuesta rápida a incidentes de Sophos actúa rápidamente para evaluar, contener y neutralizar las amenazas activas. Los adversarios son expulsados de tu red para evitar mayores daños a tus activos.
Lecturas relacionadas
- 4 Key Tips from Incident Response Experts
- Endpoint Protection Best Practices to Block Ransomware – Full report
- Firewall Best Practices to Block Ransomware – Full report
- They’re back: inside a new Ryuk ransomware attack
- MTR Casebook: Blocking a $15 million Maze ransomware attack
- The realities of ransomware: Why it’s not just a passing fad