Los federales advierten sobre la amenaza del ransomware de Corea del Norte a las organizaciones de atención médica

Los piratas informáticos patrocinados por Corea del Norte han estado apuntando al sector de la salud y la salud pública en los EE. UU. durante más de un año, según una alerta del 6 de julio de la Agencia de Seguridad de Infraestructura y Ciberseguridad, junto con el FBI y el Departamento del Tesoro.

POR QUÉ ES IMPORTANTE
En el aviso, Actores cibernéticos patrocinados por el estado de Corea del Norte utilizan Maui Ransomware para apuntar al sector de la salud y la salud públicaCISA, FBI y el Departamento del Tesoro alegan que los actores cibernéticos han estado utilizando esa nueva variedad de malware para atacar los sistemas de salud de EE. UU. desde al menos mayo de 2021.

El informe describe las tácticas, técnicas y procedimientos, indicadores de compromiso y mitigaciones recomendadas específicas para el uso del ransomware Maui.

“Desde mayo de 2021, el FBI ha observado y respondido a múltiples incidentes de ransomware de Maui en organizaciones del Sector HPH”, dijeron las autoridades. “Los actores cibernéticos patrocinados por el estado de Corea del Norte utilizaron el ransomware Maui en estos incidentes para cifrar los servidores responsables de los servicios de atención médica, incluidos los servicios de registros médicos electrónicos, servicios de diagnóstico, servicios de imágenes y servicios de intranet.

“En algunos casos, estos incidentes interrumpieron los servicios proporcionados por las organizaciones del Sector HPH objetivo durante períodos prolongados”, agregaron. “Se desconocen los vectores de acceso inicial para estos incidentes”.

Las agencias instan a las organizaciones de atención médica a “examinar su postura actual de seguridad cibernética y aplicar las mitigaciones recomendadas”, incluida la capacitación de los empleados para reconocer e informar los intentos de phishing; habilitar y hacer cumplir la autenticación multifactor e instalar y actualizar el software antivirus/antimalware en todos los hosts.

Más allá de esos pasos básicos de higiene cibernética, la alerta sugiere una larga lista de pasos más específicos tomar, incluyendo:

  • Limite el acceso a los datos mediante el despliegue de infraestructura de clave pública y certificados digitales para autenticar las conexiones con la red, los dispositivos médicos de Internet de las cosas (IoT) y el sistema de registro de salud electrónico, así como para garantizar que los paquetes de datos no se manipulen mientras están en tránsito desde el hombre. -ataques en el medio.

  • Utilice cuentas de usuario estándar en sistemas internos en lugar de cuentas administrativas, que permiten privilegios generales del sistema administrativo y no garantizan privilegios mínimos.

  • Desactive las interfaces de administración de dispositivos de red como Telnet, SSH, Winbox y HTTP para redes de área amplia (WAN) y protéjalas con contraseñas seguras y encriptación cuando estén habilitadas.

  • Proteja la información de identificación personal (PII)/información de salud del paciente (PHI) en los puntos de recopilación y cifre los datos en reposo y en tránsito mediante el uso de tecnologías como Transport Layer Security (TPS). Solo almacene los datos personales de los pacientes en sistemas internos que estén protegidos por firewalls y asegúrese de que haya copias de seguridad completas disponibles si los datos alguna vez se ven comprometidos.

  • Proteja los datos almacenados enmascarando el número de cuenta permanente (PAN) cuando se muestra y haciéndolo ilegible cuando se almacena, mediante criptografía, por ejemplo.

  • Asegure las prácticas de recopilación, almacenamiento y procesamiento de PII y PHI, según regulaciones como la Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996 (HIPAA). La implementación de medidas de seguridad de HIPAA puede evitar la introducción de malware en el sistema.

  • Implemente y haga cumplir la segmentación de red de múltiples capas con las comunicaciones y los datos más críticos descansando en la capa más segura y confiable.

  • Use herramientas de monitoreo para observar si los dispositivos IoT se comportan de manera errática debido a un compromiso.

  • Cree y revise periódicamente políticas internas que regulen la recopilación, el almacenamiento, el acceso y el control de PII/PHI.

También dicen que las organizaciones de salud deberían visitar StopRansomware.gov para obtener más orientación sobre la detección y respuesta de ransomware

LA TENDENCIA MÁS GRANDE
La nueva alerta de CISA cita un informe de amenazas sobre el ransomware Maui de los investigadores de seguridad cibernética Stairwell, y señala que los ingenieros allí determinaron que el malware “parece estar diseñado para la ejecución manual por parte de un actor remoto” que “usa una interfaz de línea de comandos para interactuar con el malware e identificar archivos para cifrar”.

Los federales dicen que sospechan que Corea del Norte y sus piratas informáticos patrocinados por el estado “probablemente asuman que las organizaciones de atención médica están dispuestas a pagar rescates porque estas organizaciones brindan servicios que son críticos para la vida y la salud humana. Debido a esta suposición, el FBI, CISA y el Departamento del Tesoro evalúan Es probable que los actores patrocinados por el estado de Corea del Norte continúen apuntando a las organizaciones del Sector HPH”.

Advierten, sin embargo, que “desalentar fuertemente el pago de rescates ya que hacerlo no garantiza que los archivos y registros se recuperarán y puede presentar riesgos de sanciones”.

Las agencias federales de EE. UU. dicen que las organizaciones de atención médica deben ser”protege” para mitigar las amenazas potenciales de gobiernos extranjeros hostiles y sus actores cibernéticos patrocinados por el estado.

Los estados nacionales han estado investigando durante mucho tiempo a las organizaciones de atención médica de EE. UU. y buscando áreas para explotar. El pasado noviembre, CISA emitió una alerta para un grupo de piratas informáticos patrocinado por Irán que apunta a la atención médica. A principios de 2021, hubo informes de que Corea del Norte había intentado piratear los datos de la vacuna Pfizer COVID-19. El mes pasado, el director del FBI, Christopher Wray, dijo que el escuadrón cibernético de la oficina pudo lanzar una Intento patrocinado por Irán de atacar la red informática del Boston Children’s Hospital.

Mientras tanto, más intentos de explotación de ransomware y Las filtraciones de datos se han vuelto comunes en hospitales y organizaciones de salud a nivel nacional.

EN EL REGISTRO
“A medida que el ransomware ha crecido hasta alcanzar proporciones epidémicas, los ecosistemas de pandillas de ransomware como servicio, como Conti, LockBit y BlackCat, se han vuelto ampliamente reconocibles”, dijo Silas Cutler, ingeniero inverso principal de Stairwell, en el informe de la empresa. Informe de investigación. “Fuera de ese ecosistema, hay otras familias de ransomware que a menudo reciben menos atención, pero que es importante estudiar porque pueden ayudar a ampliar nuestra comprensión de las formas en que los actores de amenazas pueden realizar operaciones de extorsión.

“En junio de 2022, el equipo de investigación de Stairwell investigó una de estas familias menos conocidas, el ransomware Maui”, agregó Cutler. “Maui se destacó para nosotros debido a la falta de varias características clave que comúnmente vemos con las herramientas de los proveedores de RaaS, como una nota de rescate integrada para proporcionar instrucciones de recuperación o medios automatizados para transmitir claves de cifrado a los atacantes. En cambio, creemos que Maui es operado manualmente, en el que los operadores especificarán qué archivos cifrar al ejecutarlos y luego exfiltrarán los artefactos de tiempo de ejecución resultantes”.

Gorjeo: @MikeMilliardHITN
Envíe un correo electrónico al escritor: mike.miliard@himssmedia.com

Healthcare IT News es una publicación de HIMSS.

Leave a Comment

Your email address will not be published.