miércoles, abril 22, 2020

El ransomware de doble extorsión llega a los hospitales para aprovecharse del Covid-19


Los investigadores de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder especializado en ciberseguridad a nivel mundial, han observado una tendencia al alza en una novedosa táctica de ransomware, conocida como "doble extorsión", a través de la cual los cibercriminales añaden una etapa adicional a su ataque. Antes de cifrar la base de datos de una víctima, consiguen extraer una gran cantidad de información confidencial para luego amenazar a la víctima con publicarla (a menos que se pague un rescate). Para demostrar que se amenaza va en serio, los ciberatacantes filtran una pequeña parte de la información sensible a la dark web para aumentar así el nivel de intimidación si no se paga el rescate.
El primer caso que fue publicado de esta "doble extorsión" tuvo lugar en noviembre de 2019 e involucraba a Allied Universal, una gran compañía americana dedicada a temas de personal de seguridad. Cuando las víctimas se negaron a pagar el rescate que pedían de 300 Bitcoins (aproximadamente 2,3 millones de dólares), los cibercriminales, valiéndose del virus "Maze", amenazaron con utilizar la información confidencial, los certificados de correo electrónico y de los nombres de dominio robados para elaborar una campaña de spam suplantando la identidad de la compañía. Asimismo, publicaron una muestra de los archivos robados que incluía contratos, registros médicos, certificados de encriptación, etc. Desde entonces, Maze ha publicado los detalles de docenas de empresas, bufetes de abogados, proveedores de servicios médicos y compañías de seguros que no han cedido a sus demandas, pero se estima que muchas empresas evitaron la publicación de sus datos sensibles pagando el rescate exigido.
"La doble extorsión es tendencia al alza entre los ataques ransomware. Al filtrar información sensible a la dark web como muestra de que su amenaza va en serio, ejercen mucha más presión sobre sus víctimas”, señala Lotem Finkelsteen, director de Inteligencia de Amenazas de Check Point. “Esta variante de ciberamenaza es especialmente preocupante para los hospitales, ya que, al estar plenamente enfocados en atender a los pacientes de coronavirus, sería muy complicado que pudieran hacer frente a un ataque de estas características. Por este motivo, aconsejamos a los hospitales que, ahora más que nunca, extremen las medidas de protección", añade Finkelsteen.
Los hospitales, en el punto de mira de los cibercriminales y el ransomware de doble extorsión
La situación actual del sector sanitario es de saturación puesto que centra todos sus esfuerzos en combatir la propagación del Covid-19, por lo que cuenta con pocos recursos técnicos y personales para optimizar sus niveles de ciberseguridad. Por este motivo, los expertos de Check Point instan a adoptar una estrategia de protección basada en la prevención para evitar que los hospitales se conviertan en una nueva víctima de ransomwares como NetWalker, que recientemente afectó a varios hospitales españoles. Además, destacan que las claves para estar protegidos son:

1.     Hacer copia de seguridad: es vital hacer backup de los archivos importantes, procurando usar sistemas de almacenamiento externo. También es importante habilitar herramientas para realizar copias de seguridad de forma automática para todos los empleados (si es posible), ya que de esta manera se minimiza el riesgo de error humano por no llevar a cabo esta actividad con regularidad. 

2.     Enseñar a los empleados cómo reconocer potenciales amenazas: los ataques más comunes utilizados en las campañas de ransomware siguen siendo los correos electrónicos de spam y phishing. En muchas ocasiones, el usuario puede prevenir un ataque antes de que ocurra. Para ello, es fundamental educar a los empleados y concienciarles acerca de los protocolos de actuación en caso de indicio de ciberataque.

3.     Limitar el acceso a la información: para minimizar riesgos y el impacto de un posible ataque con ransomware, es fundamental controlar y limitar el acceso a la información y recursos, para que los empleados sólo utilicen aquellos que son imprescindibles para realizar su trabajo. De esta forma, se reduce significativamente la posibilidad de que uno de estos ataques afecte a toda la red.

4.     Tener siempre el software y el sistema operativo actualizado: contar siempre con la última versión del sistema operativo de nuestro equipo, así como de los programas instalados (entre ellos el antivirus) y aplicar regularmente todos los parches de seguridad evita que los cibercriminales puedan aprovechar vulnerabilidades previas ya existentes. Es fundamental recordar que esta es la estrategia de mínimo esfuerzo para los cibercriminales, puesto que ni siquiera tienen que descubrir nuevas formas de atacar, sino utilizar las ya conocidas y aprovechar la ventana de oportunidad que se les ofrece hasta que el usuario parchea el sistema.

5.     Implementar medidas de seguridad avanzadas: además de las protecciones tradicionales basadas en la firma, como el antivirus y el IPS, las organizaciones necesitan incorporar capas adicionales para protegerse contra el malware nuevo y desconocido. Dos componentes clave a considerar son la extracción de amenazas (“limpieza” de archivos) y la simulación de amenazas (sandboxing avanzado). Cada elemento proporciona un nivel de seguridad distinto que, cuando se utilizan conjuntamente, ofrecen una solución integral para la protección contra el malware desconocido tanto para la red como para los dispositivos.