El pasado 28 de octubre, el FBI junto con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), y el Departamento de Salud y Servicios Humanos (HHS) publicaron la alerta AA20-302A, la cual detalla una amenaza real en torno a cibercriminales que trabajan para atacar directamente la sanidad y los sectores de salud pública aprovechando la familia de malware Trickbot para lanzar el ransomware Ryuk.
Este ransomware presenta una seria amenaza para los entornos clínicos. De hecho, el 40% de los hospitales han reportado que les ha afectado WannaCry. Las implicaciones para el sector sanitario van mucho más allá del típico equipo de TI. El comportamiento de los dispositivos médicos, los informes, e incluso los propios dispositivos pueden ser alterados, interrumpidos o, peor aún, empezar a funcionar de forma errónea.
En algunos casos, el ransomware puede afectar a los administradores de sistemas, las estaciones de monitoreo o las pasarelas que traducen el tráfico. Y en otros, puede incluso ser perjudicial para los propios dispositivos, dañándolos o infectándolos.
Es fundamental que las organizaciones del sector sanitario y de la salud pública construyan entornos clínicos sólidos y debidamente defendidos que sean tan ciberseguros como físicamente limpios y aislados. La plataforma Device Security de Medigate (MDSP) ayuda a la creación de un enfoque centrado en asegurar los entornos clínicos.
Con el aluvión de comunicaciones sobre la amenaza Ryuk en los últimos días, desde Medigate, queremos asegurarnos de que las organizaciones conocen que MDSP tiene las herramientas y recursos para ayudar a implementar los primeros pasos descritos por CISA para mitigar el riesgo de sufrir esta amenaza.
Las recomendaciones de la industria y la respuesta de MDSP
- Añadir a las listas negras todos los IOCs (dominios e IPs) sospechosos en los ataques Ryuk.
La plataforma de Medigate alerta sobre las comunicaciones con IPs maliciosas asociadas con los ataques Ryuk.
- Deshabilitar el acceso remoto no utilizado/Remote Desktop Protocol (RDP – puerto 3389), puertos y la comunicación SMB (puerto 445) innecesaria en el sistema siempre que sea posible. Los actores de la amenaza a menudo obtienen acceso a la red a través de servicios remotos expuestos o mal protegidos y usan SMB para propagar el malware en las organizaciones.
La plataforma de Medigate entiende las comunicaciones IoMT. Con sus capacidades avanzadas de filtrado, puede identificar dispositivos que están comunicándose externamente y bloquear los que son sospechosos.
- Mantener los sistemas actualizados con los últimos parches disponibles de los fabricantes. También, prestar atención a la vulnerabilidad Zerologon (CVE-2020-1472). Todo apunta a que al menos 1 Ryuk ransomware Gang está siendo explotado en la vulnerabilidad de Zerologon.
Gracias a las funciones de mapeo de vulnerabilidades de MDSP, es posible identificar cualquier dispositivo y notificar a través de una alerta cuál de ellos tiene prioridad para la aplicación de parches.
- Segmentar la red para contener los riesgos. Considerar segmentar y aislar dispositivos afectados potencialmente o dispositivos críticos para minimizar el impacto que un exploit podría tener en sus datos y operaciones.
MDSP recomienda establecer políticas de segmentación clínicamente examinadas, basadas en el tipo de dispositivo y la función en la página de dispositivos de la plataforma. Es posible usar esta información para microsegmentar los dispositivos y así limitar mejor su exposición al riesgo.
Puedes leer el artículo original en la web de Medigate.