A nivel local, el ataque de ransomware que afectó a Scripps Health la semana pasada, paralizando los recursos digitales desde hospitales hasta clínicas, ha sido aislado. Otros sistemas de salud de la región se han mantenido intactos y pueden ayudar a los pacientes que han fallecido debido a necesidades graves y urgentes, incluidos ataques cardíacos y accidentes cerebrovasculares.
Pero mire a su alrededor y verá que Scripps no está solo.
Un informe reciente de la empresa de desarrollo de software VMWare Carbon Black estima que su Cuidado de la salud el número de intentos de robo aumentó en un 9,851% en 2020 en comparación con el año anterior. La actividad se intensificó con la pandemia de COVID-19, y los ensayos aumentaron un 87% de septiembre a octubre.
Beau Woods, asesor principal de la Agencia de Infraestructura y Ciberseguridad del gobierno federal, confirmó que ataques como el que todavía se está produciendo en Scripps simplemente desencadenaron metástasis el año pasado.
“El ransomware se está volviendo más sofisticado y generalizado”, dijo Woods. “Los proveedores de ransomware generalmente reinvierten las tarifas que cobran a las entidades que extorsionan para obtener más oportunidades.
“Están mejorando, son cada vez más frecuentes, especialmente durante una pandemia, cuando hemos abierto más conectividad para permitir un trabajo más remoto”.
Los problemas actuales de Scripps, que varias fuentes dicen que no pudieron ofrecer radioterapia a sus pacientes con cáncer hasta que el equipo finalmente regresó al servicio el viernes, sigue a un ataque aún más extenso a fines del año pasado.
Se cree que el 27 de septiembre es el más grande ataque de ransomware en atención médica, llegó a Universal Health Services Inc., un sistema de atención médica a nivel nacional con 400 hospitales con instalaciones en California, incluido el Temecula Valley Hospital y el Inland Valley Medical Center de Wildomar.
Se necesitaron tres semanas para que todas las instalaciones de UHS estuvieran completamente operativas, y la empresa que cotiza en bolsa enumeró el impacto financiero negativo de 67 millones de dólares del ataque en su informe de ganancias del cuarto trimestre, aunque no dijo si pagó o no el rescate. los piratas informáticos habían solicitado.
Este impacto incluyó la redirección de ambulancias a otros hospitales cuando registros médicos electrónicos estaban cerrados y no disponibles.
El ransomware, malware que, una vez que se accede en una red digital, puede cifrar información y amenazar con eliminarla, o peor aún, si no se paga en efectivo, se dirige cada vez más a la industria de la salud, resume un análisis reciente de la consultora IBM Security X-Force.
Un informe de Big Blue, que se basa en sus propias consultas con las empresas afectadas, muestra que el 28% de los ataques de atención médica en 2020 estaban relacionados con ransomware, lo que convierte a la industria en el séptimo mayor número de ataques, en comparación con el décimo lugar en 2019.
Y los ataques son cada vez más terribles.
Como se señaló en un informe de la Oficina de Seguridad de la Información de los Servicios Humanos y de Salud de EE. UU., Los ataques de ransomware de “doble extorsión” explotaron en 2020. Si bien solo había una plataforma de ransomware que ofrecía este efecto sombrío dos por el precio de uno en 2019, otros copiaron rápidamente el enfoque. Actualmente, 18 tipos diferentes de ransomware son doble extorsión.
Este ominoso término se refiere a un intento de dificultar que las empresas pirateadas se nieguen a pagar un rescate y simplemente restauren sus sistemas a partir de copias de seguridad creadas antes de la llegada del ransomware.
Las bandas de piratas informáticos que suelen operar desde el extranjero se enfrentan a esto recuperando datos confidenciales de las redes que penetran antes de exigir un rescate.
Ahora, estas solicitudes implican dobles amenazas de pago o riesgo de perder datos cifrados, así como pago o riesgo de fuga de información privada de los clientes en los sitios web a los que sirven.
Se ha informado ampliamente que el culpable del ataque UHS fue uno de esos tipos de software de doble extorsión llamado Ryuk, aunque la compañía nunca ha revelado formalmente el patógeno digital asociado.
No está claro qué tipo de ransomware se utiliza en Scripps.
El segundo sistema de salud más grande de la región, con cuatro campus hospitalarios y una extensa red de clínicas, clínicas quirúrgicas y otros recursos, dijo el jueves que se había detectado “malware” en sus sistemas. Un memorando interno obtenido por Union-Tribune el domingo claramente indicó el ransomware, pero no mencionó su tipo. El martes, el Departamento de Salud Pública de California confirmó en un correo electrónico que estaba involucrado un ransomware.
Sin embargo, está claro que el ataque golpeó a Scripps muy, muy duro, justo cuando los trabajadores de salud nacionales apenas comenzaban a recuperarse de un año de lucha contra la pandemia de COVID-19.
El ataque provocó un desvío generalizado de ambulancias de todos los hospitales de Scripps, sacándolos del sistema médico de emergencia cuando el barco zozobró de Point Loma el domingo. Los sobrevivientes fueron enviados a ocho hospitales diferentes en la región, pero no al Scripps Memorial Hospital La Jolla más cercano, el centro de trauma más cercano, debido a fallas en los sistemas.
Con las computadoras desconectadas toda la semana, la desviación disminuyó, dijo el Dr. Eric McDonald, recientemente nombrado médico jefe del condado en ausencia del Dr. Nick Yphantides, quien fue despedido de su trabajo administrativo a principios de este año por razones que aún no están claras. .
Al no operar al nivel habitual de eficiencia, McDonald dijo que los hospitales de Scripps podrían continuar atendiendo a los pacientes acomodando el tráfico de ambulancias según sea necesario. La crueldad de tales ataques, agregó, recae sobre quienes menos lo merecen.
“Este es otro estrés significativo de la tensión a largo plazo en todo el sistema hospitalario”, dijo McDonald. “Realmente necesita mostrar aprecio y apoyo a los médicos y enfermeras y al resto del personal que continúa brindando atención durante este tiempo”.
En general, los pacientes informaron que el personal de Scripps los conoció y les dio la bienvenida durante la última semana, aunque algunos están comenzando a sentir una frustración considerable con la situación, especialmente debido a la falta de comunicación con respecto a las citas programadas.
Kyle Long, un residente local y paciente de Scripps, dijo que tenía programada una biopsia de médula ósea retrasada de última hora para el lunes.
“En lo que a mí respecta, Scripps obtiene una F por la forma en que manejaron esta infracción”, dijo Long en un correo electrónico.
Scripps dio pocos detalles sobre cuáles de sus sistemas, además de los registros médicos electrónicos, fueron destruidos en el ataque. Y no dijo si alguna parte de los datos confidenciales del paciente se filtró de sus sistemas y a los servidores ciber terroristas bajo amenaza de divulgación o venta al mejor postor.
Esta incertidumbre hizo que muchos de los clientes de Scripps solicitaran una respuesta en la página de Facebook de la empresa. Muchas personas se han preguntado si deberían congelar sus informes crediticios y contratar servicios de protección de la reputación para protegerse en caso de una fuga de información.
El Dr. Christian Dameff, un especialista en medicina de emergencia e investigador de ciberseguridad en UC San Diego Health, dijo la semana pasada que si bien no está familiarizado con los detalles de lo que sucedió exactamente en Scripps, protegerse de esta manera generalmente tiene sentido, incluso si el ataque es todavía no ha comenzado.
Dijo que en general era difícil para las empresas averiguar de inmediato si y cuánta de su información privada había salido del edificio. No es como si hubiera algún tipo de tablero electrónico que pueda mostrarle qué ha ido a dónde. Los sistemas bloqueados no son fáciles de analizar y, en general, se deben contratar expertos externos para realizar una investigación forense de los sistemas afectados para determinar la profundidad del daño.
“Estoy seguro de que el trabajo en Scripps está en curso, pero es un trabajo complejo y tedioso que requiere un conocimiento muy especializado para averiguar qué hicieron exactamente y cuándo lo hicieron, y luego hacer recomendaciones sobre lo que los pacientes deberían hacer en el futuro. dijo Dameff.
Sin embargo, muchos seguramente se preguntan cómo pudo haber sucedido esto en una organización con un presupuesto de miles de millones de dólares que fue nombrada una de las organizaciones más “cableadas” en la industria de la salud de EE. UU. En 2019.
Un informe de IBM X-Force indica que los ataques recientes, ya sea que entreguen ransomware o faciliten el robo de grabaciones, aprovechan una vulnerabilidad de software en lugar de ejecutar servidores creados por Citrix Systems Inc. Las organizaciones utilizan esta tecnología, especialmente para alojar registros médicos electrónicos, como el software Epic utilizado por Scripps y muchos otros en la región.
En 2019, la compañía publicó un boletín de seguridad sobre una vulnerabilidad en uno de sus productos llamado Application Delivery Controller, al que anteriormente llamaba NetScaler. Se publicó un estudio de caso en el sitio web de Citrix que indicaba claramente que el producto se empleó en Scripps.
Citrix proporciona instrucciones sobre cómo solucionar la vulnerabilidad, pero parece claro que muchas organizaciones no realizan este trabajo de mantenimiento crítico antes de que los piratas informáticos lo utilicen para obtener acceso. Un informe de IBM X-Force estima que el 8% de todos los incidentes que X-Force manejó el año pasado estaban relacionados con una vulnerabilidad de Citrix.
¿Fue así como los piratas informáticos terminaron en la red Scripps? La empresa no dice nada.
“Dado que se trata de una investigación en curso, lo que podemos decir es limitado. Compartiremos más información siempre que sea posible ”, dijo el portavoz de Scripps, Keith Darce, en un correo electrónico el viernes.
Sin embargo, escanear y explotar las vulnerabilidades del hardware es solo una de las muchas formas en que los piratas informáticos obtienen el acceso que necesitan para desencadenar la destrucción digital.
Duplicar a los empleados que ya tienen acceso es uno de los métodos más populares. Un proceso llamado phishing se usa a menudo para engañar a los empleados para que compartan inicios de sesión y contraseñas en sitios web falsos que se parecen a los de sus empresas, o para abrir archivos adjuntos de correo electrónico que supuestamente provienen de fuentes confiables que resultan ser programas maliciosos. Una vez que se encuentra en la seguridad digital de una empresa, el software puede llegar más fácilmente a servidores remotos y descargar cargas útiles más dañinas.
Por supuesto, dijo Dameff, hay muchas formas muy buenas de reducir la probabilidad de que los ataques de phishing tengan éxito. La autenticación de dos factores, un proceso que requiere que los empleados verifiquen las credenciales de inicio de sesión no solo con contraseñas sino también con un programa que se ejecuta en sus teléfonos inteligentes, puede ayudar mucho. Pero dos factores pueden ser una molestia en situaciones en las que la vida y la muerte son literalmente día tras día. Nadie quiere crear una situación en la que una enfermera que atiende a un paciente moribundo no tenga acceso a información crítica en la historia clínica electrónica porque ha olvidado su teléfono inteligente.
“Con la autenticación de múltiples factores, los administradores de contraseñas y las buenas prácticas de contraseñas, como elegir contraseñas complejas, escanear archivos adjuntos de correo electrónico, seguridad de terminales, estoy seguro de que lo tenían todo”, dijo Dameff. “Todo lo que se necesita es que una persona en la empresa haga clic en un enlace para que esto suceda, independientemente de todas las medidas de seguridad perfectas que haya implementado”.
© 2021 San Diego Union-Tribune
Distribuido por Tribune Content Agency, LLC.