El sistema de salud irlandés, paralizado por ransomware
El pasado 14 de mayo, la dirección del Servicio de Salud pública de Irlanda (HSE, por sus siglas en inglés) sufrió un gran ciberataque de ransomware. El ciberataque tuvo lugar de madrugada y causo tal impacto que obligó a la institución a cerrar temporalmente sus sistemas IT hasta poder solucionarlo. Esa situación generó numerosos problemas en su prestación de servicios y la atención médica.
De entrada, todas las citas del mismo día salvo algunas excepciones concretas (mujeres embarazadas de 36 semanas o más) fueron canceladas. Además, durante esas horas mucha información de los pacientes ya ingresados tuvo que registrarse sobre papel manualmente. Aunque el programa de vacunación para el COVID-19 no se vio especialmente afectado si se generaron retrasos en la recepción de los resultados de tests. Sin embargo, lo que quizá fue más grave es que algunos servicios de oncología y radiología en varios hospitales también tuvieron que interrumpirse.
Ante estas consecuencias del incidente, no es extraño que el responsable del HSE lo calificara como el mayor ciberataque que jamás había recibido el estado de Irlanda. Al poco tiempo de producirse, el Primer Ministro Micheál Martin aseguró que no cederían al previsible chantaje de los ciberatacantes.
Eso no frenó al grupo de ciberatacantes con sus planes ya que después, publicaron online una primera muestra con los datos clínicos de 12 pacientes y más tarde, a finales de mayo, los datos correspondientes a otros 520. Pero, ¿Se sabe qué ransomware utilizaron y quienes fueron los responsables?
Las fuerzas de seguridad y los analistas no tardaron en identificarlo: se trata de Conti, una herramienta de ransomware diseñada por el grupo de origen ruso Wizard Spider y que ofrece a sus afiliados bajo un modelo RaaS, es decir, de Ransomware como servicio. Generalmente, el vector de ataque lo constituyen emails de phishing que contienen enlaces de Google Docs, que si se clican, descargan el cargador de la herramienta en los sistemas. Una vez ejecutado, bloquea todos sistemas con cifrado AES-256.
Backups, actualizaciones, buenas prácticas y protección integral en el Endpoint
La información de Conti que acabamos de compartir está extraída de otra sanidad pública: en concreto, de la sección digital y de tecnología del NHS del Reino Unido. Y es que Conti es ya conocido por sus actividades contra organizaciones de este sector. Si tenemos en cuenta el daño que puede causar como lo ha hecho en Irlanda, es evidente que las instituciones y los centros de salud necesitan contar con una estrategia de ciberseguridad proactiva de manera coordinada con su proveedor de servicios gestionados (MSP), que les permita estar preparados ante este tipo de incidentes. Dicha estrategia debe incluir medidas como:
- Backups de todos los sistemas: deben almacenarse con frecuencia, en múltiples localizaciones y que alguna de ellas se encuentre completamente offline.
- Buenas prácticas de ciberseguridad: se suele decir que las personas somos el principal cortafuegos pero también, un factor clave del que se suelen aprovechar los ciberataques mediante el engaño y la ingeniería social. Si el personal está lo suficientemente concienciado con las amenazas, habrá menos posibilidades de que abran correos electrónicos o enlaces en los mismos que tienen indicios de ser sospechosos, como pudo ocurrir con Conti.
- Actualizaciones: otra vía de entrada para el ransomware lo constituyen las vulnerabilidades en los Sistemas Operativos, y Software de terceros como Java, Adobe, Firefox, etc. Por eso, es necesario que todos cuenten con las últimas actualizaciones de seguridad en la medida de lo posible.
- Protección integral en el Endpoint: en cualquier caso, las anteriores medidas por sí sola no son suficientes con el número y la sofisticación cada vez mayor de los ciberataques hoy en día. Los MSP necesitan contar con un servicio de prevención, detección y respuesta ante amenazas avanzadas en el Endpoint que ofrezca una protección integral y parta de una desconfianza total hacia cualquier código por legítimo que parezca. WatchGuard EPDR (Endpoint Protection Detection and Response) responde a esa necesidad, con sus servicios Zero Trust Application Service y Threat Hunting incluidos sin coste extra. Además, está integrado junto contras soluciones de ciberseguridad en WatchGuard Cloud formando una plataforma de ciberseguridad unificada que permite a nuestros MSPs gestionar la seguridad de red, de Endpoint y Multifactor desde una consola unificada ofreciendo una protección multicapa para sus clientes, facilitando enormemente su gestión.